Proteção

A segurança ainda não está entre os assuntos prioritários das pequenas e médias empresas (PMEs). A falta de conhecimento sobre a diversidade de ameaças virtuais e das tecnologias disponíveis para combatê-las, somadas à falta de recursos para equiparem-se com soluções adequadas e para implantar uma cultura de segurança entre os funcionários criam um ambiente de insegurança que pode provocar prejuízos financeiros irreparáveis. A constatação está na “Pesquisa Regional sobre a Integridade da Informação para Pequenas e Médias Empresas”, feita pela Symantec com 474 PMEs no Brasil, Argentina, Chile, Colômbia e México. Pelo levantamento, foram considerados pequenos empreendimentos os situados na faixa entre 10 e 50, e como médias as entre 51 e 200 funcionários.

Enquanto algumas PMEs estão concentradas em manter a rentabilidade, outras já perceberam que é necessário acelerar a adoção de infra-estruturas de TI para se tornarem mais competitivas. Estamos falando de tecnologias como backup, recuperação, antivírus, antispyware, rastreador de trojan, detecção de intrusos e firewall para servidores computador onde ficam armazenados todos os dados mais sensíveis do negócio. A exigência tecnológica já não é uma opção, dizem os especialistas. “É uma necessidade de gerenciamento que melhora a comunicação, a produção e a guarda das informações sensíveis”, diz Marcelo Sanches, gerente de serviços de pequenos negócios da Trend Micro.

Na prática, as conseqüências de um ataque, dependendo da sua intensidade, podem levar uma empresa a situações bastante delicadas, como foi o caso de um escritório de advocacia em Edmonton, no Canadá. Uma falha de segurança grave abriu informações sigilosas dos clientes, como histórico trabalhista, criminal e o número do Social Security Number o equivalente ao registro de uma carteira de identidade. A informação vazou porque a rede sem fio do escritório não tinha senha de proteção. Ou seja, mesmo que o dono tivesse protegido as informações, depois de logado na rede local, quem compartilhava desta conexão tinha acesso aos seus documentos.

Como o maior desafio das PMEs é o orçamento restrito, muitos empreendedores se perguntam quando é o momento mais adequado para investir em segurança. Segundo Paulo Vendramini, gerente de engenharia de sistemas da Symantech, o pensamento é o seguinte: as ameaças são as mesmas independentemente do tamanho da companhia. Então, é desde o começo que se deve pensar em proteção”, observa. A boa notícia para os pequenos é que como as grandes também começaram a disputar o mercado de PEMs, o preço dos produtos caiu. Atualmente, é possível comprar um pacote completo por R$ 2 mil.

A segurança corporativa, segundo o executivo da área de segurança para América Latina, Aroldo Yai, é composta por três camadas. A primeira é a periférica ou básica (que são os programas de firewalls, antivírus, etc). Em seguida vem a etapa de controle de sistemas (com identificação de acesso e controle de identidade), e em terceiro está a fase de implantação de normas, controles e áreas de compliance, práticas voltadas para grandes corporações. “Essas orientações valem tanto para companhias que tenham servidor ou ainda em máquinas independentes”, ressalta Yai.

Mas todas essas soluções perdem a eficácia sem uma cultura de segurança que ande em paralelo às aplicações no hardware. “Isso envolve o treinamento e a conscientização dos funcionários sobre proteção e disponibilidade da informação. É preciso educar as pessoas a não abrir e-mails desconhecidos, entrar em sites considerados sensíveis, não enviar mensagens com conteúdo da empresa. Para evitar casos como esses, são bem-vindas normas e padrões, mesmo em um lugar com 10 funcionários”, afirma Armando Toledo, diretor da área de Hardware da IBM Brasil.

O analista de TI da Adbusiness, Rodrigo Milan, lembra ainda da necessidade de se ter um controle de acesso ao servidor. “O ideal é que somente as pessoas certas tenham passagem para fazer uma alteração ou movimentação de dados”, recomenda. Outro ponto destacado foi a conservação dos arquivos em um lugar diferente do da empresa. “Um exemplo que ilustra bem porque esse recurso é inteligente foi o 11 de setembro. Muitas empresa mantinham o backup na torre ao lado. Como as duas foram atingidas, as companhias perderam tudo”, lembra Milan.

Que tipo de proteção posso adotar?

· Fazer backup e restauração constantemente;
· Aplicação de firewalls, antispywares, antivírus e rastreadores de trojans;
· Manter o programa atualizado com os patches de correção;
· Encriptar e esconder a rede sem fio;
· Uso de chaves ou contra-senhas fortes;
· Assegurar as conexões remotas utilizando uma VPN com recursos de TI interno;
· Sistema RAID, que são HDs que trabalham simultaneamente;
· Uso da fita DAT para arquivar as informações em um local externo ao do escritório.

Quais os principais riscos?

De acordo com a pesquisa, dentre os principais riscos informáticos reportados na maioria dos países estão os vírus, spyware, spam, adware. Todavia não existe muito conhecimento sobre ameaças como phishing, pharming e bots.