A crescente necessidade de estar acessível a todos, em todos os lugares, através da Internet, implica em garantir proteção contra os ataques virtuais. O grande desafio agora é saber como se proteger e o quanto investir, para evitar invasões e o roubo de informações.

Entender que a Internet é mais uma porta da empresa que precisa ser vigiada. Esse é o argumento mais forte de quem trabalha com segurança na Rede Mundial. Assim como no mundo real, é necessário saber quem entra, quem sai, o que está trazendo e o que está levando da empresa. O único problema é que, pela Internet, as empresas não dispõem de ferramentas como câmeras, portas com detectores de armas, vigias se revezando noite e dia e muito menos alarme conectado à delegacia de polícia mais próxima. Então, o que fazer quando se sabe que a empresa está sendo invadida virtualmente?

O discurso sobre segurança empresarial gira em torno da informação, considerada hoje o maior patrimônio de uma empresa. Ao menor descuido, toda a informação acumulada ao longo de anos de trabalho poderá ser passada para as mãos do concorrente, ser do conhecimento de um hacker, ou até ir para o computador de um cracker - espécie de pirata da Internet. Ele poderá, por exemplo, roubar números de cartões de crédito usados em compras na Rede por seus proprietários e sair comprando tudo o que encontrar nos centros virtuais de compras, sem jamais ser pego. O exemplo é simples, mas ilustra bem a fragilidade do meio de comunicação mais moderno, rápido e prático e eficiente de que se tem notícia até hoje.

A discussão sobre segurança na Internet não é pequena. No Brasil ela já chegou ao Congresso Nacional, que se apressa em aprovar leis que definem o que são crimes eletrônicos, meios legais de evitar que eles aconteçam e punição para quem burlar as leis, exatamente como acontece no mundo real. Enquanto os projetos de lei não são aprovados, as empresas privadas investem milhões de dólares em segurança para proteger seu maior patrimônio, as informações. Dos usuários que costumam comprar livros pela Internet, às pequenas empresas de turismo até bancos e multinacionais de todos os ramos e tamanhos, a preocupação em cuidar dos dados e informações que circulam na rede é prioridade absoluta. 

Fóruns - Quando se fala de segurança da informação, não se fala apenas em proteção de redes com firewalls. Justamente para abranger o maior número de pontos deste assunto é que acontecem, em São Paulo, a 7ª edição do Security Fórum SP - Congresso Nacional Sobre Segurança e Auditoria da Informação, e o Internet Business Law Forum 2001. Nestes eventos, especialistas em segurança, juristas, políticos e dirigentes empresariais vão discutir planejamento e estratégias de segurança, tecnologias de autenticação, leis e tendências no uso da Rede Mundial.

A discussão ainda vai acontecer, mas empresas como o Banco Santos já estão bem avançadas nos cuidados com as informações que armazenam. O banco, que atende só clientes corporativos com faturamento acima de 35 milhões por ano, conta com apenas 5 pontos de atendimento reais, ou agências. Todo o atendimento ao cliente é feito através da página do banco na Internet. Dessa forma, o banco faz com que o atendimento seja bastante eficiente e diferenciado. 

Segundo Antônio Seita, diretor de Segurança da Informação do Banco Santos e um dos palestrantes nos eventos da Mantel.Com, o site da instituição é topo de linha em matéria de segurança para o cliente. Para que o atendimento seja realmente eficiente, assim que o cliente é admitido, o banco ministra um curso rápido sobre Segurança da Informação, orientando os usuários a otimizar a ferramenta e os serviços disponíveis. 

O banco elabora um perfil dos usuários dos serviços disponíveis para o cliente. Ele mesmo, se preferir, poderá fazer essa configuração de perfil de acordo com as funções de cada funcionário. Dependendo do perfil do usuário, o banco oferece uma identidade digital, para garantir que as operações sejam ainda mais seguras. Se alguém quiser acessar a conta corrente do cliente e errar a senha três vezes, outro esquema de segurança dispara e-mails a todos os usuários cadastrados, avisando que alguém estranho está tentando entrar na área reservada. 

Sigilo - Os cuidados com as informações cadastrais e financeiras do cliente não se restringem à página da Internet. O controle de acesso aos funcionários à Rede Mundial também é muito rigoroso. O banco não permite o acesso de todos os funcionários a ela e os e-mails são vigiados bem de perto. Há regras para mensagens eletrônicas, filtros para arquivos atachados e auditorias freqüentes. O banco possui um low-base com o perfil de cada funcionário e o supervisor de rede é quem define quem tem acesso a Internet e ao correio eletrônico. 

"A informação é nosso maior patrimônio. Estamos lidando com dados extremamente sigilosos sobre nossos clientes e sobre o que eles possuem. Não podemos negligenciar com isso. Nossa imagem e reputação estão em jogo, e esse é o argumento usado para justificar um investimento de 20% do orçamento na área de Segurança da Informação", afirma Antonio Seita. 

Ainda segundo o executivo, "o setor financeiro saiu na frente na proteção de informações e a tendência é isso se expandir cada vez mais para outros setores. O que acontece com as demais empresas é que elas ainda não estão tão conectadas como as instituições financeiras, mas a tendência é aumentar cada vez mais a procura por equipamentos, sistemas e estratégias que garantam um gerenciamento eletrônico mais tranqüilo". Mesmo com todo esse esquema de segurança à disposição, se o cliente precisar poderá ligar para a Diretoria de Segurança da Informação para obter ajuda ou mesmo esclarecer alguma dúvida.

Outsourcing - A rapidez com que a Internet está se expandindo no País está fazendo com que o assunto segurança se torne cada vez mais popular, aumentando a necessidade de profissionais com grande conhecimento em administração de redes. Apesar da crescente necessidade da segurança de rede, a empresa não precisa destacar funcionários, ou até contratar novos, só para realizar esse trabalho. O outsourcing é uma boa opção para empresas que precisam de monitoração contínua de sua rede. A experiência vem sendo apontada como forte tendência na área de segurança da informação aos que precisam de proteção sem precisar se aprofundar no assunto.

Desde 1999, quando as empresas começaram a enxergar na Internet um negócio promissor, as equipes de Tecnologia da Informação ganharam maior importância nesse quadro. Os executivos dessa área têm hoje o desafio de entender os processos de segurança e tecnologia e ainda administrar o pessoal neles envolvidos. Optando pelo outsourcing, a empresa pode se concentrar no seu negócio principal, sem descuidar da segurança que o envolve.

Pensar no quanto os dados e informações são importantes para a empresa é o primeiro passo para a definição da política de segurança a ser adotado. Estimar o valor destas informações para a empresa vai indicar o quanto ela deve investir em proteção. Para Dario Caraponale, diretor de Tecnologia da Hitech (subsidiária brasileira da E-Tech, empresa especializada em proteção virtual, há 25 anos no mercado brasileiro), não existe um pacote pronto de proteção. 

"Tudo vai depender da análise de risco da empresa, e isso é definido ao analisar se as informações são facilmente acessíveis, o perfil dos funcionários da empresa, o que ela tem a proteger e de quem são as informações armazenadas em seus arquivos. É por isso que não dá para estimar os gastos. Para uma empresa de médio porte, eles podem variar de alguns poucos mil a até milhares de dólares. É um investimento que sempre vale a pena se você avaliar todas as informações que uma instituição acumula durante seus anos de vida".

Quatro pontos - Um sistema só é seguro quando é possível analisar quatro pontos: confidencialidade da informação, ou quantas pessoas têm acesso a ela; autenticação, o que mostra que a pessoa que assina o documento é realmente quem o escreveu e enviou; integridade, quando o documento ou mensagem não sofreu nenhuma alteração; e por fim o não repúdio, o que impede que a pessoa que o escreveu e o enviou negue a atitude. 

Para completar toda a estrutura de segurança, é imprescindível fazer auditorias periódicas, para identificar as falhas e os agentes dos problemas e, o mais importante, garantir que os colaboradores da empresa estejam seguindo os procedimentos pré-definidos necessários à proteção das informações.

Com o outsourcing, o cliente terá a exata noção do que precisa, com a garantia de ser atendido por especialistas no assunto, disponíveis sempre que ele precisar.  "Como são especialistas, os profissionais vão observar todas as regras acima, sem risco para o negócio do cliente. Ele poderá, dessa forma, se concentrar nos seus processos internos, ao mesmo tempo em que conta com o know-how de aliados", ressalta Caraponale, que falará sobre o outsourcing no Security Fórum SP.    

Iniciativa - Para Caraponale, "a iniciativa da Mantel.Com, de fazer eventos contemplando a discussão sobre segurança e legislação, mostra que ela está preocupada em estreitar  os relacionamentos entre empresas que precisam de um plano de segurança e empresas que trabalham com a segurança de que elas precisam. Isso vai reforçar a idéia de segurança da Internet e ao mesmo tempo facilitar novos negócios". 

Antônio Seita, do Banco Santos, vai pelo mesmo caminho: "O evento é importante pois possibilita uma catequese das empresas inseridas no comércio e relacionamento eletrônicos. O assunto ainda precisa ser mais explorado, só assim conseguiremos despertar a consciência das empresas para a importância de se proteger de ataques virtuais". O executivo estará presente no Security Forum para falar sobre "Investimento em Segurança, Como Justificar e Priorizar".

Riscos - Tomar cuidado com documentos e dinheiro já não é preocupação só de quem anda nas ruas. Impedir que pessoas estranhas e mal intencionadas tenham acesso a informações sigilosas e documentos importantes, como dados bancários e autorizações, tornou-se dupla preocupação desde que a Internet passou a estar presente no cotidiano das pessoas e das empresas. Junto com o conforto e a comodidade, a Internet trouxe uma nova modalidade de crime: o eletrônico. Fazer compras, verificar o saldo no banco, passar ordens e autorizações por e-mail, muito mais do que simples conforto, é agora também fonte de preocupação para quem se utiliza da rede mundial.

Não é raro conhecer alguém que já teve o seu cartão de crédito clonado, ou o RG e CPF usados por terceiros, bem como saber de bancos, lojas e empresas que tiveram suas informações nas mãos de invasores virtuais. O próprio governo federal já enfrentou o problema quando da invasão de sua página na Internet por hackers. Os crimes eletrônicos estão se tornando cada vez mais comuns. 

Nos Estados Unidos, um dos países que mais investem em segurança de Internet, 155 sistemas do governo foram violados só no ano passado, enquanto cerca de 64% das empresas americanas registraram prejuízos estimados em US$ 378 milhões, por conta das invasões. No Brasil, 41% das empresas pesquisadas sequer sabem se foram invadidas. Das empresas que afirmaram ter sofrido algum tipo de invasão,  85% disseram não ter sido possível quantificar o prejuízo. Os dados nacionais são da Módulo, empresa especializada em segurança eletrônica, que terá seus principais executivos como conferencistas dos eventos.

Em Brasília - O assunto é tão sério que deputados e senadores já apresentaram vários projetos de lei tipificando o que é crime na Internet. Ao todo, são 113 projetos, mas apenas 20 são relevantes e estão sendo discutidos no Congresso Nacional. Procuram abranger segurança na Web, assinatura e autenticação digital, respeito às leis de proteção dos outros países e até a responsabilidade dos provedores em abrigar conteúdo proibido em seus equipamentos. 

Projetos como o do senador Maurício Correa, que define como crime de violação ou adulteração de bancos de dados, a utilização e comercialização de documentos eletrônicos cujo acesso não tenha sido autorizado. Outros projetos de parlamentares tratam de comércio eletrônico, certificação, assinaturas digitais, validade jurídica de documentos virtuais e até sobre a forma de arquivamento de documentos eletrônicos. No Internet Business Law, os deputados federais Julio Semeghini e Luiz Piauhylino serão os palestrantes da sessão de abertura do evento, abordando o tema "Projetos de Lei para o Mundo Digital Brasileiro". Eles são os relatores do texto "Documento Eletrônico e Assinatura Digital" que tramita no Congresso.

Luis Fernando Martins Castro, advogado e professor de Informática Jurídica na FAAP, também um dos conselheiros do evento e palestrante da sessão de conclusão do IBLaw, garante que não há necessidade de se criar mais leis. “As leis a serem aplicadas são quase que as mesmas do Código Civil atual, bastando serem feitas apenas algumas alterações para abranger também o crime virtual”, diz o advogado. Segundo ele, alguns itens específicos merecem atenção especial, como a proteção aos dados pessoais, por exemplo. Enquanto na Europa o controle é bastante rígido, no Brasil não há lei que proteja quem possui esse tipo de informação. “O mais interessante é que as leis brasileiras derivam das leis européias, só que lá, a preocupação com a segurança das informações chegou primeiro. O Brasil está demorando a adotar as mesmas regras”, comenta Martins Castro.

Certificação Eletrônica - Um dos pontos mais importantes – e que promete muitas discussões – a respeito de segurança na Internet é a assinatura eletrônica. Hoje em dia, um documento só é considerado válido se a assinatura for reconhecida por um cartório como sendo idêntica à da pessoa que assinou. Isso invalida qualquer contrato ou documento que esteja circulando na Internet e que pretenda ser reconhecido como autêntico, mesmo sem ter passado por algum cartório. A única forma de validar documentos eletrônicos é uma autenticação eletrônica. Esse sistema já existe, mas precisa de aprovação do Congresso Nacional para se tornar legal. 

Todos são unânimes em reconhecer a necessidade da certificação digital. Algumas empresas privadas já praticamente aboliram a circulação de papel pelas mesas dos funcionários, fazendo valer apenas o que é escrito em e-mails. Para a justiça, o problema já não é tão simples. Há a necessidade de provar que determinado documento foi realmente aprovado por quem assina e, principalmente, provar que não sofreu nenhuma adulteração, já que é muito fácil alterar textos, dados e imagens virtuais.

Atualmente, a autenticação de documentos é feita em cartórios, cujo carimbo ou selo valida qualquer documento. O ponto que está sendo discutido no Congresso  Nacional é quem estará habilitado a validar os documentos eletrônicos, se empresas, bancos, entidades de classe, ou se a tarefa continuará sendo monopólio dos cartórios. Segundo Martins Castro, um dos projetos propostos por deputados filiados à OAB prevê que os serviços de autenticação continuem sendo fornecidos pelos cartórios, mas que entidades de classe como a OAB, Fiesp entre outras, bem como bancos e associações também possam prestar esse serviço. 

“São entidades e empresas idôneas, preocupadas em prestar um bom serviço.  As chances de fraudes são muito pequenas, dado o cuidado que têm com as próprias imagens e integridade moral” completa o advogado. Para ele, ainda que as entidades públicas e privadas possam validar documentos eletrônicos, o modelo privado vai prevalecer, assumindo mais tarde o papel dos cartórios na certificação de documentos. “Para os atores da Era Digital, existe a percepção de que o modelo já está lançado, agora é só entrar na roda”, diz Martins Castro. 

“De fato, países como a República Tcheca, Colômbia, Espanha e Portugal possuem as leis mais eficientes do mundo para o controle do comércio digital e são bons exemplos a serem seguidos. O Brasil, por sua importância neste mercado, precisa estar alinhado aos países parceiros nos negócios. Os bons modelos estão aí e é imperativo e urgente não deixar que problemas burocráticos impeçam as empresas aqui instaladas, nacionais ou não, grandes ou pequenas, de participarem do mundo digital”, conclui o presidente da Mantel.Com, Robert Janssen.

Veja mais:
Em SP, segurança e legislação para Internet