we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

19 jan, 2010

Proteção acessível para as PMEs

Roberto Sousa

Tem 12 artigos publicados com 14400 visualizações desde 2009

Roberto Sousa
Publicidade

As Pequenas e Médias Empresas (PME) têm ao seu alcance, hoje, diversas opções para garantir um nível mais elevado de proteção de suas redes e do seu negócio. Como estas empresas cada vez mais informatizadas, surge a necessidade de gerenciar redes com 30, 50, 80, 100 computadores, de forma a garantir a segurança dos dados e a continuidade dos negócios da empresa, mas parece que alguém se esqueceu de avisá-las.

Entre os diversos serviços de uma rede que necessitam de um acompanhamento instantâneo, destaco os serviços de proteção contra vírus e firewall de rede, devido ao crescente aumento das ameaças virtuais que vêm se concretizando em riscos reais.

O tempo para identificar alguma alteração no comportamento dos equipamentos da rede até a tomada de uma ação de resposta pode ser crucial aos negócios da empresa. Eu já acompanhei vários atendimentos em que empresas praticamente pararam por um dia inteiro, após um ataque de vírus se espalhar por toda a rede sem que fosse percebido pelos usuários e pela equipe de TI. O cálculo para contabilizar um prejuízo desta proporção ultrapassa qualquer investimento em soluções de segurança da informação.

As principais características das empresas que passaram por este tipo de ocorrência seguem um padrão de comportamento similar. Verifique se a sua empresa se encaixa em uma das situações:

1. Uso de antivírus gratuitos ou proprietários, instalados localmente nas estações e servidores sem um gerenciamento centralizado.

Esta situação presente na maioria das PMEs já apresenta dois grandes problemas. O primeiro é a falta de um gerenciamento centralizado, que não permite à equipe de TI identificar ataques na rede ou localizar quais computadores estão com suas vacinas desatualizadas. Também não permite ao administrador identificar, com ajuda de relatórios, quais as principais ameaças que afetam sua rede para poder tomar decisões imediatas e com foco no problema específico.

O segundo problema que muitos administradores não sabem ou ignoram é que a instalação destes antivírus gratuitos possui limitação não só técnica, mas também comercial. Produtos gratuitos muito conhecidos como AVG, Avast! ou Avira são bem claros, em seus termos de aceitação, sobre a limitação para uso apenas doméstico.

A Grisoft criou recentemente uma versão free para micro-empresas com até 05 estações, o AVG Antivírus Free: Small Business Edition. Em qualquer outra situação, a empresa é obrigada a adquirir as versões Professional dos produtos de cada fabricante ou então assumir os riscos de uma fiscalização dos fabricantes ou de entidades como a Associação Brasileira de Empresas de Softwares (ABES). Basta uma denúncia de um funcionário ou um concorrente para que a empresa seja investigada e sem aviso, receba a visita da fiscalização com o apoio de um mandado da justiça. A pena prevista é de seis meses a dois anos de detenção, além da multa elevada. Todos os que tiverem envolvimento comprovado respondem pela ação, seja do presidente ao funcionário do escritório.

2. Achar que a aquisição de uma solução de antivírus corporativo resolverá todos os problemas de segurança da rede.

Hoje o mercado possui excelentes soluções de antivírus corporativos de fabricantes como a Mcafee, F-Secure, Kaspersky. Todas com preços acessíveis, oferecendo recursos como o gerenciamento centralizado e a integração de ferramentas como firewall, antispam, filtro de navegação e filtro de emails. Mas todos estes recursos não eliminam outras ameaças de grande potencial.

Quem não se lembra do Conficker? Este malware que é considerado o pior na história da Internet se propagava por meio de uma falha nos sistemas operacionais Windows, que não estavam com seus updates atualizados. De nada adianta trancar a porta da frente da casa e deixar todas as janelas abertas. De nada adianta investir em uma solução de antivírus e não manter seus sistemas atualizados e corrigidos. Grande parte deste problema ocorre pelo fato das empresas ainda adotarem softwares piratas, que dificultam a aplicação de atualizações. Como disse o famoso hacker Kevin Mitnick em reportagem à revista Veja, “ter o programa original não é uma blindagem, mas diminui significativamente a margem de ataques”.

Outra ilusão de muitos empresários é achar que vírus e spwyares são os únicos tipos de ameaças na rede que podem causar prejuízos. O uso inapropriado da internet por parte dos funcionários traz outras ameaças aos negócios da empresa. Pesquisa realizada pela Qualibest no Brasil aponta que 87% dos funcionários usam a Internet da empresa para fins pessoais. Entre as principais atividades estão:

  • 79% usam e-mail pessoal no horário do expediente;
  • 63% com pesquisas pessoais em sites de busca;
  • 58% acessam sites de notícias;
  • 52% com Internet banking;
  • 17% com download de músicas
  • 6% em jogos online;

A pesquisa não questionou acesso a conteúdo adulto.

Uma outra pesquisa, da Websense, mostra que um funcionário perde duas horas/dia do trabalho navegando em sites não relacionados com sua atividade. Em uma semana, perde-se em torno de um dia de trabalho. Isso ainda pode se tornar um agravante para a empresa, dependendo do tipo de acesso que estes funcionários realizam. O Código Civil Brasileiro é claro em responsabilizar o empresário caso algum funcionário venha a cometer crimes como:

  • Violar direitos autorais, seja pelo download ou compartilhamento de músicas, filmes, softwares proprietários, livros, ou qualquer outra obra de propriedade intelectual, em qualquer formato;
  • Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente;
  • Expor sem justa causa, segredos profissionais que possam causar prejuízos.

Estes crimes são punidos com detenção e multa para todos os envolvidos, incluindo os responsáveis pela empresa, mesmo que estes não tenham participação direta no delito.

O roubo ou o desvio de informações também está se tornando uma ameaça aos negócios das empresas, devido às dificuldades em gerenciar tantos dados, sendo muitos deles considerados críticos e de grande importância à empresa. Seis em cada dez funcionários roubam dados, principalmente quando são demitidos, segundo reportagem da BBC Brasil. O uso de pendrives e celulares com diversos recursos de conexão facilitam este tipo de ação.

O empresário responde diretamente pelas ações cometidas pelos seus funcionários, quando estes utilizam os recursos da empresa para tal prática.  A lei entende que o empresário possui condições para monitorar as atividades de seus funcionários no ambiente de trabalho. Ferramentas como o BRMA e OMNE-SmartWEB da empresa BR Connection são excelentes opções para as PMEs que não querem ficar expostas. Por ser um produto nacional, financeiramente seu custo é acessível. Tecnicamente atende às necessidades com recursos como firewall de rede, monitoramento e controle de acesso a Internet e e-mails, controle de banda do link de Internet, controle de aplicativos como mensageiros instantâneos e programas de P2P usados para o download de músicas e filmes, além de diversos relatórios e gráficos para gestão da rede. Há ainda outros produtos similares que possuem estes recursos, ao alcance das mãos de qualquer empresa, basta pesquisar no mercado.

3. A equipe de TI não está preparada para absorver este tipo de função ou se quer a empresa possui um departamento de TI estruturado.

Essa característica é comum nas PMEs brasileiras, mas isso não justifica que o empresário não deva tomar decisões em busca de melhorias na segurança de sua rede, e consequentemente do seu negócio. Estas limitações podem ser suprimidas através de investimentos no seu próprio pessoal de TI, quando for o caso, ou ainda em investimentos em parcerias externas, que possam oferecer a prestação de serviços especializados em segurança da informação.

Hoje o empresário pode ter seu departamento de TI total ou parcialmente terceirizado, com garantias em contratos de que os objetivos de ambos os lados sejam alcançados. Termos antes usados apenas em grandes corporações, começam a ser assunto para as pequenas e médias empresas, como por exemplo, Outsourcing (Terceirização de serviços especializados), SaaS (Software as a Service / Software como Serviço) ou Cloud Computing (Computação em Nuvem) são soluções acessíveis, desde que antes seja feito um trabalho de levantamento preciso, para entender o que realmente o cliente necessita, não oferecendo nem a mais e nem a menos, permitindo mensurar o retorno sobre esse investimento em segurança.

Nenhuma destas características pode ser considerada barreira intransponível, nem técnica, nem financeiramente. Para todos os casos há uma solução viável.

De 0 a 10, o quanto você recomendaria este artigo para um amigo?

Roberto Sousa
Saiba mais

Roberto Sousa

edit12 Artigo(s)

É Analista de Segurança da Informação na ABCTec, com 19 anos de experiência na área de TI, especializado em análise de vulnerabilidades e no tratamento de incidentes de segurança. Graduado em Análise e Desenvolvimento de Sistemas, pós-graduado em Investigação de Fraudes e Forense Computacional e pós-graduando em Segurança da Informação, com certificações técnicas como Information Security Foundation based on ISO/IEC 27002 e de soluções do mercado de tecnologia como F-Secure e ADOTI. Diretor Adjunto do Dep. de Tecnologia do CIESP – São Bernardo do Campo e membro do Comitê da Associação Brasileira de Normas Técnicas ABNT/CB21:CE27 sobre Segurança da Informação.