Na era do conhecimento, os dados compilados por empresas e organizações governamentais sobre seus clientes e parceiros assumem um valor incalculável. É com base nessas informações que são definidas as estratégias de mercado. E essas informações não são apenas para oferecer melhores produtos e serviços mais eficazes, mas para superar a concorrência. Protegê-las com um sistema de segurança é questão vital para o futuro de um negócio. Casos de roubo de informações afetam gravemente a imagem de uma empresa ao minar a confiança do público em relação a ela. Para compreender a importância de um bom sistema de segurança de informação para uma empresa moderna, o site de Época NEGÓCIOS entrevistou Alastair MacWillson, um dos mais importantes especialistas da área.
Formado em física, pós-graduado em ciência da computação e Ph.D em criptografia, MacWillson se dedica há 24 anos ao tema. Antes de se tornar consultor, trabalhou para os governos britânico e americano. Na PricewaterhouseCoopers, fundou e comandou o serviço de segurança eletrônica da consultoria. Na Accenture desde 2002, gerencia 1.400 especialista da área. O executivo revela que, ao contrário do que muitos imaginam, a maioria problemas não vem da internet, com seus vírus moderníssimos e hackers insaciáveis. Cerca de 60% dos casos de roubos de informação vem de dentro das empresas. “Devido à natureza do seu trabalho, funcionários de tecnologia da informação acessam a base de dados de uma empresa sem intermediários e podem fazer mudanças imperceptíveis”. MacWillson defende ainda a criação de sistemas simples, capazes de deter ameaças sem prejudicar a produtividade das empresas. Para o consultor, quando bem feito, um sistema é capaz inclusive de conferir vantagens competitivas a uma organização: “Essa é uma grande mudança no mundo da segurança”.
ÉPOCA NEGÓCIOS - Quais sãos os principais riscos ao quais uma as informações de uma empresa estão expostas?
ALASTAIR MACWILLSON - A tecnologia da informação é cada vez mais importante, porque o sistema de uma empresa contém uma riqueza incrível de informações sobre clientes e usuários. Quando se fala na segurança desse sistema, a maioria das pessoas foca no mundo externo, especificamente a internet. Na realidade, cerca de 60% dos problemas e perdas, que afetam fortemente a imagem de uma empresa no mercado, ocorrem por causa de ameaças que vêm de dentro das empresas. Como os funcionários têm identidades e senhas, pensa-se que suas ações podem ser rastreadas. Nem sempre é o caso. Grande parte dos roubos de dados são feitos por funcionários da área de tecnologia da informação, que têm privilégios. Devido à natureza do seu trabalho, eles acessam sem intermediários aspectos mais sensíveis do sistema, como a base de dados ou o tráfego de informações. Um “superusuário” pode não só acessar dados como fazer mudanças. Suas ações muito mais difíceis de serem identificadas. E, muitas vezes, gangues criminosas se infiltram nas organizações ou convencem funcionários a passar informações ou a ajudar a acessar os dados. Tenho visto muitos casos assim na Europa e nos Estados Unidos. Por isso, as medidas internas precisam ser mais rígidas com este tipo de usuário. Ainda há riscos externos, como roubos de identidade e fraude online, mas a maioria das organizações com que trabalho os consideram um custo do negócio. Não são relevantes a ponto de se fazer uma reestruturação completa da sua infra-estrutura. Mas não se deve ignorar nem um ou nem o outro.
NEGÓCIOS - O que o senhor aconselha para tornar estas medidas internas de segurança mais eficazes
MACWILLSON - É preciso pensar a situação de uma forma mais completa. Não é apenas a tecnologia que é o problema. Pessoas e processos também estão envolvidos. Uma organização deve ter parâmetros e procedimentos operacionais bem claros para as situações em que um usuário pode ter acesso privilegiado ao sistema. Em 99% do seu trabalho diário, um administrador da base de dados não precisa ter acesso direto a ela. Seu acesso pode ser controlado por mecanismos comuns para rastrear o que fez e porquê. Mas, quando há uma crise, ele precisa desse tipo de acesso. Então, são necessários processos e mecanismos que conferem esse acesso extraordinário apenas em ocasiões excepcionais. É surpreendente quantas organizações permitem aos seus administradores acesso total o tempo todo sem controle sobre os dados. Novas tecnologias de gerenciamento de identidades permitem a qualquer usuário, seja um executivo ou uma secretária, acesso controlado por um sistema de segurança comum. É uma questão de bom senso aliado à tecnologia e bons processos.
NEGÓCIOS - Como criar um bom sistema de segurança sem criar um excesso de restrições e verificações capazes de comprometer o ritmo de trabalho e a produtividade de uma empresa?
MACWILLSON - Um bom sistema de segurança deve ser simples. Alguns podem até melhorar a experiência do usuário. Atualmente, já não se fala em segurança apenas para proteger dados. Um sistema bem desenhado permite melhorar um negócio, como nos casos dos bancos e suas ofertas se serviços pela internet. Se você não tivesse bons mecanismos de segurança, o acesso online não seria possível. Outro exemplo seria a cadeira de fornecedores de grandes organizações multinacionais. Elas buscam cada vez mais se abriri para seus fornecedores, clientes e consumidores. O único modo de fazer isso sem assumir muitos riscos é tem um bom sistema de segurança que permitam o grau certo de conectividade tendo a certeza de com quem eles estão lidando. Se você olhar as melhores companhias do mundo todas elas usam a segurança para melhorar seus negócios, como vantagem competitiva ou na construção de sua marca para ganhar clientes. Se eu fosse optar por uma empresa de cartões de crédito ou de telecomunicações, escolheria aquelas que me oferecem garantias de segurança e indenização em caso de roubos e fraudes. Essa é uma grande mudança no mundo da segurança.
NEGÓCIOS - O senhor mencionou que problemas de segurança prejudicam a imagem de uma empresa do mercado. Poderia dar alguns exemplos recentes?
MACWILLSON - Vários na verdade. O setor do governo americano responsável pelos seguros de saúde dos militares perdeu um laptop que não tinha o seu disco rígido criptografado. Ele tinha 27,5 milhões de registros de todos os veteranos dos Estados Unidos que têm planos de saúde. Lá estavam as especificações dos planos, o número do seu seguro social e os tipos de problemas de saúde. A imprensa descobriu e o constrangimento para o governo foi enorme. É surpreendente quando você pensa quão simples seria ter políticas para isso, como orientar os funcionários a nunca deixar seus laptops no carro ou a sempre criptografar os dados. Outro caso ocorreu com um banco no Reino Unido. Um administrador da base de dados roubou e vendeu todas as informações dos clientes e suas contas. O banco teve de contatar a todos para relatar o problema e garantir que já estavam tomando as medidas necessárias para evitar fraudes. Um outro banco, desta vez americano, estava terceirizando seu gerenciamento de aplicações para a Índia. Para a equipe indiana poder testar as aplicações, o banco enviava dados reais sobre cartões de crédito. Um funcionário de uma das empresas indianas roubou estes dados. Felizmente, estava sendo monitorado. São exemplos de como isso pode afetar as organizações. O problema não são as multas das agências reguladoras. O banco britânico teve de pagar 10 milhões de libras, um valor não muito alto para um banco. A questão é o dano a sua reputação. É com esses efeitos colaterais na relação com os clientes que a maioria dos negócios se preocupa.
NEGÓCIOS - Um dos seus exemplos foi sobre uma empresa que estava terceirizando um processo. Como evitar problemas de segurança quando uma organização envolve outras no seu funcionamento diário ou na oferta de seus produtos e serviços?
MACWILLSON - Na Accenture, fazemos terceirização para muitos clientes. Nesses casos, os padrões de segurança para parceiros devem ser mais altos do que para os clientes. Por exemplo, é possível mascarar as informações de nossos clientes. Uma equipe na Índia pode trabalhar com dados reais e fazer testes sem visualizar informações pessoais como nomes e números de seguro social. Também criptografamos as transferências de dados e controlamos rigidamente o acesso remoto ao sistema. Se uma empresa vai terceirizar, ela deve ter certeza de que a empresa contratada tem os mesmos ou níveis mais elevados de segurança aplicados internamente. É surpreendente quantas organizações não verificam isso. Elas tomam como certo o que a empresa contratada diz sobre segurança, mas não checam se é verdade ou pedem uma auditoria independente para garantir padrões de segurança em tecnologia da informação. Terceirização é uma algo que traz muitos benefícios, mas há riscos e eles precisam ser gerenciados.
NEGÓCIOS - Quanto custa para criar um bom sistema de segurança de informação simples e efetivo em uma empresa?
MACWILLSON - A maioria das organizações tem sistemas de segurança muito complexos. Falei recentemente com uma que comprou todas as tecnologias disponíveis e criou várias camadas de segurança. Eu expliquei que isso não significa um sistema melhor. Será um sistema caro e muito difícil de gerenciar. Além disso, não é possível verificar precisamente a sua eficácia. Uma das características mais importantes é a simplicidade. Eu digo aos clientes: em vez de comprar muita tecnologia, verifiquem o que já tem e como podem simplificar. Isso pode significar que eles ainda tenham de comprar tecnologia que permita integrar o gerenciamento dos processos e ter uma visão em tempo real do sistema de segurança. Há arquiteturas de sistemas simples e diretas que permitem acabar com essas várias camadas. Muitas empresas querem isso e não sabem como conseguir. Temos um banco, por exemplo, que no momento tem 80 pessoas administrando os usuários do sistema. Este banco está reduzindo esta equipe para dez ou até menos. A tecnologia custa US$ 6 milhões, mas a economia representada por ter 70 pessoas a menos e ter menos problemas no gerenciamento desses dados é enorme. O mesmo se aplica a novos sistemas de segurança. O retorno do investimento nestes projetos se dá em média em 18 meses nestes projetos. Custam dinheiro, a principio, mas reduzem custos e trazem muitos benefícios.
Fonte: Por Rafael Barifouse, in epocanegocios.globo.com
Formado em física, pós-graduado em ciência da computação e Ph.D em criptografia, MacWillson se dedica há 24 anos ao tema. Antes de se tornar consultor, trabalhou para os governos britânico e americano. Na PricewaterhouseCoopers, fundou e comandou o serviço de segurança eletrônica da consultoria. Na Accenture desde 2002, gerencia 1.400 especialista da área. O executivo revela que, ao contrário do que muitos imaginam, a maioria problemas não vem da internet, com seus vírus moderníssimos e hackers insaciáveis. Cerca de 60% dos casos de roubos de informação vem de dentro das empresas. “Devido à natureza do seu trabalho, funcionários de tecnologia da informação acessam a base de dados de uma empresa sem intermediários e podem fazer mudanças imperceptíveis”. MacWillson defende ainda a criação de sistemas simples, capazes de deter ameaças sem prejudicar a produtividade das empresas. Para o consultor, quando bem feito, um sistema é capaz inclusive de conferir vantagens competitivas a uma organização: “Essa é uma grande mudança no mundo da segurança”.
ÉPOCA NEGÓCIOS - Quais sãos os principais riscos ao quais uma as informações de uma empresa estão expostas?
ALASTAIR MACWILLSON - A tecnologia da informação é cada vez mais importante, porque o sistema de uma empresa contém uma riqueza incrível de informações sobre clientes e usuários. Quando se fala na segurança desse sistema, a maioria das pessoas foca no mundo externo, especificamente a internet. Na realidade, cerca de 60% dos problemas e perdas, que afetam fortemente a imagem de uma empresa no mercado, ocorrem por causa de ameaças que vêm de dentro das empresas. Como os funcionários têm identidades e senhas, pensa-se que suas ações podem ser rastreadas. Nem sempre é o caso. Grande parte dos roubos de dados são feitos por funcionários da área de tecnologia da informação, que têm privilégios. Devido à natureza do seu trabalho, eles acessam sem intermediários aspectos mais sensíveis do sistema, como a base de dados ou o tráfego de informações. Um “superusuário” pode não só acessar dados como fazer mudanças. Suas ações muito mais difíceis de serem identificadas. E, muitas vezes, gangues criminosas se infiltram nas organizações ou convencem funcionários a passar informações ou a ajudar a acessar os dados. Tenho visto muitos casos assim na Europa e nos Estados Unidos. Por isso, as medidas internas precisam ser mais rígidas com este tipo de usuário. Ainda há riscos externos, como roubos de identidade e fraude online, mas a maioria das organizações com que trabalho os consideram um custo do negócio. Não são relevantes a ponto de se fazer uma reestruturação completa da sua infra-estrutura. Mas não se deve ignorar nem um ou nem o outro.
NEGÓCIOS - O que o senhor aconselha para tornar estas medidas internas de segurança mais eficazes
MACWILLSON - É preciso pensar a situação de uma forma mais completa. Não é apenas a tecnologia que é o problema. Pessoas e processos também estão envolvidos. Uma organização deve ter parâmetros e procedimentos operacionais bem claros para as situações em que um usuário pode ter acesso privilegiado ao sistema. Em 99% do seu trabalho diário, um administrador da base de dados não precisa ter acesso direto a ela. Seu acesso pode ser controlado por mecanismos comuns para rastrear o que fez e porquê. Mas, quando há uma crise, ele precisa desse tipo de acesso. Então, são necessários processos e mecanismos que conferem esse acesso extraordinário apenas em ocasiões excepcionais. É surpreendente quantas organizações permitem aos seus administradores acesso total o tempo todo sem controle sobre os dados. Novas tecnologias de gerenciamento de identidades permitem a qualquer usuário, seja um executivo ou uma secretária, acesso controlado por um sistema de segurança comum. É uma questão de bom senso aliado à tecnologia e bons processos.
NEGÓCIOS - Como criar um bom sistema de segurança sem criar um excesso de restrições e verificações capazes de comprometer o ritmo de trabalho e a produtividade de uma empresa?
MACWILLSON - Um bom sistema de segurança deve ser simples. Alguns podem até melhorar a experiência do usuário. Atualmente, já não se fala em segurança apenas para proteger dados. Um sistema bem desenhado permite melhorar um negócio, como nos casos dos bancos e suas ofertas se serviços pela internet. Se você não tivesse bons mecanismos de segurança, o acesso online não seria possível. Outro exemplo seria a cadeira de fornecedores de grandes organizações multinacionais. Elas buscam cada vez mais se abriri para seus fornecedores, clientes e consumidores. O único modo de fazer isso sem assumir muitos riscos é tem um bom sistema de segurança que permitam o grau certo de conectividade tendo a certeza de com quem eles estão lidando. Se você olhar as melhores companhias do mundo todas elas usam a segurança para melhorar seus negócios, como vantagem competitiva ou na construção de sua marca para ganhar clientes. Se eu fosse optar por uma empresa de cartões de crédito ou de telecomunicações, escolheria aquelas que me oferecem garantias de segurança e indenização em caso de roubos e fraudes. Essa é uma grande mudança no mundo da segurança.
NEGÓCIOS - O senhor mencionou que problemas de segurança prejudicam a imagem de uma empresa do mercado. Poderia dar alguns exemplos recentes?
MACWILLSON - Vários na verdade. O setor do governo americano responsável pelos seguros de saúde dos militares perdeu um laptop que não tinha o seu disco rígido criptografado. Ele tinha 27,5 milhões de registros de todos os veteranos dos Estados Unidos que têm planos de saúde. Lá estavam as especificações dos planos, o número do seu seguro social e os tipos de problemas de saúde. A imprensa descobriu e o constrangimento para o governo foi enorme. É surpreendente quando você pensa quão simples seria ter políticas para isso, como orientar os funcionários a nunca deixar seus laptops no carro ou a sempre criptografar os dados. Outro caso ocorreu com um banco no Reino Unido. Um administrador da base de dados roubou e vendeu todas as informações dos clientes e suas contas. O banco teve de contatar a todos para relatar o problema e garantir que já estavam tomando as medidas necessárias para evitar fraudes. Um outro banco, desta vez americano, estava terceirizando seu gerenciamento de aplicações para a Índia. Para a equipe indiana poder testar as aplicações, o banco enviava dados reais sobre cartões de crédito. Um funcionário de uma das empresas indianas roubou estes dados. Felizmente, estava sendo monitorado. São exemplos de como isso pode afetar as organizações. O problema não são as multas das agências reguladoras. O banco britânico teve de pagar 10 milhões de libras, um valor não muito alto para um banco. A questão é o dano a sua reputação. É com esses efeitos colaterais na relação com os clientes que a maioria dos negócios se preocupa.
NEGÓCIOS - Um dos seus exemplos foi sobre uma empresa que estava terceirizando um processo. Como evitar problemas de segurança quando uma organização envolve outras no seu funcionamento diário ou na oferta de seus produtos e serviços?
MACWILLSON - Na Accenture, fazemos terceirização para muitos clientes. Nesses casos, os padrões de segurança para parceiros devem ser mais altos do que para os clientes. Por exemplo, é possível mascarar as informações de nossos clientes. Uma equipe na Índia pode trabalhar com dados reais e fazer testes sem visualizar informações pessoais como nomes e números de seguro social. Também criptografamos as transferências de dados e controlamos rigidamente o acesso remoto ao sistema. Se uma empresa vai terceirizar, ela deve ter certeza de que a empresa contratada tem os mesmos ou níveis mais elevados de segurança aplicados internamente. É surpreendente quantas organizações não verificam isso. Elas tomam como certo o que a empresa contratada diz sobre segurança, mas não checam se é verdade ou pedem uma auditoria independente para garantir padrões de segurança em tecnologia da informação. Terceirização é uma algo que traz muitos benefícios, mas há riscos e eles precisam ser gerenciados.
NEGÓCIOS - Quanto custa para criar um bom sistema de segurança de informação simples e efetivo em uma empresa?
MACWILLSON - A maioria das organizações tem sistemas de segurança muito complexos. Falei recentemente com uma que comprou todas as tecnologias disponíveis e criou várias camadas de segurança. Eu expliquei que isso não significa um sistema melhor. Será um sistema caro e muito difícil de gerenciar. Além disso, não é possível verificar precisamente a sua eficácia. Uma das características mais importantes é a simplicidade. Eu digo aos clientes: em vez de comprar muita tecnologia, verifiquem o que já tem e como podem simplificar. Isso pode significar que eles ainda tenham de comprar tecnologia que permita integrar o gerenciamento dos processos e ter uma visão em tempo real do sistema de segurança. Há arquiteturas de sistemas simples e diretas que permitem acabar com essas várias camadas. Muitas empresas querem isso e não sabem como conseguir. Temos um banco, por exemplo, que no momento tem 80 pessoas administrando os usuários do sistema. Este banco está reduzindo esta equipe para dez ou até menos. A tecnologia custa US$ 6 milhões, mas a economia representada por ter 70 pessoas a menos e ter menos problemas no gerenciamento desses dados é enorme. O mesmo se aplica a novos sistemas de segurança. O retorno do investimento nestes projetos se dá em média em 18 meses nestes projetos. Custam dinheiro, a principio, mas reduzem custos e trazem muitos benefícios.
Fonte: Por Rafael Barifouse, in epocanegocios.globo.com
Comentários