Mobilidade exige segurança

São Paulo, aeroporto de Congonhas; terça-feira, 17h. Mais um executivo acaba de ter seu notebook roubado. O quanto você estaria preocupado se ele fosse um dos gerentes de projetos de sua empresa, voltando de visita a um de seus principais clientes? No novo mundo corporativo, onde informações estratégicas não estão mais restritas aos limites físicos da companhia e mobilidade é sinônimo de competitividade e inovação, situações como esta são cada vez mais freqüentes.

De acordo com o estudo CSI/FBI 2005 Computer Crime and Security Survey, realizado pelo Computer Security Institute, o roubo de laptops e equipamentos móveis é o terceiro ataque mais freqüente à tecnologia, tendo atingido cerca de 50% dos respondentes. Quando o assunto refere-se aos prejuízos financeiros causados pelos ataques, o relatório aponta o roubo de informações confidenciais como a terceira principal causa de perdas. Em 2005, as empresas participantes avaliaram em 30,9 milhões de dólares o prejuízo gerado pelo vazamento de informações.

Mas não se desespere. Não será necessário contratar um segurança armado para cada notebook adquirido. Também não se atreva a engavetar todos os projetos de mobilidade que, depois de muito esforço, conseguiu aprovar com a diretoria.

Governança corportiva, processos bem-estruturados, conscientização dos profissionais e o apoio da vasta gama de soluções disponíveis no mercado são a combinação necessária para que se aproveite o máximo da mobilidade, sem abrir brechas na segurança da companhia.

“A maioria dos CIOs ainda não vê as ameaças trazidas pelas conexões sem fio e pelos dispositivos móveis. Ainda não tem um plano contra elas”, avalia Ken Dulaney, vice-presidente de computação móvel, comunicações móveis e wireless do Gartner. Segundo ele, a primeira pergunta a fazer é “quais são as ameaças que te preocupam?”.

Identificadas as potenciais ameaças – e a intensidade do impacto que elas podem ter no negócio -, é importante avaliar se o risco vale a pena. “Na SulAmerica, exigimos que todos os notebooks tenham a conectividade wireless desabilitada”, conta Luis Furtado, vice-presidente de tecnologia e sistemas da seguradora. “Esta não é uma tecnologia que precisamos usar neste momento, devido à natureza do nosso negócio.”

Outra questão importante a ser analisada diz respeito a “quem precisa efetivamente desta solução?”. Em muitos casos, não há necessidade de se oferecer mobilidade indiscriminadamente a todos os funcionários. Marcelo Lau, gerente de segurança da informação do Unibanco, conta que, na instituição financeira, os recursos móveis são entregues com cautela. “Apenas o nível gerencial e alguns técnicos usam mobilidade”, revela. O uso de correio eletrônico em PDAs e smartphones é ainda mais restrito. “Só permitimos este tipo de acesso em casos especiais e sempre com alguém responsável. Caso haja mal-uso, é o responsável quem terá de responder.”

Preparativos

Você já sabe quais são os riscos, já definiu quem são os profissionais que precisam da mobilidade e tem certeza de que as tecnologias móveis serão benéficas para o seu negócio? “Recomendamos que no estudo do projeto seja incluído um capítulo sobre segurança”, aponta Marcos Julião, especialista de segurança da Módulo. Segundo ele, muitas vezes, os riscos são ampliados porque as empresas se preocupam primeiro em entregar o serviço para só depois levar em conta a questão da segurança. “Cuidado com a pressa exagerada em desenvolver produtos”, alerta.

Além do período em que as brechas ficam abertas, o principal problema dos projetos entregues antes de ter os procedimentos de segurança resolvidos é a questão cultural. Lau, do Unibanco, comenta que as regras rígidas impostas pela instituição são aceitas, em grande parte, por terem sido claras desde o início. “O mais importante é colocar na cabeça dos executivos a importância da segurança”, opina Mauro Souza, diretor-geral da e-Trust, consultoria especializada em governança e segurança.

Souza acredita que uma estratégia de segurança bem-sucedida tem as pessoas como base. “As pessoas precisam estar cientes e serem treinadas para entrarem em uma situação de alto-risco, que é o uso de dispositivos móveis”, destaca. E completa: “Os processos apóiam as pessoas e a tecnologia apóia os processos”. Alberto Fávero, da Ernst & Young, concorda: “Segurança é uma questão de processos. Precisa-se de monitoramento e de acompanhamento, além de política para conscientizar as pessoas de espera-se fidelidade”, avalia.

Porém, é claro que a indústria já se deu conta de que há um enorme filão a ser aproveitado e desenvolveu uma série de soluções que têm como objetivo tornar mais seguro o ambiente móvel. É possível classificarmos estas tecnologias em três grandes classes: as que protegem as informações que estão na rede corporativa (e podem ou não ser acessadas remotamente), as que focam no percurso entre os servidores e os dispositivos móveis e as que pretendem garantir a segurança dos dados guardados em laptops, PDAs, celulares etc.

Por toda parte

Quando se fala em mobilidade e segurança, a primeira preocupação que vem à cabeça é o risco de interceptação de informações nas redes sem fio. No entanto, este é, provavelmente, o menor dos problemas. Mobilidade não significa necessariamente acesso wireles. Laptops e PDAs sem conectividade também estão expostos a riscos, especialmente, ao vazamento de informações confidenciais.

Para garantir a confidencialidade das informações armazenadas – e transportadas – em equipamentos móveis, as soluções mais eficazes são as ferramentas de criptografia e os sistemas de gestão remota de dispositivos, além de recursos ?básicos’, como antivírus, detector de intrusão e firewall (todos disponíveis em versões específicas para aparelhos portáteis).

“Há cerca de um ano, estava em um táxi, saindo do aeroporto de Congonhas, em São Paulo, quando fui assaltado por um homem em uma motocicleta. Ele levou meu notebook e meu PDA”, relembra Renato Mendes, diretor-executivo da Contraste, consultoria em tecnologia da informação. “Eu estava em fase de teste de uma solução de criptografia e foi ótimo, porque comprovei a eficácia e fiquei tranqüilo”, conta. “Depois disso, decidimos implementar o mesmo sistema de segurança em todos os notebooks dos altos-executivos da companhia.”

A solução adotada por Mendes foi a Notebook Seguro, da Eracom, que criptografa todo o HD e restringe o acesso graças ao uso de tokens. “A procura por soluções de segurança está imensa. De janeiro a julho deste ano, as vendas do Notebook Seguro cresceram 80%”, revela Marcelo Branquinho, diretor da Eracon.

Ângelo Zanini, CEO da SCUA, especializada em soluções de segurança, também observa o crescimento do interesse por ferramentas do gênero. “Até cerca de dois anos atrás, o foco era a segurança de perímetro. Hoje, as empresas estão mais preocupadas com a segurança contra ataques internos e com a segurança das informações móveis”, avalia. Sua oferta para garantir confidencialidade consiste em uma solução para criptografia transparente e em tempo real de todas as informações armazenadas no disco rígido.

Com funcionários que passam muito tempo na rua e muitas informações sobre projetos armazenadas em seus 150 notebooks, a Promon também decidiu investir em segurança. “Adquirimos uma solução da Ultimaco [representada no Brasil pela Sondaimares] que garante a criptografia e o backup das informações”, conta Antonio Vellasco, diretor de sistemas e administração da empresa. Além disso, a conexão com a rede corporativa se dá por meio de uma VPN protegida por token. “A Promon lida com conhecimento, por isto, precisamos ter os dados protegidos”, justifica Rodrigo Suzuki, coordenador de segurança da companhia.

Na e-Trust, todas as informações sobre os clientes devem ser guardadas em disco criptografado. “Para garantir que a regra está sendo cumprida, uma vez por mês, todos os laptops são levados para a área de TI e verificados”, diz o diretor-geral da companhia, Mauro Souza, lembrando a importância dos processos. Fávero, da Ernst & Young, vai além. “Criptografia não é remédio para todos os males. Tem de haver monitoramento constante e análise de todos os riscos e possíveis ataques”, alerta.

Outra questão importante é a integridade. Foi para garantir que informações importantes não desapareçam junto com os equipamentos móveis em caso de perda ou roubo que Mendes, da Constraste, decidiu que os dados mais importantes não ficariam armazenados nos computadores portáteis. “Essas informações ficam na rede e o notebook os acessa, mas não os armazena. Acho que essa prática, somada à criptografia, nos dá bastante segurança.”

Para garantir que informações importantes não fiquem guardadas apenas nos dispositivos móveis, Fávero, da Ernst & Young, sugere que sejam implementados “mecanismos efetivos de backup”. “Estruturado e em local seguro”, destaca o consultor. A Sybase é uma das empresas que oferece soluções de sincronização que ajudam a resolver esta questão. “Com o backup automático, qualquer informação que seja alterada – no dispositivo móvel ou no servidor – é automaticamente identificada e atualizada do outro lado, assim que o usuário se loga no sistema corporativo”, conta Valsoir Tronchin, da Sybase no Brasil, explicando que o produto faz parte da estratégia Unwired Enterprise.

Também dentro desta estratégia, a Sybase oferece a solução Alfaria, para gestão de dispositivos móveis como PDAs e smartphones. “O produto tem como foco esses aparelhos porque eles não têm sistemas de segurança no sistema operacional”, explica Tronchin. O Alfaria permite ao administrador centralizar a configuração e as atualizações dos dispositivos, garante a criptografia dos dados e traz um recurso chamado Device Lockdown, que dá proteção adicional em caso de roubo ou perda do aparelho, bloqueando remotamente todas as suas funções. “Além disso, há um mecanismo de segurança que destrói as informações armazenadas no equipamento caso haja mais de três tentativas de acesso com o código incorreto”, conta o executivo.

Recursos semelhantes são oferecidos pela Intellisync, mas, neste caso, apenas para equipamentos com conectividade via rede celular. A companhia acabou de firmar contratos com as operadoras móveis Vivo e Brasil Telecom GSM e vai oferecer suas soluções de sincronização (de e-mail e informações pessoais) e de gerenciamento de dispositivos por meio das teles. No caso da Brasil Telecom GSM, o acordo inclui também o device management, que permitirá à operadora controle os dispositivos remotamente. Assim, se o usuário tiver seu dispositivo roubado, poderá entrar em contato com a operadora e pedir para que todas as informações armazenadas nele sejam apagadas.

Portas e janelas do QG

Ainda que as informações armazenadas nos equipamentos móveis estejam totalmente protegidas, o trabalho do responsável pela segurança da informação ainda não acabou. A mobilidade, além de expandir infinitamente os limites da corporação, abriu novas brechas no que poderia ser considerado absolutamente seguro: a rede interna. Neste caso, notebooks, PDAs e smartphones não estão sozinhos. Pen drives e até mesmo MP3 players passam a ser portas para invasões e vazamento de informações confidenciais da empresa.

“Não permitimos que qualquer tipo de dispositivo seja conectado à rede”, conta Lau, do Unibanco, explicando que as máquinas usadas pela instituição financeira não aceitam uso de pen drives e dispositivos semelhantes. “Não há nada tão avançado que bloqueie totalmente. Então, não usamos equipamentos que não estejam cadastrados no ambiente.”

Nem sempre a solução tem de ser tão radical. Para proteger as informações transportadas em pen drives, a SCUA tem uma solução de criptografia especialmente para esse tipo de dispositivo. “O software criptografa em tempo real todos os dados armazenados, fazendo com que elas só possam ser lidas em computadores previamente habilitados pelo sistema”, detalha o CEO da empresa, Ângelo Zanini.

Outra questão decisiva para garantir a segurança das informações corporativas em um mundo móvel é a autenticação. “O principal desafio no acesso remoto é saber se quem está do lado de lá realmente é quem diz ser”, avalia Antonio Moraes, gerente-regional para América do Sul da RSA. A principal forma de resolver este problema, hoje, é a utilização de tokens e smartcards para autenticação. Empresas como a própria RSA, a SCUA e a VASCO oferecem diversos tipos de produtos para garantir a autenticidade do usuário remoto.

Como afirma Ken Dulaney, do Gartner, “dispositivo móvel seguro é aquele trancado dentro de um cofre”. Porém, se sua empresa pretende aproveitar todos os benefícios que a mobilidade pode trazer, desenvolva um bom projeto e invista na conscientização dos usuários. Estas práticas, aliadas a algumas soluções tecnológicas, irão garantir a eficiência e a segurança do ambiente corporativo, mesmo no mundo sem amarras.

* Esta reportagem foi publicada na edição 148, de outubro de 2005, da InformationWeek Brasil.