Ao traçar uma breve e recente retrospectiva sobre o avanço das ações relacionadas com segurança da informação, identificamos marcos importantes na área. No período entre 2000 e 2004, observamos uma grande quantidade de incidentes de segurança provocados por falhas na infra-estrutura computacional.
Muitos investimentos foram realizados para as empresas se especializarem na manutenção contínua da segurança do parque computacional. Nesta época, a maioria das grandes companhias e bancos criaram áreas de segurança da informação.
Quando a infra-estrutura se mostrou relativamente segura, os ataques migraram para os sistemas aplicativos. Diversas técnicas sofisticadas de ataques foram desenvolvidas, como programas espiões, pichação de páginas, injeção de códigos de consulta a bancos de dados em protocolos (SQL injection), entre outras.
Desta forma, por volta de 2004 os desenvolvedores de sistemas críticos também tiveram de ser treinados em disciplinas específicas de segurança da informação, incluindo vulnerabilidades do protocolo TCP/IP, conceitos de criptografia, mecanismos de autenticação segura de usuários e sistemas.
Em meio a este turbilhão de avanços tecnológicos, também vivenciamos a necessidade de aprimorar as equipes de TI com relação à governança corporativa e controles de legislações. Neste quesito, o fato mais marcante foi a vinda da Lei Sarbanes-Oxley (SOX), que exigiu que os CIOs repensassem seus processos e controles de gestão de sistemas e usuários.
Com essa retrospectiva da evolução dos temas principais de segurança da informação, vamos refletir o que pode ser projetado para 2008 e nos próximos anos.
Segurança da informação será uma commodity?
Dependendo do ponto de vista, talvez já seja. Se analisarmos a segurança da informação pela perspectiva tecnológica, certamente hoje já existem ferramentas automatizadas e diversas empresas prestadoras de serviços que terceirizam a configuração e monitoração de servidores e firewalls.
Porém, se olharmos pela perspectiva do gerenciamento de identidades digitais de usuários de sistemas, análise de riscos de terceirização de processos de negócios e TI, estratégia e governança de segurança para a empresa e relacionamento com parceiros, percebemos que ainda existe a necessidade de especialização e capacitação de recursos para obter resultados adequados.
Um possível reflexo desta evolução pode ser uma aproximação das áreas de segurança de TI das empresas com as disciplinas de análise de risco, afastando-a gradativamente da operação tradicional de tecnologia.
Temos um cenário de bastante desenvolvimento para as empresas em 2008. Cabe aos gestores a missão de identificar quais são as disciplinas que possibilitam operar com custos mais eficientes; e aos profissionais de segurança a responsabilidade de se manterem atualizados para atender as exigências do mercado.
Pagamentos com dispositivos móveis
Em 2007, fomos surpreendidos com o baixo crescimento da base de usuários de Internet Banking, de acordo com os dados da Federação Brasileira de Bancos (Febraban) referentes a 2006. Diferentes análises podem ser feitas. Primeiramente, podemos supor que os bancos já atingiram quase a totalidade dos clientes com acesso à internet e, daqui para frente, a base acompanhará o crescimento da população brasileira com acesso à rede mundial.
Também podemos deduzir que a grande exposição das fraudes em aplicações web na mídia têm prejudicado a migração dos clientes para este canal.
Independentemente do motivo, para 2008 é certo que, além dos contínuos investimentos na segurança da web, as empresas também estarão mais focadas nas possibilidades de expandir a utilização de seus sistemas a partir de dispositivos móveis de telefonia celular, como por exemplo, o smartphone.
O amadurecimento da tecnologia, a queda do preço dos aparelhos e a disseminação da utilização entre a população tornam quase obrigatória a disponibilidade de um meio de relacionamento entre empresas e clientes por este canal.
Porém, não devemos nos ater apenas às transações convencionais de consulta a extratos, pagamento de contas recorrentes ou aquisição de produtos de baixo valor como músicas e créditos de jogos eletrônicos. Diferentes formas de relacionamento estão sendo testadas ao redor do mundo, de acordo com as necessidades e regulamentações específicas. Estas novidades podem representar grandes oportunidades ou riscos de continuidade para empresas brasileiras, dependendo de seu modelo de negócio.
A associação entre operadoras de telefonia celular e bancos permite a criação das carteiras eletrônicas dentro dos telefones e abre novas oportunidades de geração de receita para ambos. Estas carteiras permitem a utilização do dispositivo como cartão de crédito, pagamento de serviços e produtos por meio de aproximação (touch and pay) e compra de conteúdo digital (música e vídeo).
As perspectivas na área de segurança da informação para 2008 são muito promissoras. Todas estas formas inovadoras de relacionamento com clientes exigirão trabalho aprofundado das equipes técnicas nas questões de funcionalidade, disponibilidade e processos operacionais periféricos, além de avaliações de vulnerabilidades e monitoração contínua contra fraudes. Cabe aos especialistas discutir as oportunidades nas respectivas empresas com o objetivo de envolverem-se desde a fase de concepção do projeto, agregando valor às áreas de negócios e minimizando riscos e perdas financeiras.
* Frank Meylan é sócio da KPMG
