Precisamos colocar o assunto segurança da informação na pauta do dia, nas empresas e no governo, com a devida prioridade.
Mais uma vez o noticiário destaca problemas em massa com a segurança das redes e sistemas informatizados no Brasil. Outro dia fomos surpreendidos com invasões a diversos e importantes sites do governo e agora a “surpresa” é que os EUA estão espionando conversas telefônicas e trocas de mensagens eletrônicas que têm o nosso país como origem ou destino. O que as duas situações têm em comum? É que não é novidade para nenhum profissional da área. E também não deveria ser para os responsáveis pela nossa segurança!
Apenas para ilustrar, diversas pesquisas, nacionais e internacionais, realizadas nos últimos anos por renomadas empresas, apontam que o nível de segurança do nosso país é extremamente frágil (nível 2,3 numa escala de 0 a 5), inclusive apontando que o Brasil investe menos em segurança do que os nossos vizinhos Peru, México, Colômbia e Chile (fonte: IDC). Em outra pesquisa divulgada este ano, a Symantec apontou que o Brasil é o pior da região em questão de vulnerabilidades e o quarto menos seguro do mundo. Em suma, nossas portas são frágeis e abrem com um pequeno empurrãozinho. E nós sabemos disso!
A pergunta que (esta sim) muitos não sabem responder é o porquê de estarmos nessa situação. Vários são os fatores que concorrem para isto:
1. Investimos pouco em segurança: os dados das pesquisas citadas já demonstram este fato e as suas consequências. Mas vale a pena completar o quadro: (a) muitas das grandes empresas brasileiras, públicas e privadas, além do governo (administração direta, autarquias, etc.), não possuem sequer um profissional responsável por segurança; (b) várias destas não possuem orçamento para segurança; (c) em tempos de crise, ou no caso de necessidade de cortes orçamentários, os investimentos em segurança são os primeiros da lista;
2. Investimos errado em segurança: o minguado dinheiro que sobra para a área é, em muitos casos, investido de forma incorreta. Empresas e governo ainda acreditam que projetos pontuais de consultoria resolverão o problema para sempre; ainda pensam que antivírus resolve sozinho o problema de vírus, que firewall evita completamente invasões, e assim por diante. Estão colocando um band-aid numa ferida de câncer;
3. Uma minoria leva segurança a sério: investir pouco e errado são dois fatores importantes para a construção do cenário atual, mas não levar a segurança a sério talvez seja a causa do problema.
O foco da doença que precisa ser combatida. A segurança não é levada a sério porque não se entende a extensão do problema, não se compreende que a falta de segurança pode colocar tudo a perder, que pode significar a derrocada de uma empresa, ou até mesmo de um país. Já os EUA sabem muito bem disto. Aliais, não só os EUA; na China, existe inteligência hacker no exército, existem conferências de hackers, academias de treinamento para hackers e revistas e comunidades especializadas. O governo e várias companhias privadas compram serviços desses hackers e, quando perguntados se existem hackers trabalhando para o governo e para o regime militar, a resposta é SIM!
4. Faltam profissionais capacitados: num país em que há falta de engenheiros, médicos e professores, imaginem quanto aos profissionais de segurança. Sem gente, não há como fazer segurança;
5. Não desenvolvemos tecnologia:este é outro problema crônico do nosso país. Quando se fala em proteção do país em si, a questão fica ainda mais crítica. Praticamente todas as tecnologias que usamos aqui nos ambientes de TI e Telecom são desenvolvidas lá fora, muitas delas nos EUA, que possuem leis que os protegem, como as que obrigam os softwares a possuírem backdoors (acesso irrestrito para governo, sem que ninguém saiba) e as leis de criptografia. Empresas e governos, quando se valem apenas do emprego puro destas tecnologias, sem ao menos ter equipes adequadamente preparadas monitorando tais tecnologias, ficam à mercê da própria sorte. Em contrapartida, temos no Brasil uma produção tecnológica ainda incipiente, que precisa ser melhorada através de mais incentivos à pesquisa e inovação e condições de negócios mais propícias para os empreendedores em TI, especialmente em defesa cibernética.
Acredito que as investigações abertas sejam inconclusivas, uma vez que os EUA não parecem dispostos a explicar o que ocorreu de fato. A dúvida que fica é: teríamos condições de aferir essas denúncias?
O que precisamos fazer, com máxima urgência, é colocar o assunto segurança da informação na pauta do dia, nas empresas e no governo, com a devida prioridade. Somente com o mapeamento correto dos problemas é que poderemos tomar as ações corretas.
(*) Rogério Reis é vice-presidente de operações da Arcon serviços gerenciados de segurança
Link: http://cio.uol.com.br/opiniao/2013/07/24/espionagem-no-brasil-o-gigante-acordou/