Os problemas de segurança informática, sobretudo relativos à Internet, estão na ordem do dia. Paradoxalmente, o e-business impõe-se, de modo inequívoco, como modelo de negócio.

Conseguir acompanhar as solicitações do mercado ao nível da modernização, garantindo a segurança da informação tornou-se numa das prioridades das organizações em geral e dos gestores em particular.

Têm vindo a surgir, cada vez mais frequentemente, notícias na imprensa sobre problemas graves de segurança informática: vírus que provocam paragem de organizações inteiras, bugs nas aplicações que impossibilitam o seu correcto funcionamento, intrusões em sistemas informáticos com o objectivo de aceder a contas bancárias e outros tipos de informação confidencial, ataques a Web Sites que bloqueiam os acessos por completo ou alteram as páginas publicadas. E muitos outros mais.

Este crescendo de casos relacionados com a falta de segurança de sistemas e dados levou à consciencialização global de que ninguém pode ignorar o problema da segurança informática. Muito menos alguém que tenha uma empresa a seu cargo.

"De certeza que ninguém atacará a minha empresa" já não é uma afirmação aceitável: nenhuma organização, independentemente do sector em que opera e da sua presença no mercado, se pode dar ao luxo de tentar atingir a segurança através da passividade. Os consumidores exigem privacidade e confidencialidade dos seus dados; os parceiros de negócio exigem acesso directo a informações sensíveis disponíveis nos sistemas informáticos das empresas; os sócios e accionistas querem garantir que os seus investimentos estão protegidos e os gestores precisam de impedir que o nome da sua empresa apareça nas manchetes dos jornais como mais um caso de quebra de segurança.

De acordo com a Information Week, mais de 73% das empresas nos EUA foram vítimas, em 1999, de falhas de segurança ou de espionagem por parte de entidades não autorizadas. Em 1998, o custo destas intrusões tinha atingido o valor de 136 milhões de dólares.

Efectivamente, não é por acaso que os orçamentos para segurança informática têm vindo a autonomizar-se e a atingir valores significativos: segundo um estudo da Information Security Magazine, o número de empresas que despendem mais de 1 milhão de dólares (cerca de 230.000 contos) em segurança informática praticamente duplicou de 1999 para 2000, tendo crescido 188% desde 1998. A acompanhar esta tendência, verifica-se que cada vez há menos empresas com orçamentos baixos (até $50.000 - cerca de 11.500 contos): se em 1998 esta faixa representava 52% do universo, em 2000 baixou para os 23%.

Evolução do Orçamento para Segurança Informática

(fonte: Information Security Magazine)

Estes são valores que podem parecer elevados, mas quando comparados com as perdas relacionadas com ataques de segurança, por exemplo através de vírus (talvez os mais mediáticos) tornam-se muito menos relevantes: os custos relativos ao LoveLetter (uma mensagem de e-mail com uma aplicação anexada que danificava ficheiros e se reenviava automaticamente), que varreu o planeta no ano passado, foram estimados entre os $700 Milhões e os $15.000 Milhões (entre 160 e 3.450 milhões de contos), de acordo com vários estudos.

Variantes do LoveLetter que se espalharam em seguida provocaram prejuízos de vários biliões de dólares adicionais. Esta situação repetiu-se posteriormente com o "worm" Homepage e recentemente com o Code Red, que violou milhões de Web Servers em todo o Mundo (através do aproveitamento de uma vulnerabilidade sobejamente conhecida e divulgada vários meses antes ), reforçando, mais uma vez, a falta de segurança global.
Como é possível os prejuízos atingirem valores tão elevados? Sobretudo, devido a custos de produtividade decorrentes da inactividade dos colaboradores: foram milhões de pessoas e muitos negócios estagnados durante vários dias...

Riscos

Se olhar para dentro da sua organização, decerto verá que todos os movimentos de produtos e serviços, todas as operações financeiras e grande parte das operações produtivas dependem de sistemas informáticos. Imagine então os danos directos causados pela indisponibilidade de um sistema crítico: utilizadores parados, impossibilidade de dar entradas e saídas de produtos (mesmo sendo possível produzi-los), incapacidade para executar movimentos financeiros, ou responder a encomendas são factores que significam prejuízos elevados.

Pior ainda se não conseguir dar respostas quanto ao tempo necessário para repor os sistemas em funcionamento (consequência directa de não haver, normalmente, planos de Disaster Recovery - ver caixa).

Os danos indirectos são mais difíceis de quantificar: a imagem de uma organização pode ficar tanto mais abalada no mercado quanto maior a fragilidade que apresentar a estes problemas e a incapacidade que tiver para repor o seu normal funcionamento.
Como já vimos, outros riscos que as empresas correm passam pelo acesso não autorizado a informação confidencial - imagine as contas bancárias expostas, fichas técnicas de produtos nas mãos da concorrência, a lista de ordenados a circular entre os colaboradores, informações privadas de clientes reveladas - e por alterações aos conteúdos disponibilizados nos Web Servers - o catálogo de produtos danificado, a lista de preços alterada, informações erradas, etc. -, riscos esses que podem ter consequências graves na credibilidade das organizações e consequentemente provocar facilmente danos irreparáveis.

É aqui que a segurança se pode tornar numa vantagem competitiva.

Garantir o funcionamento da organização numa ocasião em que a concorrência esteja vulnerável pode representar uma oportunidade de negócio única para fortalecer a imagem da empresa; por outro lado, não ter capacidade de resposta a solicitações do mercado significa irremediavelmente perder clientes.

O que fazer

Assuma ume atitude pró-activa: retire o item "Segurança Informática" do fim da lista de pendentes (se é que alguma vez lá esteve) e arraste-o para o topo: a segurança informática tem de ser encarada como uma necessidade primária e estratégica de cada organização e deve fazer parte do ambiente da própria empresa. A gestão deve ser o elemento catalisador de todo este processo.

Uma medida isolada não lhe vai resolver o problema. Esta questão deve ser estudada de forma abrangente por especialistas, possivelmente vindos do exterior. A segurança poderá ser comparada a uma corrente: a sua resistência depende apenas do ponto mais frágil.
Será necessário auditar a situação actual, desenvolver uma política de segurança global, e accioná-la. Todos os sistemas de informação deverão ser periodicamente auditados, por forma a verificar a aplicação desta política. A monitorização e o acompanhamento da evolução a nível mundial assumirão também um papel fundamental: o dinamismo destas questões não permite pensar em implementar hoje uma solução e esquecer-se dela durante um ano. O seguimento deverá ser diário e, mais uma vez, o recurso a especialistas é recomendado.

Se assumir rapidamente esta atitude, aí sim, a segurança poderá tornar-se numa vantagem competitiva num mercado cada vez mais agressivo.

Caixa

Voltar acima

Nuno Miller

Manager