As mais recentes estatísticas apontam que o Brasil é o país com maior vulnerabilidade em seus sistemas de informação e aquele que menos atualiza seus ambientes computacionais. Os profissionais que trabalham na área de TI das empresas sabem o quanto é difícil conseguir a aprovação dos projetos relativos à segurança da informação. Sempre existe algum projeto voltado, em geral, para atender aspectos mais operacionais (ou emergenciais) da empresa, que acaba tendo uma prioridade maior, enquanto que a proteção dos sistemas e dados da empresa, que são um patrimônio valioso, e o acesso mais seguro aos mesmos, vão ficando para depois.
Gostaria de levantar algumas hipóteses para essa realidade, pois acho que a questão é muito mais cultural do que técnica ou financeira. O fato recente dos jogadores da Mega Sena que ganharam e não levaram o prêmio porque seu “bolão” não foi enviado para a CEF mostra como nós, brasileiros, funcionamos. Somos um povo que confia (às vezes demais) nos outros e sequer nos passa pela cabeça que alguém possa cometer uma falha ou mesmo possa agir de má fé, como se todos nós fôssemos pessoas de boa fé e sempre competentes – e realmente a maioria o é. Entretanto, segundo pesquisa da Pricewaterhouse & Coopers de 2008 (anexa), 93 % dos ataques a redes das empresas são por feitos por funcionários e ex-funcionários. Esses números mostram que, mesmo sendo minoria, colaboradores não-confiáveis podem fazer um bom estrago e causar prejuízos financeiros em uma empresa. Mas quem são eles?
Além da nossa boa fé, temos ainda arraigada em nossa cultura uma valorização distorcida do nosso lado prático. Somos bons em dar um jeitinho em tudo, o que nos leva a correr riscos desnecessários. Somos bons de improviso, não gostamos de planejar (dá trabalho!) e também porque é preciso planejar o que poderia acontecer de ruim, planejar o que poderia ocorrer diferentemente do que nós gostaríamos. Confiar na nossa capacidade de resolver problemas inesperados não deveria reduzir a importância do planejamento da segurança, mas completá-lo.
Temos também uma tendência de querer levar vantagem em tudo, temos certa arrogância e falsa superioridade em não respeitar as regras como todos os demais, herança de nossa colonização Imperial e aristocrática. Uma arrogância que levou Ícaro da Mitologia grega (e o padre Adelir Antônio de Carli, aquele dos balões) a irem além do limites da segurança, acabando tragicamente.
Um exemplo bem atual dessa situação, que tenho acompanhado de perto nos últimos anos, é a falta de segurança do SPED (Sistema Público de Escrituração Digital): vários especialistas em Segurança da Informação têm afirmado o quanto as empresas ficam vulneráveis com utilização dos Certificados Digitais A1 para a assinatura das Notas Fiscais Eletrônicas (NF-e), pelo fato de ele poder ser facilmente utilizado por pessoas mal-intencionadas na fraude desses documentos. Citam, inclusive, a existência de investigações em segredo de justiça envolvendo o uso indevido desse tipo de Certificados.
Apesar disso, estimam também que cerca de 95% das empresas ainda adotam o Certificado A1, numa opção de custo x benefício ruim, pois o mercado já oferece soluções de custo acessível para o uso de Certificados Digitais A3, muito mais seguros (e baratos!), com a utilização de HSMs (Hardware Secure Modules), tanto para a aquisição destes quanto para a sua contratação como serviço de armazenamento externo seguro das chaves e documentos do SPED. O uso de HSMs é, inclusive, recomendado pelo Manual de Integração do Contribuinte da NF-e.
A Segurança da Informação deve levar em conta seu custo x benefício: coisas ruins podem, sim, ocorrer com o ambiente de TI de uma empresa; as pessoas erram, sim, (são humanas) e podem perder dados importantes da empresa; existe, sim, muita gente não identificável, tentando ganhar dinheiro invadindo seus computadores e obtendo informações ou documentos valiosos. Os dados de uma empresa podem, sim, estar sendo roubados neste exato instante, até mesmo por pessoas envolvidas diretamente atividades da empresa, e os responsáveis nunca o saberão, simplesmente porque os Crimes Digitais não deixam impressões digitais! Seria paranóia, não fosse – infelizmente – a realidade.
Precisamos passar a tratar a segurança das informações empresariais de maneira profissional, como tratamos os demais bens patrimoniais da empresa. Dados, processos e informações são um patrimônio valioso da empresa, talvez os mais valiosos num mundo cada vez mais competitivo e que busca a eficiência de forma premente. Devemos encontrar um ponto de equilíbrio, onde os gastos para se proteger os dados valiosos da empresa se justificam, mesmo que nada de errado possa vir a ocorrer. Senão, para que fazer seguro de um carro novo, por exemplo? Por que guardamos nosso dinheiro em bancos e cofres?
Em tempo: se uma falha de segurança ocorrer com seu sistema de computação, não vá colocar a culpa nos outros ou no “mundo globalizado”. Isso não vale!