Security Report

Risk Report

   
| Assinaturas  |  Publicidade  |  Newsletter  |
|  Contato |   Busca: 
 |
Panorama
Mercado
Pesquisa
Fusões
Cases
Carreira
Segurança
Comentário
Decision Report
Executive Report


Security Leaders no WTC. Participe!

PROOF


Você está em: Decision Report - Risk Report -

Acesso remoto: falta política de uso

Decision Report     05/01/2010

O acesso remoto cresce cada vez mais nas organizações por meio de equipamentos como iPhone, celulares, black berry, notebook, netbook. Ao mesmo tempo, com o aumento desses dispositivos, o desafio das empresas é controlar as informações recebidas e enviadas por seus colaboradores, bem como a segurança física dos aparelhos. Falta política de uso, segundo a advogada Patrícia Peck, da PPP Advogados. Os funcionários usam as máquinas tanto para fins corporativos quanto pessoal. Isso implica na ausência de segurança e controle daquilo que é utilizado. Essa foi a conclusão que especialistas, CIOs e CFOs chegaram durante o debate “Acesso Remoto Seguro” realizado pela TV Decision, em 16/12. Foram mais de 400 participantes online, além da presença de executivos de empresas como Dataprev, GM do Brasil, Tribunal da Justiça de São Paulo, Abrasinfo, Banco Panamericano, Banco Indusval, entre outras.

“Numa sociedade de conhecimento precisamos de informação para trabalhar. Entretanto, o maior desafio é conseguir regulamentar o uso desses dispositivos de mobilidade de forma que reduza riscos de segurança de informação, além de outras implicações como trabalhistas porque há um custo invisível dentro de equipes remotas”, afirma Patrícia Peck.

Ela conta um caso em que realizou um trabalho para o Tribunal Superior do Trabalho, tomando os devidos cuidados para não tornar as políticas de segurança uma camisa de força, uma vez que o judiciário hoje conta com profissionais jovens, familiarizados com o uso da internet. “Entretanto, vejo que muitas empresas ainda não possuem uma norma de mobilidade clara, sejam servidores públicos como também pra regulamentar para terceiros, não só quem acessa a VPN, mas aquele que entra na empresa carregando uma conexão wireless”, observa a advogada.

Essa questão se aplica em outros casos. Denny Roger, presidente da Abrasinfo, ilustra: “uma empresa comprou um ERP e o fornecedor precisa fazer a manutenção da aplicação. O serviço é realizado através de acesso remoto. Essa companhia se preocupa em fazer um contrato de confidencial idade entre quem comprou e o fornecedor. Entretanto, o fornecedor terceirizou ou quarteirizou o profissional. Nesse caso, a pessoa física que está fazendo o acesso remoto não possui nenhum contrato com quem contratou o serviço daquele fornecedor, o que abre uma porta para a vulnerabilidade e risco de invasão. Como fica a punição em um caso desses?”.

Segundo Patrícia, é importante que a empresa tenha um contrato com o seu colaborador remoto, com cláusulas de segurança de terceirizados, help desk de TI, além de conscientizá-lo porque 98% dos incidentes ocorrem por pessoas desavisadas sobre os riscos de mau uso desses equipamentos e exposição das informações corporativas.

Para Gerson Rolim, diretor executivo do Mercosul Digital, a legislação brasileira ainda ignora a proteção de dados pessoais, coisa que começa a ser debatido com mais afinco, mas ainda possui uma lacuna. “A Argentina e Uruguai estão mais avançadas nessa discussão e permite que os usuários troquem dados com a União Européia. Mas há a venda de coock pela internet e o cidadão não está protegido. É muito importante que o Brasil olhe com seriedade e urgência a proteção de dados pessoais”, adverte Rolim.

Maurício Tadini, gerente de TI da Speedpack Encomendas Expressas, diz treinar o pessoal da frota da companhia, além de rastreá-los. A questão, em sua opinião, é que ainda faltam ferramentas de gerenciamento capazes de garantir a segurança dos dados. Para Fernando Santos, gerente de área Check Point para o Cone Sul, a tecnologia está disponível para todos. Há vários recursos de gerenciamento para controlar o acesso remoto seguro. Mas, quem garante que a pessoa que acessa as informações é ela mesmo? “Um clássico exemplo de acesso remoto é o internet banking, todos fazem uso dessas ferramentas, mas muitas vezes, isso não é feito pelo correntista”, ilustra.

Patrícia Peck reforça que, de acordo com os casos já assistidos por ela, a maior parte das empresas não controla a porta USB, não tem software de controle de notebook e, quando se coloca uma série de soluções para gerenciar os dispositivos, o usuário fica revoltado. “Ainda precisamos fazer um plano bem pensado de uma infraestrutura de TI que pense em mobilidade segura, com normas de contrato bem escritas”, defende a advogada.

Confiabilidade
Quem garante que apenas o seu funcionário esteja usando o equipamento da empresa e, ainda, o que ele acessa é realmente dados da companhia ou faz uso pessoal do patrimônio corporativo? Esse é o principal drama das companhias que, cada vez mais, se munem de dispositivos móveis.

A solução para isso é o uso de certificação digital. Essa é a opinião de Victor Murad, vice-presidente de Serviços Públicos da Câmara e-Net. “O certificado digital poderia contribuir muito no relacionamento entre o usuário do internet banking e o banco. Uma das questões hoje que aflora nesse relacionamento é o ônus da prova sem recair sobre o banco porque o binômio usuário e senha não são respaldados juridicamente. Uma vez que o correntista é certificado, passa a se responsabilizar sobre o uso do serviço e certamente a auto-fraude vai cair drasticamente, maximizando a segurança e o acesso”.

Da mesma forma que o setor financeiro é crítico, a saúde também. Imagine uma prescrição médica na internet ser adulterada? Essa foi a indagação de Marcelo Noronha, superintendente de TI, Relações Institucionais, Telecomunicações e Segurança da Informação da Home Doctor. “Por isso, mesmo que tenhamos um programa de treinamento e conscientização de nossos colaboradores, ainda não colocamos a prescrição médica na web pelo temor de uma invasão”, diz o executivo.

“A grande diferença entre serviços médico e financeiro é que as regras de conformidade de finanças estão ligadas a acessos digitais. Já no setor de saúde, isso ainda não é assim. É um problema muito grande, conheço inúmeros médicos que sequer tem um computador”, analisa Antônio Leal Faoro, CEO da Future Security. Ele acrescenta que é possível identificar o comportamento suspeito de um usuário por meio de horários de acesso fora da curva, uso de memória, discos, rede com excesso de tráfego, uma série de eventos de segurança devidamente relacionados para identificar riscos do elemento humano.

Acesso remoto na nuvem
A M.Officer foi uma das empresas que já passou por problemas com invasões e aprendeu a lição, com o apoio da PPP Advogados. “Tivemos problemas com roubo de informações, em que foi enviado um email com dados incorretos para fora da companhia. Entretanto, avançamos em virtualização e não tenho mais informações dentro da empresa. Tudo está na nuvem e o nível de segurança que tenho é o mesmo se tivesse tudo dentro da companhia, hoje com mais de 100 filiais espalhadas pelo Brasil. Além disso, contamos com chave de criptografia, de segundo nível e usamos indicadores biométricos para toda a operação. Não permitimos acesso de notebooks de fora da empresa”, conta Jair Lorenzetti, CEO da M.Officer.

Para Fernando Santos, da CheckPoint, se uma empresa teve problema de segurança é porque não houve a obsessão necessária do CSO. “A tarefa de todos que trabalha com  segurança em TI é saber qual o novo ataque, se a empresa está preparada”.

Por outro lado, há também os que desenvolvem os códigos, os aplicativos e não devemos esquecer que são pessoas. “Às vezes cometemos o erro de atribuir a segurança só para o pessoal da tecnologia. Quem desenvolve a tecnologia são pessoas e elas também escrevem os processos”, aponta Marcelo Ribeiro, gerente de Redes de TI, responsável por segurança e infraestrutura da Catho Online. Marlon Borba, CSO do Tribunal Regional Federal da 3ª Região concorda: “é preciso educar os desenvolvedores para que saibam criar códigos seguros. Esse é um aspecto fundamental e tem sido muito desdenhado, uma vez que temos concentrado demais na questão de infraestrutura”, conclui Borba.

Portanto, na opinião de Cláudio Martins, CIO da GM do Brasil, o desafio é acessar a informação de qualquer lugar com o máximo de segurança. “Também é necessário testar a segurança dos aplicativos, mas isso é parte da metodologia de desenvolvimento de software.Quanto ao Cloud Computing, a GM já utiliza há quatro anos para a distribuição de vídeos. Você pode fazer o cloud dentro de sua empresa primeiro sem correr o risco da segurança. A evolução dessa tecnologia criará os meios de proteção usando para o benefício do negócio. Qual o balanço entre o risco que você corre e o benefício que tem? Em minha opinião, se hoje o CSO é obcecado, o CIO está doente”.

Enviar por e-mail   |   Imprimir texto

Segurança - 20/09/2016
HPE reforça segurança para o ciclo DevOps

Segurança - 20/09/2016
Links maliciosos no Facebook podem controlar conta

Segurança - 20/09/2016
Eleições são cenário para aumento de ciberataques

Segurança - 20/09/2016
A importância do gerenciamento de identidade

Segurança - 19/09/2016
Grupo divulga dados médicos de Rafael Nadal e Mo Farah

Segurança - 19/09/2016
McDonald’s vira isca para novo golpe no WhatsApp

Segurança - 19/09/2016
McDonald’s vira isca para novo golpe no WhatsApp

Segurança - 19/09/2016
Deep Web francesa tem “kits de assassinato” e drogas




Analytics não faz milagres na Segurança da Informação
*Leonardo Moreira

Segundo Leonardo Moreira, diretor da PROOF, essas tecnologias não irão substituir os sistemas de proteção conhecidos como tradicionais, tampouco as pessoas necessárias para realizar o trabalho


Copyright © 2015 Risk Report       Todos os direitos reservados.       É proibida a reprodução total ou parcial do conteúdo deste site.