A evolução da tecnologia levou acesso a informações
decisivas para os negócios em qualquer lugar e tempo, mas também ampliou a
vulnerabilidade desse universo. Hoje, empresas lutam para proteger seus
ambientes e dados não só de ameaças externas, como cibercriminosos e hackers,
mas também de ameaças internas, agravadas ainda mais pelas facilidades trazidas
pela mobilidade.
Independentemente da indústria ou atividade core, a
segurança da informação deixou de ser uma responsabilidade exclusiva dos CIOs e
passou a ser uma preocupação da organização como um todo, afinal, são pessoas e
processos que estão em xeque em qualquer estratégia nessa área. Para
compartilhar experiências e visões sobre o assunto, o IT Forum + reuniu os CIOs
Engênio Fabbri, da Stelo, Eduardo Lucas Pinto, do Colégio Dante Alighieri, e o
consultor Edison Fontes no debate “Segurança da Informação”, realizado na
quinta-feira (28).
“Cada empresa deve
mapear e estruturar para entender qual é o seu universo. A questão é definir a
rigidez do controle tendo bem claros esses pontos críticos para uma organização”,
analisou Edison Fontes. Rigidez que, segundo ele, determina os limites dos
controles que serão colocados em prática através de políticas e ações de
segurança, mas que devem ser estabelecidas além das fronteiras da TI, ou seja,
pelas áreas de negócio.
Para a Stelo, empresa de meios de pagamentos eletrônicos do
Bradesco e Banco do Brasil, trabalha com um nível de
segurança muito alto para proteger as transações. Durante o debate, Fabbri contou que praticamente tudo é
monitorado, já que estão em jogo dados sobre clientes e transações financeiras.
“Temos um ciclo de monitoramento da segurança da informação que vai desde
quando a pessoa entra em um site de ecommerce, faz o login, qual dispositivo
ela usa, até o momento que a transação é efetuada”, detalhou o CIO.
Diante da complexidade do cenário, o gestor de TI da Stelo
lembra que por mais que as empresas instalem firewalls e outras tecnologias,
implantem processos de governança, políticas de acesso, o nível de vulnerabilidade
continua alto, inclusive internamente. “Além das ameaças externas, hoje temos
profissionais de segurança dentro das empresas que muitas vezes conseguem descobrir
falhas que o CIO, dentro da rigidez alcançada, não consegue identificar. E essas
pessoas podem levar isso quando saem da empresa”, comentou.
Para mitigar os riscos inerentes, Fabbri afirma que a
empresa “extrapola” o nível de segurança. Além de monitorar o perfil dos
clientes durante as transações, a comunicação dentro de casa passa pelo mesmo
processo, seja através de senhas em impressoras, monitoramento de e-mails corporativos
e acompanhamento de interações em redes sociais, enfim, tudo que pode envolver
o vazamento de informações de negócios. “Na Stelo, a segurança está ligada com
a parte de operações e não com a TI, e é atrelada diretamente à presidência”,
detalha.
Risco existe em qualquer organização
E não pense que um colégio não enfrenta problemas
relacionados à segurança da informação. As escolas de hoje precisaram evoluir
para acompanhar os alunos, que representam a tão conhecida “Geração Y”.
Tablets, notebooks, e-mails, redes sociais, smartphones – tudo isso faz parte
do dia a dia do estudantes e professores no Colégio Dante Dante Alighieri. E como garantir
que essas crianças e adolescentes estão protegidas na internet?
Em busca de um melhor controle e gestão do acesso de seus
alunos ao mundo digital, bem como um uso responsável e consciente das
tecnologias, o colégio realizou uma série de medidas de compliance que lhe
rendeu o selo de Escola Digital Segura. No debate, o CIO Eduardo Lucas Pinto contou que a flexibilidade foi determinante na definição das políticas de segurança
que seriam adotadas no colégio. “É um ambiente de aprendizado, onde o departamento
de TI não pode estar completamente isolado dos alunos. Então tivemos que ser
flexíveis diante do que está escrito nas normas e do que é definido por
fornecedores e consultores”, disse.
Segundo ele, a instituição adota medidas como, por exemplo, analisar
os conteúdos em que seus alunos navegam para identificar situações de risco e
até mesmo montar um perfil de comportamento do aluno nas ferramentas digitais. “Aqui
não coibimos o acesso, e sim usamos o que o aluno está fazendo de errado para
tentar corrigir através de um processo de reeducação educacional com o apoio
dos pais”.
A instituição disponibiliza cerca de 1.500 tablets aos seus
alunos em contrato de comodato, sob regras e políticas de uso muito claras – que inclusive são
discutidas até pelos estudantes em comitês. “Monitoramos o que os alunos fazem
dentro e fora da escola com esses tablets. E acredite, lidamos com várias
situações de segurança, em que alunos tentam acessar nosso banco para mudar notas”,
exemplificou.
Mais uma vez, muito mais do que criar e estabelecer
políticas, informar os usuários sobre a existência das mesmas, bem como
orientar e educar a respeito de suas aplicações e implicações ainda é a caminho
mais eficaz, já que a era em que as empresas encontravam-se “blindadas” por
trás de seus mainframes não existe mais. Estamos falando de mobilidade, de
novas tecnologias e, acima de tudo, pessoas.
“Se fiz regras, ficou claro, há grandes chances de dar
certo. E mais importante é saber compartilhar esse conhecimento, como fazem os
bancos, através da Febraban. Os outros setores deveriam compartilhar mais suas
experiências, assim como estamos fazendo aqui. A gente já sabe o que tem que
fazer, mas a questão aqui é como fazer”, evidenciou o consultor Edison Fontes.
