Geral

Comércio eletrônico

Eva Rodrigues
| Tempo de leitura: 8 min

Segurança: A caça diária de vulnerabilidades no sistema

Texto: Eva Rodrigues

Para adentrar ao mundo do e-business não basta estar conectado em rede e iniciar transações via web.

"É preciso estar preparado, e muito", avisa o especialista da Pricewaterhouse-Coopers, Robson Calil, que esteve em Bauru no mês de fevereiro proferindo a palestra "Como realizar transações mais seguras pela Internet", evento em parceria com a Unimed-Bauru. Abaixo, os principais trechos de entrevista concedida ao Jornal da Cidade.

Jornal da Cidade - Com a invasão constante de grandes sites a segurança tem sido o grande problema no mundo do e-business. O senhor acredita em mecanismos eficientes para segurança? Ou sempre vai haver um hacker desmascarando a última solução encontrada, como uma bola de neve?

Robson Calil - Como um cachorro correndo atrás do rabo o tempo todo? Eu não te diria que o nosso entendimento

(da Pricewaterhouse-Coopers) seja 100% de que isto é uma brincadeira de gato e rato o tempo inteiro. Na verdade, o que existe é que estamos numa fase de amadurecimento, as empresas estão amadurecendo porque, primeiro, essa história de Internet, de comércio eletrônico, tudo é muito novo. E hoje em dia toda essa velocidade exige muita rapidez das empresas para poder responder num tempo adequado, porque se a empresa A não responder, a empresa B talvez consiga responder com mais rapidez e vai conquistar uma fatia de mercado que a empresa A deixou de conquistar. Então, definitivamente as empresas têm que responder numa velocidade muito rápida. Especificamente voltando essa rapidez para o foco de segurança a gente entende que o que as empresas precisam fazer é se conscientizar da necessidade de continuar investindo em segurança, o que não acontece com a adequação que deveria acontecer. Para essa adequação a gente está falando de volume de horas, das pessoas que estão envolvidas, volume de recursos financeiros que é investido em tudo isso, em projetos e assim por diante. Então, é bastante claro que passada essa fase de amadurecimento, de entender "puxa, realmente temos que nos preocupar com segurança, temos que investir recursos em segurança", e com os recursos efetivamente investidos a gente entende que é possível sim ter um ambiente seguro - evidentemente 100% de segurança não existe. Por que não existe um ambiente com 100% de segurança? Por que risco você não zera.

É inconcebível, impalpável a idéia de zerar risco. Vou dar um exemplo simples: você faz um seguro do seu carro, você tem um seguro de acidentes pessoais, mas qual é o risco de seu carro não ser roubado,

é zero? Não, não é zero, existe o risco de seu carro ser roubado, não tem como. Se risco não é uma entidade que pode ser banida da face da Terra, então segurança 100% a gente não vai ter. Mas entendemos que com procedimentos e com um ambiente adequadamente configurado, procedimentos de segurança adequadamente implementados e com uma absorção do conceito de segurança pela empresa de uma maneira adequadamente tomada entendemos que

é possível sim você praticar transações eletrônicas via Internet de uma maneira em que você se sinta protegido, confortável.

JC - E como você enxerga o empresário brasileiro nesse contexto. Ele já está vendo com clareza essa necessidade ou ainda está falando "não, não preciso investir tanto nisso"?

Calil - Está vendo sim. É claro que existem representantes de todos os níveis: uns mais, outros menos preocupados. Mas de uma maneira geral eu entendo que as empresas estão olhando o quesito de segurança com muito mais carinho. Não só no comércio eletrônico, mas de uma maneira global, da segurança da informação em si.

JC - Qual o campo de atuação da Pricewaterhouse-Coopers na área de segurança?

Calil - Os produtos que nós temos não vão de encontro a essa concepção de mercado de "eu vou vender pra você uma solução composta de hardware, software...", não, não é essa. Os produtos da Price na verdade são linhas de serviço em que a gente atua e nessa prestação de serviço a gente entrega ao cliente um relatório final que vai endereçar especificamente aquela preocupação que o cliente demonstrou pra gente. Exemplo: você tem um banco X qualquer que resolve montar um Internet Home Banking. O que ele faz? Contrata no mercado empresas especializadas em montar um site seguro. Essa empresa vai, inicia o projeto, monta o site, faz uma série de testes quando acaba a montagem e entrega para o banco e fala

"Banco, aqui está o site, daqui pra frente é sua responsabilidade operar esse site seguro". E o banco herda a responsabilidade por dar manutenção na segurança de uma coisa que sequer ele fez, sequer ele tem a idéia de como aquilo funciona direito. Então veja só que ponto preocupante: o que você precisa fazer para comprometer a segurança daquele site que você acabou de receber? Você precisa fazer uma coisa: nada. Se você ficar de braços cruzados você vai comprometer a segurança. Por que isso? Porque vulnerabilidades aparecem todos os dias. Todo dia tem alguém descobrindo uma vulnerabilidade nova no Windows NT, por exemplo, numa versão do Linux, numa versão do firewall. Então hoje, um site que poderia ser entendido como um site seguro, amanhã, se a empresa não conseguir reagir no tempo adequado, já vai estar comprometendo a segurança daquele site que acabou de receber. Então, nesse caso, a Price pode atuar desde o diagnóstico da segurança até a outra ponta que é a operação da solução.

JC - Trabalhando com todo tipo de empresas o senhor consegue detectar problemas muito básicos nessa área de segurança?

Calil - Um problema bastante básico, e que acontece muito, é senha que é nome da empresa: "nome da empresa 123", "123 nome da empresa" ou "999 nome da empresa". Infelizmente a gente ainda acha esse tipo de coisa ingênua com muita constância. Outro problema

é que o cliente costuma entender que recebeu um ambiente seguro e definitivo, no qual nunca mais vai precisar mexer.

JC - O que está estabelecendo essa diferença entre a dinâmica de funcionamento do mercado e a dificuldade de acompanhamento do empresário?

Calil - A gente está num momento de ruptura, de transição. E nesses momentos a gente acaba expondo uma série de vulnerabilidades, uma série de dúvidas que a gente tinha e não tinha falado pra ninguém ainda. As empresas vinham praticando um negócio tradicional e aí entram num processo de globalização, a informação trafegando numa velocidade impressionante, as distâncias físicas não sendo mais um empecilho, comunidades muito distantes sendo muito rapidamente aproximadas. Toda essa revolução causa uma ruptura, nós estávamos acostumados num determinado ambiente estável e agora temos que nos acostumar num ambiente novo, mas tenho certeza que vamos nos adaptar e conseguir achar o melhor caminho pra poder usufruir o que tudo isso tem de melhor.

JC - O senhor falou na importância de se fazer um diagnóstico da segurança. Como é esse trabalho?

Calil - Esse trabalho de diagnóstico da segurança

é feito aplicando-se uma série de testes manuais e computadorizados através dos quais a gente consegue identificar os potenciais de vulnerabilidade que existem dentro de um sistema e antecipar soluções (...) Num trabalho desses existe a possibilidade de se achar, por exemplo, dez vulnerabilidades. Se você analisar cada uma dessas vulnerabilidades você vai ter: a número um tem risco médio porque só me permite o entendimento do ambiente, a número dois também um risco médio de auditoria (se tiver um problema não sei identificar o que aconteceu), e assim por diante. Compilando esses dez riscos médios você diz assim "Qual

é a média então de riscos - um risco médio?" Não, você não tem um risco médio porque na verdade a união desses riscos médios podem causar um problema terrível.

JC - Vocês fazem um trabalho de hacker?

Calil - Sim, mas é muito importante deixar claro que existe uma grande diferença entre um hacker e o que a gente faz. Qual é o propósito dos testes que a gente está fazendo? Agora, normalmente a pergunta que eu acabo tendo na sequência é assim: Então vocês utilizam hackers no grupo de trabalho? Não, por uma razão muito simples: não podemos utilizar um ex-hacker porque nós entendemos que não existe ex-bandido. Ele pode ser seduzido em algum momento pois vai ter acesso ou pode vir a ter acesso a vulnerabilidades que são de alto risco para o cliente. Agora, você está trabalhando comigo hoje,

ótimo, você vai ser cercada de todos os cuidados necessários para que a descoberta do problema tenha o tratamento correto. Mas e daqui a um tempo, se você não está mais trabalhando comigo, o que vai fazer com essa informação? Então, o estado de espírito de um hacker não cabe aqui. E na verdade a gente faz o mesmo trabalho de um hacker só que com maior qualidade porque há uma firma por trás que te dá recursos para fazer isso, recursos muito maiores do que um hacker mesmo teria e a formação, o objetivo que move o time é completamente diferenciado, apesar dos procedimentos adotados serem os mesmos.

Comentários

Comentários