Home > Gestão

Oito tecnologias que põem em risco a segurança corporativa

Não são poucas as tecnologias de consumo que povoam a vida pessoal dos profissionais e acabam chegando também à corporação. Saiba quais são as mais perigosas e como evitar riscos

ComputerWorld

20/09/2007 às 15h24

Foto:

Eletrônicos de consumo e serviços de alta tecnologia estão ganhando espaço na vida pessoal de diversos profissionais e, de alguma forma, têm se aproximado cada vez mais do ambiente corporativo. E nesse grupo incluem-se smartphones, sistemas de voz sobre IP, memórias portáteis e até a segunda vida virtual.

Em uma pesquisa recente conduzida com 500 executivos pelo Yankee Group, 86% deles disseram que têm utilizado pelo menos um eletrônico de consumo no ambiente de trabalho por motivações que variam desde inovação à melhoria da produtividade.

Infelizmente, essa tendência tem apresentado riscos às companhias. Por um lado porque o uso dessas tecnologias pode aumentar o risco de brechas de segurança e por outro, porque podem sobrecarregar o já sobrecarregado departamento de TI.

Para ajudar sua empresa a decidir como responder a essa realidade, a edição norte-americana do COMPUTERWORLD listou oito populares tecnologias e serviços destinados ao usuário final que invadiram o local de trabalho. Também relata como algumas companhias do mundo estão atingindo o equilíbrio ideal de segurança, produtividade e... sanidade.

1-) Mensagens instantâneas

As pessoas têm usado os mensageiros instantâneos para tudo ultimamente, desde garantir que seus filhos conseguiram uma carona para casa até comunicar sobre o tema da próxima reunião com um colega de trabalho. A pesquisa do Yankee revela que 40% dos entrevistados disseram que utilizam mensageiros instantâneos comuns no trabalho.

Os mensageiros instantâneos trazem vários desafios de segurança. Entre outras coisas, um malware pode entrar na rede corporativa e usuários podem enviar dados sensíveis da companhia por meio de redes inseguras.

Uma forma de combater essas ameaças é descartar serviços de mercado de IM e utilizar um servidor interno de mensagens instantâneas. A Global Crossing tomou tal atitude em 2005 quando adotou o Live Communications Server (LCS), da Microsoft. Em agosto do ano seguinte descartou o uso de serviços externos de mensagens como aqueles do MSN,
AOL e Yahoo. Agora todas as trocas internas de mensagens são criptografadas e mensagens externas são protegidas.
Também é possível partir para uma linha mais dura. O centro médico norte-americano DeKalb, por exemplo, adotou uma política de segurança que bane o uso de mensageiros instantâneos. "O tráfego se resume basicamente a bate-papo e não informações sobre saúde", aponta Sharon Finney, administradora de segurança da informação. A companhia também optou por bloquear a maioria dos websites que permitem o download de mensageiros instantâneos, embora não tenha bloqueado MSN, AOL ou Yahoo, que abrigam caixas de e-mail de muitos médicos.

A clínica está analisando a idéia de implementar o mensageiro instantâneo do Lotus Notes ou mesmo um serviço como o Jabber em que os usuários corporativos possam se comunicar.

2-) Webmail

Dos 500 respondentes da pesquisa do Yankee Group, 50% disseram que usam aplicações pessoais de e-mail para fins corporativos. O problema com serviços destinados a usuários finais - tais como aqueles do Google, Microsoft, AOL e Yahoo - é que os usuários não se dão conta sobre quão inseguras são suas trocas de e-mail. Isso porque as mensagens são transportadas via internet e armazenadas no servidor do provedor também. Sem essa percepção, muitos não tomam precauções devidas sobre enviar dados pessoais como RG, número de passaporte ou informações sigilosas corporativas.
Uma abordagem para reforçar a segurança no webmail é utilizar uma ferramenta que monitore conteúdo de e-mail utilizando filtros de palavras ou outras técnicas de detecção para gerar alertas sobre brechas em potencial ou simplemente bloquear o envio. A WebEx Communications, por exemplo, está considerando a expansão do uso da ferramenta de prevenção de perda de dados da Reconnex para incluir monitoramento de e-mail, segundo Michael Machado, diretor de infra-estrutura de TI.

++++

 
3-) Equipamentos portáteis de armazenamento

Um dos maiores temores dos gestores de TI, segundo os especialistas, é a proliferação de equipamentos portáteis capazes de armazenar dados, como iPods e iPhones.

Embora seja fácil fechar as portas USB dos computadores dos usuários, muitos gerentes de segurança não recomendam essa prática. "Se as pessoas quiserem subverter o processo, vão encontrar uma forma, mesmo que você coloque barreiras no lugar", ressalta Mark Rhodes-Ousley, arquiteto de segurança da informação e autor do livro "Network Security: The Complete Reference".

Segundo ele, é mais fácil gerenciar a questão por meio da educação de pessoas sobre a relação entre equipamentos de armazenamento e dados sensíveis. "A maioria dos incidentes que ocorrem não é intencional. Então, é aí que vem a parte da educação", comenta.

Uma alternativa, ressalta, seria o envio de alertas para os usuários todas as vezes que fosse registrada a tentativa de salvar um dado confidencial.

4-) PDAs e smartphones

Cada vez mais funcionários têm aparecido no ambiente corporativo com algum tipo de smartphone ou handheld. Podem ser eles BlackBerry, Treo ou iPhone. Mas quando eles tentam sincronizar seus equipamentos com os calendários ou aplicação de e-mail em seu próprio PC, é possível que ocorram problemas de tecnologia que variam de falhas de aplicação até a temida tela azul da morte.

"Esses tipos de problemas são coisas mundanas, mas que podem deixar a TI maluca", aponta o arquiteto. Além disso, existe a possibilidade de o funcionário levar o que ele quiser nesses aparelhos quando deixa a empresa ou é demitido.

Assim como outras companhias, a WebEx minimiza essas possibilidades por meio da padronização de uma única marca ou modelo de PDA e permite que funcionários da organização saibam que a TI vai suportar apenas aquele aparelho.

5-) Celulares com câmera

A funcionária de um hospital permanece em um posto de enfermagem casualmente batendo papo com outras enfermeiras. Ninguém percebe que ela tem um pequeno aparelho em suas mãos e que, de tempos em tempos, aciona um certo botão. A cena pertence ao último filme sobre espionagem? Não. É um teste de segurança conduzido pela clínica DeKalb.

"Um dos testes que fiz foi levar meu celular ao posto de enfermagem e começar a fotografar tudo o que era possível sem ser percebida pelos outros. Eu queria baixar as fotos, melhorar as imagens e ver o que eu conseguia, como informações sobre pacientes exibidas em telas de computadores ou mesmo papéis sobre a mesa", relata Sharon.

No entanto, a executiva conseguiu apenas a identificação do computador - não o endereço IP - que estava na sala, mas o dado seria suficiente para fornecer dicas ou qualquer tipo de informação quem pretendesse conduzir um ataque.

Na seqüência, a funcionária adicionou informações sobre essas possíveis ameaças aos seus programas de conscientização de funcionários. Dessa forma, as pessoas podiam ver quão arriscado é expor dados sensíveis.

++++

6-) Skype e outros serviços de voz sobre IP destinados a usuários finais

O estudo do Yankee Group mostrou que 20% dos entrevistados disseram que utilizam o Skype para algum fim profissional. Mesmo com configurações corporativas, a ameaça apresentada pelo Skype e por serviços semelhantes é similar àquela dos softwares de consumo baixados ao usuário corporativo.

"Todas as vezes que você baixa Skype ou qualquer outra coisa, você está introduzindo um novo risco de segurança e a TI está desconfortável com isso", relata Josh Holbrook, analista do Yankee Group.

A opção mais segura, e que o Gartner inclusive recomenda, é bloquear o tráfego via Skype. Se uma companhia escolhe não fazer isso, deve ativamente investir em algum tipo de controles dos clientes usuários do software. Dessa forma, poderá garantir que o uso ficará restrito apenas aos usuários autorizados.

7-) Widgets

Segundo o Yankee Group, os consumidores estão utilizando equipamentos como o Q e o Nokia E62 para baixar widgets, ou seja, pequenos programas que permitem acesso rápido às aplicações web. Esses widgets podem ser rapidamente movidos para PCs, o que, segundo Holbrook, representa outro ponto de entrada ao ecossistema de tecnologia.

O risco é que esses pequenos programas utilizem o poder de processamento do PC e da rede, além de não serem muito confiáveis para serem baixados. A WebEx mitiga esse risco utilizando uma abordagem em três frentes: educa os usuários sobre os riscos dos downloads de software; utiliza o Reconnex para monitorar o que está instalado nos PCs dos usuários e desabilita alguns direitos padrão de acesso dos usuários, restringindo habilidades de downloads.

8-) Mundos virtuais

As empresas já tendem a fazer experiências nos mundos virtuais como Second Life e, dessa forma, TI precisa se tornar mais consciente sobre o acompanhamento de questões de segurança.

Ao mesmo tempo, utilizar Second Life envolve fazer download de vários códigos executáveis e colocá-los dentro do firewall corporativo. Uma opção, sugere o Gartner, é permitir que os funcionários tenham acesso aos mundos virtuais por meio da rede pública sem fio da companhia ou encorajá-los a fazer isso de casa. Uma terceira opção para as companhias é avaliar ferramentas para criar seus ambientes próprios virtuais capazes de serem hospedados internamente dentro do firewall corporativo.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail