Proteger e Servir: Porque a segurança dos seus sistemas deve ser entendida

como um diferencial competitivo

por Eduardo Vianna de Camargo Neves 03 de novembro de 2011

A Ponta do Iceberg

As empresas estão levando os seus negócios para a Internet em um ritmo cada vez mais

intenso. Pense em 2008, quantas páginas corporativas e perfis empresariais você via no

Facebook e Twitter e compare com o que pode achar hoje. Em um mundo onde reclamar pelas

redes sociais é mais eficiente do que recorrer aos órgãos de proteção do consumidor e as

vendas do comércio eletrônico movimentaram quase R$ 15 bilhões no ano passado1, ou você

vai para o mundo virtual ou fica com as sobras do mercado.

E da mesma forma que a sociedade se encanta com as enormes possibilidades abertas pela

Internet o crime virtual aumenta. Ao associar baixo risco de retaliação com enormes ganhos de

forma escalonada e sem limites geográficos, as quadrilhas exploram diversas opções para

ganhar o seu nesta massa de consumidores. Como resultado, mais de 70% dos brasileiros já

foram vitimas deste tipo de crime2 e as perdas associadas crescem a cada pesquisa publicada.

Estes fatos são de conhecimento geral e há muito saíram das páginas de publicações

especializadas do setor e foram para a mídia comum, mas as perdas colaterais geradas por

desgastes na imagem corporativa diante do mercado, pela migração de consumidores para o

concorrente e custos associados a correção de falhas e pagamento de multas. Você consegue

estimar o quanto a sua empresa pode perder em um cenário como este?

A Responsabilidade Corporativa

Historicamente a sociedade tem reagido às mudanças que a afetam estabelecendo dois

parâmetros de controle que trabalham em conjunto. Leis são promovidas para limitar o

comportamento de empresas e cidadãos em nome de um bem comum e normas são

estabelecidas para limitar como estes limites devem ser promovidos. E se você observar o que

tem acontecido desde a década de 1990, quando a responsabilidade de manter estes

parâmetros funcionando tem sido colocada nos ombros das empresas elas distribuem as tarefas

para todos os envolvidos.

As primeiras normas de gestão de risco foram publicadas no mercado financeiro para limitar as

ações das empresas, uma vez que medidas mal definidas até hoje podem afetar o sistema

econômico como um todo. E da mesma forma que o Turnbull Report e a Sarbanes-Oxley

criaram um conjunto de controles corporativos na virada do Século XXI, a administração das

vulnerabilidades em sistemas informatizados está sendo considerada uma responsabilidade

corporativa.

1 Comércio eletrônico deve crescer 30% e faturar R$ 20 bi em 2011, IG Economia

2 Norton Cybercrime Report: The Human Impact, 2011

Camargo Neves RMS

Proteger e Servir Página 2

Além das leis em curso no Poder Legislativo3 e dos padrões promovidos por setores específicos

da economia – como o PCI Data Security Standard – existe um fator novo que muda

completamente a forma como as empresas deveriam reagir a este cenário: o poder do

consumidor. Falhas que permitem ações de criminosos virtuais são rapidamente identificadas e

o fato noticiado em todas as redes existentes, gerando além do obvio constrangimento e

necessidade de resposta imediata das empresas afetadas4 uma fuga de consumidores que pode

não ser resolvida em tempo.

Em casos muito mais simples e menos danosos para o consumidor, paradas de sistemas e

funcionamento inadequado de soluções virtuais são igualmente rechaçadas pelos clientes. Se

você procurar sem muito esforço em canais de vídeo na Internet e blogs diversos, irá achar uma

série de reclamações que vão da ridicularização das marcas envolvidas até a formação de

conjuntos de consumidores que buscam em conjunto os concorrentes destas empresas como

opção para gastar o seu dinheiro.

É um mundo novo, onde o poder do consumidor vale como nunca e a exposição da sua marca

na Internet pode ao mesmo tempo gerar uma receita nunca vista como também ser vitimada

por falhas em sistemas que, na grande maioria dos casos, poderiam ter sido evitadas com a

aplicação de medidas preventivas e pelo monitoramento do que está acontecendo.

Independente se você conhecia ou não as falhas que venham a ser exploradas e resultar em

crimes virtuais, o seu consumidor vai apontar o dedo na sua direção. E esteja ele certo ou não, é

a sua marca que estará sendo desgastada diante do mercado.

Transformando um problema em uma vantagem competitiva

A proteção dos seus sistemas é parte do seu negócio, o que pode ser alcançado hoje através de

investimento preventivos ou forçado como parte do atendimento a leis e normas que estão

sendo promovidas. Então por que não tornar esta necessidade em algo que pode não só

proteger o seu investimento e aumentar a sua receita como ainda chamar novos consumidores

e fidelizar os seus clientes atuais?

O primeiro passo para alcançar esta meta não é investir em nenhum produto ou serviço. É

aceitar que garantir a segurança do seu negócio, e consequentemente proteger os dados dos

seus clientes, é um processo contínuo que exige seriedade no trato e administração como

qualquer operação profissional. Fazer isso de forma superficial, sem um plano que garanta a

continuidade da proteção ou que observe somente a questão custo na relação custo/benefício é

buscar o fracasso em médio prazo. Se você consegue aceitar existe uma cartilha simples que

pode ser utilizada como base para a estratégia em questão.

3 Lei Azeredo propõe combate a hackers em http://blogs.estadao.com.br/link/lei-azeredo-propoe-combate-a-

hackers/ 4 Mais de 80 mil podem ter sido infectados por site da Vivo:

http://g1.globo.com/Noticias/Tecnologia/0,,MUL1300037-6174,00-MAIS

+DE+MIL+INTERNAUTAS+PODEM+TER+SIDO+INFECTADOS+POR+SITE+DA+VIVO.html

Camargo Neves RMS

Proteger e Servir Página 3

Entender como o seu negócio funciona

Claro que você sabe como o seu negócio funciona. Mas você entende quais componentes

tecnológicos são utilizados para que as vendas on line funcionem? Existem soluções prontas

para serem utilizadas em Comércio Eletrônico com custos e qualidade variados, opções

comerciais e baseadas em plataformas open source e modelos de suporte que vão de um e-mail

para contato a equipes dispostas em regime 24x7. Entender quais são as opções que podem lhe

ajudar e equilibrar custo, desempenho esegurança de forma satisfatória é o primeiro passo para

garantir um nível de risco aceitável.

Conhecer os seus problemas

Muito provavelmente o web site por onde você vende é vulnerável e isso não é ser apocalíptico,

é estatística. Pesquisas publicadas a cada ano mostram percentuais absurdamente altos de web

sites com falhas de segurança que variam de problemas simples até falhas que podem levar a

perda de dados e suporte para fraudes. E a melhor forma de evitar problemas com isto, é

conhecer o quão vulnerável você pode estar.

Existem serviços prestados por empresas especializadas que realizam desde um web scan – no

qual falhas primárias são identificadas – até a revisão do código fonte utilizado nos produtos

que suportam as suas vendas on line. Qual abordagem é mais adequada para o seu cenário irá

depender de muita conversa com especialistas e a sua estratégia para manter a presença da sua

empresa na Internet.

Arrumar a casa. E mantê-la arrumada

Depois de entender como o seu negócio na Internet funciona e quais vulnerabilidades podem

ser exploradas e se transformarem em problemas para a sua empresa e os seus clientes, é o

momento de manter a estratégia mais difícil. Manter a casa arrumada. Apesar de parecer algo

óbvio e primário, posso afirmar que nestes mais de dez anos que trabalho na área, vejo este

erro acontecendo continuamente. São mudanças na estratégia da empresa, nas pessoas

responsáveis pelos processos e até nos caprichos de poucos que fazem o nível de segurança

desabar.

Em um mundo onde mais de 5.000 novas vulnerabilidades são descobertas anualmente5,

diversos ataques zero day realizados em 2010 e 90% das vulnerabilidades identificadas não são

corrigidas pelas empresas afetadas6, a gestão de como a segurança é tratada passa a ser um

ponto fundamental para que o seu investimento não seja perdido ao longo do tempo. Seja

profissional como em qualquer processo da sua empresa, não trate isso como um mal

necessário, pois ele não é.

5 National Vulnerabilities Database: http://nvd.nist.gov/home.cfm

6 2008 Data Breach Investigations Report, Verizon Business

Camargo Neves RMS

Proteger e Servir Página 4

No final é tudo uma questão de manter o seu negócio

Os selos de segurança – carimbos virtuais que atestam a segurança de um web site – são talvez

as ferramentas mais populares quando a questão é mostrar ao seu cliente que você se importa

com a segurança virtual do negócio. Em comum as empresas que fornecem estes serviços

utilizam softwares para identificar vulnerabilidades simples que quando corrigidas, passam a

exibir os carimbos atestando que o nível de segurança é aceitável. Como resultado, os web sites

que fazem uso desta prática apresentam testemunhos de clientes que registram um incremento

de 10-12% nas vendas realizadas7.

Este é um primeiro passo na direção de um modelo seguro para o seu negócio, porém os selos

virtuais atestam somente que falhas simples não estão presentes. Para ir além – como um

criminoso virtual fará – você precisa realizar testes mais profundos, identificar os problemas e

tomar as medidas corretivas e preventivas necessárias de forma contínua. Ao agir neste sentido

e não só mostrar ao seu cliente que o seu negócio preza a proteção das vendas, como ainda

cuida dos dados em todas as fases de forma responsável, o retorno é imediato.

Hoje você pode esperar um incremento nas vendas pelo mesmo motivo que leva ao aumento

gerado por selos de segurança e possivelmente maior, pois o seu negócio estará indo além de

proteger somente uma compra, você estará tratando os dados dos seus clientes de forma

responsável e assegurando que ele sempre poderá fazer negócios com a sua empresa sem

esperar surpresas desagradáveis pelo uso indevido de suas informações e dados privados.

Posteriormente você será obrigado a cumprir normas de segurança impostas pelo seu setor de

mercado e as leis determinadas pelo Governo. Isso custa muito dinheiro se você partir do zero,

mas adequar os controles para se alinhar com o que vem por aí é um processo simples que irá

exigir somente algumas adaptações no que você já tiver. Por que então não investir agora para

manter os seus sistemas protegidos, os seus clientes satisfeitos e os seus concorrentes para

trás?

Sobre o Autor

Eduardo V. C. Neves, CISSP, trabalha com Segurança da Informação desde 1998. Iniciou sua

carreira profissional em uma das principais empresas de consultoria do mercado brasileiro,

posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10 anos. Em

2008 fundou uma das primeiras empresas nacionais especializada em Segurança de Aplicações e

hoje se dedica a prestar serviços de consultoria nas práticas de Risk Management e Business

Continuity. Serve ainda como voluntário no OWASP e (ISC)2 e contribui para iniciativas de

evangelização nas práticas de proteção da informação para federações e associações no Brasil.

Pode ser contatado pelo e-mail eduardo@camargoneves.com.

7 http://www.askdavetaylor.com/hackersafe_truste_bbb_trust_guard_seals_improve_sales.html