Na Mídia

15.03.2006

Jornal do Commercio

GESTÃO
Nunca centralize a segurança em uma única pessoa
Publicado em 15.03.2006

Filme Firewall levanta o debate sobre poder da informação
RACHEL MOTTA
Especial para o JC

Firewall: Segurança em risco não é o primeiro filme a abordar o universo da tecnologia, fraudes, invasões ou tampouco evidenciar as habilidades dos hackers para seqüestrar informações confidenciais da rede. No entanto, pelo menos um ponto chama a atenção dos espectadores no roteiro de suspense distribuído pela Warner Bros e em cartaz na cidade. Trata-se da centralização do comando do sistema de segurança da informação nas empresas nas mãos de um único gestor.

Na trama, é o personagem Jack Stanfield (Harrison Ford) que protege o banco Landrock Pacific Bank das ameaças virtuais. Jack é o chefe de segurança e o criador dos sistemas antifraude composto por rastreadores, códigos de acesso e firewalls. De fato, existe no filme a preocupação com a vulnerabilidade do sistema, porém, a maior ameaça que o Landrock enfrentará virá contra o gestor de segurança. O filme sugere, portanto, que, ao dar a responsabilidade da segurança da informação a uma só pessoa, a empresa pode ser refém de ações maliciosas. Assim, Jack é vítima de uma quadrilha, interessada em roubar seu conhecimento para desviar dinheiro das contas do banco.

“Apesar de ser uma ficção, vale lembrar que oito em cada dez hackers ativos são brasileiros”, diz o engenheiro de sistemas e gerente de canais da Trend Micro, Alfredo Gomez. “O filme poderia ter sido rodado no Brasil!”, frisa. Segundo o executivo, a desvantagem de ter um único gestor está em comprometer o acesso aos dispositivos tecnológicos e ocasionar um tempo de resposta aos problemas insatisfatório. Além disso, a empresa corre o risco de se expor a um funcionário descontente, capaz de usar a segurança como barganha.

Isso acaba sendo mais perigoso em instituições focadas em finanças. “Nenhuma corporação informatizada pode ficar fora do ar mesmo que por curto período”, afirma Gomez. Afinal, hoje até a transação com fornecedores e clientes é feita via web. Então, qualquer descuido pode levar a prejuízos.

As pessoas devem estar plenamente capacitadas na área de TI e satisfeitas para o trabalho que desempenham. A dica é manter todos os funcionários bem informados para que saibam quais são as ameaças para a rede. É preciso ter um canal aberto com consultores de segurança para instruí-los pelo menos uma vez a cada três meses no caso das pequenas e médias empresas. Também se faz necessária a realização de testes de vulnerabilidade. E mais, as empresas de grande porte devem utilizar um conjunto de ferramentas integradas e ter o mesmo tipo de privilégio de acesso para vários empregados.

“Hoje grandes empresas são bem segmentadas na questão de segurança. Existem grupos específicos para tratar cada função: redes, segurança, invasões e conteúdo. Então, corporações do porte do banco do filme não teriam uma única pessoa no comando do sistema de segurança, mas vários grupos. Trata-se de uma ficção. O roteiro não faria o mesmo sucesso se mostrasse uma fraude em uma pequena empresa”, justifica Gomez.

Só que muitas empresas tradicionais ainda acham que é melhor para o sigilo e segurança da firma manter um único gestor. Isso acontece com freqüência nas pequenas e médias empresas, onde a questão da segurança não costuma ser tão delicada. Segundo o professor de segurança da Unibratec Rodrigo Assad, nesses casos, não só a segurança como a administração dos servidores e do sistema fica a cargo de um só funcionário. “Muitas vezes, o custo é o que afasta novos investimentos, apesar da tecnologia não corresponder à maior fatia dos gastos dentro das companhias. Uma alternativa seria a terceirização.”

É o que sugere a fornecedora de software integrado para gerenciamento de desktops, dispositivos e segurança, LANDesk. Para o diretor da LANDesk na América Latina, Ivan Escobar, a responsabilidade não deve ficar apenas com o time de TI. “O ideal é treinar outros grupos como o de RH, por exemplo, para realizar auditorias periódicas. Também vale investir em programas que documentem todas as transações dos gestores até mesmo remotamente.” Tudo para evitar perdas de dados, informações financeiras, produtividade ou ter projetos novos roubados.