Quanto custa as falhas na segurança da informação



Autor: Luis Schedel


Como mensurar as perdas de se ter o sistema invadido por hackers? Basta administrar o vazamento de informações confidenciais, sejam elas internas ou externas? Na verdade, é preciso adicionar a essa conta o impacto negativo de imagem, a perda de credibilidade e provavelmente de clientes, o possível pagamento de indenizações e, para empresas de capital aberto, a inevitável queda no valor das ações.

 

Mesmo com todos estes problemas, as empresas ainda investem erroneamente, mantendo seus sistemas vulneráveis e prontos para serem atacados. Esses equívocos ocorrem porque os gestores aumentam a segurança da rede, mas não se preocupam adequadamente com a integridade e confidencialidade na aplicação. Pesquisa do Gartner revela que 75% dos ataques acontecem na camada das aplicações. Já o National Institute of Standards and Technology (NIST) afirma que 92% das vulnerabilidades residem nas aplicações. Entretanto, para que o sistema seja realmente seguro é preciso instalar uma camada de aplicativos de firewall na frente dos aplicativos voltados para a web, prática que não acontece na maioria das companhias.

 

Os hackers usam esta fragilidade para roubar informações confidenciais e até conduzir ataques mais estruturados. As atuais credenciais de acesso e os chamados “token de sessão” não são protegidos apropriadamente, o que compromete a proteção das senhas, chaves ou tokens de autenticação. Isso faz com o que invasor, facilmente, assuma a identidade de outros usuários.

 

São raras as aplicações de web que utilizam funções criptográficas de forma correta. Os hackers se aproveitam de dados indevidamente protegidos para cometer diversos crimes, entre eles, fraudar cartões de crédito, ilícito que tem se tornado cada vez mais comum. Isso porque, freqüentemente, uma aplicação protege suas funcionalidades críticas somente pela eliminação de informações, como links ou URLs, para usuários não autorizados. E é justamente na falha de restrição de acesso à URL que os hackers agem para realizar operações não autorizadas.

 

É por essa razão que as instituições bancárias são os principais alvos deste tipo de invasão. Para se ter uma idéia, o custo de uma quebra de segurança é superior a U$300 por registro perdido, o que representa perdas imensuráveis às empresas desse setor. Em 2006, segundo informações do Privacy Rights Clearinghouse, as companhias financeiras perderam mais de 5,8 milhões de registros por causa destes tipos de invasões.

 

Para tentar bloquear os ataques, a Indústria de Cartões de Pagamento (PCI) criou um Padrão de Segurança de Dados (DSS), em conjunto com as principais empresas do setor, como Visa e MasterCard.  O objetivo é facilitar a adoção de medidas eficientes para segurança de informações e melhor proteger os clientes contra fraudes de cartões de crédito, entre outras ameaças e vulnerabilidades.

 

O PCI-DSS, como é chamado, estabelece 12 requisitos obrigatórios, que incluem gerenciamento de segurança, políticas, procedimentos, arquitetura de redes, desenho de software e outras medidas críticas de proteção. Todas as empresas participantes do PCI-DSS, desde administradoras de cartões, até comerciantes que processam, armazenam ou transmitem dados de cartões precisarão aderi-lo. A idéia é que todos mantenham a aplicação segura e diminuam os enormes gastos com recuperação de informações perdidas ou invadidas.

 

O próprio Gartner afirma que, atualmente, o maior passo para as empresas reduzirem seus riscos é forçar melhorias substanciais em aplicações e em sistemas inseguros ou inadvertidamente projetados. Portanto, mãos a obra. Ter sistema seguro é, sobretudo, cuidar do que a sua companhia tem de mais valioso: a imagem.

 

Luis Schedel é diretor técnico da BSA Brasil.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima