23 de janeiro de 2009

Segurança no Brasil. Qual é nossa realidade?

Trabalhando como consultor da área de segurança em TI, presenciei várias falhas, muitas vezes absurdas e primárias mesmo, em sistemas e redes, o que só mostra que o brasileiro ainda não está consciente dos riscos que corremos ao enfrentarmos um atacante com forte intenção maliciosa. Isso talvez seja devido ao fato de que a Internet só chegou no Brasil no meado dos anos 90, quando Kevin Mitnick já cumpria pena na prisão. A defasagem tecnológica que vivemos no início da era digital era muito grande, o que também afetou o desenvolvimento de metodologias e políticas de segurança. Tanto que a maioria das empresas não possui políticas de segurança bem definidas e nem procuram adquirir uma certificação ISO 27001 ou ISO 17799.

Um exemplo disso, é que só em 2008 o governo brasileiro decidiu liberar uma Instrução Normativa (a Instrução Normativa GSI nº1 - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências) que regula a adoção de políticas de segurança da informação em instituições públicas, sendo que nos EUA, por exemplo, essa é uma preocupação existente há muito anos.

Talvez, nossa nação não tenha a devida preocupação com tal necessidade, pelo fato de nunca ter presenciado ou participado de atividades que envolvessem furto de dados sigilosos que colocassem a segurança nacional em risco ou coisa do gênero, como já ocorreu em outros países (p. exemplo, EUA, URSS, Iraque, China e etc). E nem mesmo temos invasores maliciosos (crackers) com grandes conhecimentos técnicos, ou intenções, para causar grandes prejuízos ao governo. Talvez isso gere uma aparente sensação de segurança, onde achamos que vivemos em um ambiente inócuo e seguro. Lêdo engano, meus caros!

Não temos grandes ataques, mas temos pequenos roubos! Até aqui o jeitinho brasileiro de querer aproveitar-se em cima da ingenuidade dos outros prevalece. Mas se temos script kiddies que possuem conhecimento suficiente pra burlar sistemas bancários e financeiros, ou apenas enganar o usuário, em alguns anos poderemos ter atacantes profundamente perigosos, que vendem suas pilhagens para os concorrentes das empresas que invadiram. Esse é a paisagem que podemos vislumbrar se não conscientizarmos os usuários dos riscos que correm. Mas para isso, os administradores precisam se conscientizar em primeira mão.

Meu trabalho como articulista é basicamente esse: escrever sobre vulnerabilidades, técnicas e dar dicas sobre como um atacante age, ou como podemos criar sistemas robustos, mais difíceis de invadir. Pois nesse ponto tenho que concordar com Eugene H. Spafford, quando ele diz:

“O único sistema realmente seguro é aquele que está desligado, enterrado em um bloco de concreto e selado em uma sala cofre protegida por guardas armados.”

Como último exemplo desse artigo, vamos apenas testar o seguinte: digite na pesquisa do Google as palavras “Currículo + CPF”, sem aspas, e veja o resultado. Espantado? Então, imagine o que uma pessoa maliciosa, mesmo sem conhecimentos técnicos, poderia fazer com os dados das pessoas que aparecem nessa busca. E é justamente daí que surgem os laranjas.

Então, tenhamos mais cuidado, tanto com nossas informações pessoais, quanto profissionais.

Até a próxima!

Um comentário:

  1. Oi e ai blz muito bom o que você coloca ai
    A queria pedi uma coisa sei que não me conhece, mas e uma coisa muito importante pra mim sempre quis trabalha na área de segurança por isso te peço se você estiver no nível dois do da escola de hacker se possível poderia me manda um convite vou entender se não quiser manda blz e msm assim muito bom o que você coloca ai ok

    ResponderExcluir