Por Genilson Cezar | Para o Valor, de São Paulo
Mostrar uma nova maneira de trabalhar com segurança da informação é o esforço dos fornecedores de tecnologia para convencer as empresas a adotar políticas de segurança no ambiente de computação em nuvem (“cloud computing”). “A estratégia é tratar a segurança não só no que se refere à tecnologia, mas também na parte de processos, no campo jurídico e contratual. Tudo isso traz segurança para o cliente”, diz José Luís Spagnuolo diretor da área de “cloud computing” da IBM Brasil.
Segundo o executivo, a implantação de uma política de segurança na nuvem não é só algo técnico. “É preciso que as empresas criem um programa rigoroso de monitoramento, confidencialidade, acesso dos usuários, provisionamento de sistemas e aplicações, e governança.”
A IBM, com sua unidade Security, segundo ele, atua com soluções e competências na área de segurança da informação. Nos últimos anos, investiu cerca de US$ 3 bilhões, adquirindo cerca de 60 empresas. A estimativa é faturar perto de US$ 7 bilhões com “cloud computing” até 2015.
A área de segurança tem profissionais especializados e um grupo de pesquisa e desenvolvimento chamado X-Force, que descobre, analisa, monitora e registra ameaças de segurança a computadores, vulnerabilidades, além das tendências e dos métodos mais recentes utilizados por invasores. “Utilizamos esses dados para desenvolver técnicas de proteção e convencer os nossos clientes a adotarem uma política de segurança na nuvem”, afirma Spagnuolo.
A tecnologia é um componente importante para a construção de uma política de segurança, diz Rodrigo Rezende, engenheiro de sistemas da VMware do Brasil, fornecedor de soluções de virtualização e infraestrutura em nuvem. Do ponto de vista de tecnologia, em ambientes com máquinas virtuais é preciso aumentar os controles e a visibilidade da nuvem, acompanhar quem e de onde são feitos os acessos às informações. “Hoje, há várias práticas de segurança que devem adaptar-se à computação em nuvem – autenticação, controle de acesso, privacidade, confidencialidade e conformidade.”
Os provedores de soluções de TI avaliam que os ambientes em “cloud computing” são mais protegidos do que os existentes nas empresas. “A maior falha de segurança está dentro da casa, por não ter políticas de segurança claras e onde nem todos os usuários estão treinados”, explica Bráulio Lalau de Carvalho, diretor de global delivery center da Stefanini, uma das principais provedoras globais de soluções de negócio baseadas em tecnologia.
Os maiores riscos, diz o executivo, são sempre com empresas que fazem transações financeiras. Por isso, uma preocupação – assim como as pessoas se preocupam com suas senhas de banco – deve ser com a gestão da identidade corporativa, com a identificação do usuário e da senha dentro da empresa. “Gerenciar os usuários, quem pode ter acesso, é básico para uma política de segurança, tanto internamente quanto em soluções de “cloud computing”. Em seguida, é preciso de auditorias frequentes para garantir este gerenciamento de forma eficaz.”
Como envolver os usuários nos propósitos de uma boa política de segurança na nuvem? A CentralServer, uma empresa de consultoria especializada em computação em nuvem, propõe uma abordagem em duas frentes: a primeira é o treinamento das equipes de atendimento quanto aos procedimentos de segurança a serem seguidos para lidar com os dados dos usuários, preservando a privacidade e bloqueando ataques de engenharia social; a segunda é a educação dos usuários quanto às melhores práticas de segurança, feita através de boletins periódicos e informações na web.
Segundo Juliano Simões, diretor de tecnologia da Central Server, um exemplo positivo pode ser a criação de um Centro de Resposta a Incidentes, com atuação 24 horas por dia. “Esta equipe identifica falhas de segurança na programação de sites hospedados e casos de caixas postais invadidas e previne contra esgotamento de recursos de tecnologia contratados”, diz.
Novos serviços para proteger as informações
Mais novo modelo de outsourcing para gestão de segurança, as soluções de segurança como um serviço, em inglês security as a service (SecaaS), ampliam sua cobertura em computação em nuvem e buscam se consolidar também no segmento de pequenas e médias empresas, considerado o elo mais fraco da cadeia. A Symantec investiu perto de US$ 40 bilhões nos últimos 12 anos, em aquisições de 38 software-houses, entre elas, a Veritas e a Verisign, para montar um dos mais completos portfólios de produtos para segurança na nuvem.
No Brasil, a Symantec está oferecendo 16 serviços de backup e segurança integrados em sua linha de negócios cloud, além de sistemas que protegem os usuários contra spams, vírus, malwares, proteção de comunicações via e-mail, criptografia e autenticação como serviço. No início do ano, a provedora americana fechou uma parceria com a Ativas, empresa de tecnologia da informação (TI) dos grupos Asamar e Cemig, para oferecer aos clientes brasileiros soluções mais sofisticadas de gerenciamento de eventos e de incidentes como serviço, conhecidas como Managed Security Services (MSS).
De maneira prática, diz Sérgio Dias, especialista da Symantec em cloud para a América Latina, o serviço de MSS funciona através da Global Intelligence Network (Rede de Inteligência Global), da Symantec, composta por mais de 64,6 milhões de sensores e registros de milhares de eventos por segundo, que monitora a atividade de ataques em mais de 200 países. O objetivo é dar suporte às empresas no processo de respostas a incidentes identificados. A Ativas recebe em tempo real as informações fornecidas pela rede global da Symantec e conduz as providencias no ambiente dos clientes, utilizando as melhores práticas recomendadas pelo gerenciamento de serviços, em tempo real.
A McAfee, outro fornecedor de produtos de segurança baseados na internet, apresenta várias novidades no mercado brasileiro, entre eles, o Endpoint Protection (bloqueia vírus, spyware, ameaças e ataques de hackers), o Email Protection & Continuity (proteção de emails), Email Encryption (ajuda a criptografar informações valiosas), Email Archiving (simplifica as pesquisas de email), Web Filtering (impede que funcionários acessem sites que expõem a organização a vírus, malware e outros riscos de segurança), Vulnerability Assessment (tecnologia de varreduras de vulnerabilidades, ajuda a proteger mais de 80 mil sites) e PC Certification & Website Trustmark Certification (um serviço seguro para web sites, feito remotamente, com certificação).
Segundo Bruno Zani, engenheiro de sistemas da McAfee do Brasil, são produtos fáceis de instalar e operar. Os produtos retiram a necessidade do cliente hospedar uma infraestrutura própria para gerenciamento e monitoramento das suas aplicações de segurança. (GC)
Apólices ainda são limitadas
Por Denise Bueno | Para o Valor, de São Paulo
Sua empresa está protegida de um ataque de hackers? Quais os prejuízos caso os dados de clientes sejam roubados? Geralmente, quando o corretor de seguros faz essa pergunta aos gestores de riscos das corporações, a resposta é sim para a primeira e não sei para a segunda. No entanto, o risco de ter os dados roubados e arcar com indenizações elevadas é cada dia maior.
Uma pesquisa sobre percepções do risco cibernético, patrocinada pela seguradora americana AIG, revelou que entre os executivos, a maioria está mais preocupada com as ameaças virtuais do que com outros riscos empresariais. Mais de 85% dos 258 pesquisados disseram que estavam muito preocupados ou pelo menos cautelosos com os riscos cibernéticos em suas organizações – índice superior aos de perda de renda (82%), danos à propriedade (80%), e títulos e investimentos de risco (76%).
Mais de dois em cada três (69%) executivos e corretores acreditam que o risco para a reputação decorrente de um ataque cibernético é muito maior do que o de um risco financeiro. A grande maioria dos corretores e executivos (82%) considera que os hackers são a principal fonte de ameaças, embora uma parcela significativa, de 71%, também aponte o erro humano como um componente significativo para o risco cibernético.
“As empresas relutam em admitir que o risco existe. Estamos no processo de criação de cultura, como aconteceu com o seguro de responsabilidade do executivo. Ninguém comprava Directors & Office (D&O). Hoje dificilmente uma companhia de médio e grande porte fica sem”, diz Mauro Leite, diretor da corretora Marsh.
“Acreditamos no potencial do produto e que a demanda deva crescer bastante assim que o Brasil aprovar a legislação específica para crimes cibernéticos, provavelmente ainda nesse ano”, afirma Renato Perosa, gerente de produtos financeiros da corretora Aon Risk Service
Leite conta que já ofertou o seguro para riscos cibernéticos a várias empresas, mas até agora não fechou negócio. Perosa fez a cotação do produto para algumas empresas, mas até agora apenas uma apólice foi fechada, protegendo uso e custódia de conteúdo de mídia de terceiros. Já a única seguradora a oferta o produto contabiliza três contratos fechados.
Do Valor Econômico