porque a segurança dos seus sistemas deve ser entendida como um diferencial competitivo
TRANSCRIPT
![Page 1: Porque a segurança dos seus sistemas deve ser entendida como um diferencial competitivo](https://reader031.vdocuments.com.br/reader031/viewer/2022020116/5598128a1a28ab2b1f8b4815/html5/thumbnails/1.jpg)
Proteger e Servir: Porque a segurança dos seus sistemas deve ser entendida
como um diferencial competitivo
por Eduardo Vianna de Camargo Neves 03 de novembro de 2011
A Ponta do Iceberg
As empresas estão levando os seus negócios para a Internet em um ritmo cada vez mais
intenso. Pense em 2008, quantas páginas corporativas e perfis empresariais você via no
Facebook e Twitter e compare com o que pode achar hoje. Em um mundo onde reclamar pelas
redes sociais é mais eficiente do que recorrer aos órgãos de proteção do consumidor e as
vendas do comércio eletrônico movimentaram quase R$ 15 bilhões no ano passado1, ou você
vai para o mundo virtual ou fica com as sobras do mercado.
E da mesma forma que a sociedade se encanta com as enormes possibilidades abertas pela
Internet o crime virtual aumenta. Ao associar baixo risco de retaliação com enormes ganhos de
forma escalonada e sem limites geográficos, as quadrilhas exploram diversas opções para
ganhar o seu nesta massa de consumidores. Como resultado, mais de 70% dos brasileiros já
foram vitimas deste tipo de crime2 e as perdas associadas crescem a cada pesquisa publicada.
Estes fatos são de conhecimento geral e há muito saíram das páginas de publicações
especializadas do setor e foram para a mídia comum, mas as perdas colaterais geradas por
desgastes na imagem corporativa diante do mercado, pela migração de consumidores para o
concorrente e custos associados a correção de falhas e pagamento de multas. Você consegue
estimar o quanto a sua empresa pode perder em um cenário como este?
A Responsabilidade Corporativa
Historicamente a sociedade tem reagido às mudanças que a afetam estabelecendo dois
parâmetros de controle que trabalham em conjunto. Leis são promovidas para limitar o
comportamento de empresas e cidadãos em nome de um bem comum e normas são
estabelecidas para limitar como estes limites devem ser promovidos. E se você observar o que
tem acontecido desde a década de 1990, quando a responsabilidade de manter estes
parâmetros funcionando tem sido colocada nos ombros das empresas elas distribuem as tarefas
para todos os envolvidos.
As primeiras normas de gestão de risco foram publicadas no mercado financeiro para limitar as
ações das empresas, uma vez que medidas mal definidas até hoje podem afetar o sistema
econômico como um todo. E da mesma forma que o Turnbull Report e a Sarbanes-Oxley
criaram um conjunto de controles corporativos na virada do Século XXI, a administração das
vulnerabilidades em sistemas informatizados está sendo considerada uma responsabilidade
corporativa.
1 Comércio eletrônico deve crescer 30% e faturar R$ 20 bi em 2011, IG Economia
2 Norton Cybercrime Report: The Human Impact, 2011
![Page 2: Porque a segurança dos seus sistemas deve ser entendida como um diferencial competitivo](https://reader031.vdocuments.com.br/reader031/viewer/2022020116/5598128a1a28ab2b1f8b4815/html5/thumbnails/2.jpg)
Camargo Neves RMS
Proteger e Servir Página 2
Além das leis em curso no Poder Legislativo3 e dos padrões promovidos por setores específicos
da economia – como o PCI Data Security Standard – existe um fator novo que muda
completamente a forma como as empresas deveriam reagir a este cenário: o poder do
consumidor. Falhas que permitem ações de criminosos virtuais são rapidamente identificadas e
o fato noticiado em todas as redes existentes, gerando além do obvio constrangimento e
necessidade de resposta imediata das empresas afetadas4 uma fuga de consumidores que pode
não ser resolvida em tempo.
Em casos muito mais simples e menos danosos para o consumidor, paradas de sistemas e
funcionamento inadequado de soluções virtuais são igualmente rechaçadas pelos clientes. Se
você procurar sem muito esforço em canais de vídeo na Internet e blogs diversos, irá achar uma
série de reclamações que vão da ridicularização das marcas envolvidas até a formação de
conjuntos de consumidores que buscam em conjunto os concorrentes destas empresas como
opção para gastar o seu dinheiro.
É um mundo novo, onde o poder do consumidor vale como nunca e a exposição da sua marca
na Internet pode ao mesmo tempo gerar uma receita nunca vista como também ser vitimada
por falhas em sistemas que, na grande maioria dos casos, poderiam ter sido evitadas com a
aplicação de medidas preventivas e pelo monitoramento do que está acontecendo.
Independente se você conhecia ou não as falhas que venham a ser exploradas e resultar em
crimes virtuais, o seu consumidor vai apontar o dedo na sua direção. E esteja ele certo ou não, é
a sua marca que estará sendo desgastada diante do mercado.
Transformando um problema em uma vantagem competitiva
A proteção dos seus sistemas é parte do seu negócio, o que pode ser alcançado hoje através de
investimento preventivos ou forçado como parte do atendimento a leis e normas que estão
sendo promovidas. Então por que não tornar esta necessidade em algo que pode não só
proteger o seu investimento e aumentar a sua receita como ainda chamar novos consumidores
e fidelizar os seus clientes atuais?
O primeiro passo para alcançar esta meta não é investir em nenhum produto ou serviço. É
aceitar que garantir a segurança do seu negócio, e consequentemente proteger os dados dos
seus clientes, é um processo contínuo que exige seriedade no trato e administração como
qualquer operação profissional. Fazer isso de forma superficial, sem um plano que garanta a
continuidade da proteção ou que observe somente a questão custo na relação custo/benefício é
buscar o fracasso em médio prazo. Se você consegue aceitar existe uma cartilha simples que
pode ser utilizada como base para a estratégia em questão.
3 Lei Azeredo propõe combate a hackers em http://blogs.estadao.com.br/link/lei-azeredo-propoe-combate-a-
hackers/ 4 Mais de 80 mil podem ter sido infectados por site da Vivo:
http://g1.globo.com/Noticias/Tecnologia/0,,MUL1300037-6174,00-MAIS
+DE+MIL+INTERNAUTAS+PODEM+TER+SIDO+INFECTADOS+POR+SITE+DA+VIVO.html
![Page 3: Porque a segurança dos seus sistemas deve ser entendida como um diferencial competitivo](https://reader031.vdocuments.com.br/reader031/viewer/2022020116/5598128a1a28ab2b1f8b4815/html5/thumbnails/3.jpg)
Camargo Neves RMS
Proteger e Servir Página 3
Entender como o seu negócio funciona
Claro que você sabe como o seu negócio funciona. Mas você entende quais componentes
tecnológicos são utilizados para que as vendas on line funcionem? Existem soluções prontas
para serem utilizadas em Comércio Eletrônico com custos e qualidade variados, opções
comerciais e baseadas em plataformas open source e modelos de suporte que vão de um e-mail
para contato a equipes dispostas em regime 24x7. Entender quais são as opções que podem lhe
ajudar e equilibrar custo, desempenho esegurança de forma satisfatória é o primeiro passo para
garantir um nível de risco aceitável.
Conhecer os seus problemas
Muito provavelmente o web site por onde você vende é vulnerável e isso não é ser apocalíptico,
é estatística. Pesquisas publicadas a cada ano mostram percentuais absurdamente altos de web
sites com falhas de segurança que variam de problemas simples até falhas que podem levar a
perda de dados e suporte para fraudes. E a melhor forma de evitar problemas com isto, é
conhecer o quão vulnerável você pode estar.
Existem serviços prestados por empresas especializadas que realizam desde um web scan – no
qual falhas primárias são identificadas – até a revisão do código fonte utilizado nos produtos
que suportam as suas vendas on line. Qual abordagem é mais adequada para o seu cenário irá
depender de muita conversa com especialistas e a sua estratégia para manter a presença da sua
empresa na Internet.
Arrumar a casa. E mantê-la arrumada
Depois de entender como o seu negócio na Internet funciona e quais vulnerabilidades podem
ser exploradas e se transformarem em problemas para a sua empresa e os seus clientes, é o
momento de manter a estratégia mais difícil. Manter a casa arrumada. Apesar de parecer algo
óbvio e primário, posso afirmar que nestes mais de dez anos que trabalho na área, vejo este
erro acontecendo continuamente. São mudanças na estratégia da empresa, nas pessoas
responsáveis pelos processos e até nos caprichos de poucos que fazem o nível de segurança
desabar.
Em um mundo onde mais de 5.000 novas vulnerabilidades são descobertas anualmente5,
diversos ataques zero day realizados em 2010 e 90% das vulnerabilidades identificadas não são
corrigidas pelas empresas afetadas6, a gestão de como a segurança é tratada passa a ser um
ponto fundamental para que o seu investimento não seja perdido ao longo do tempo. Seja
profissional como em qualquer processo da sua empresa, não trate isso como um mal
necessário, pois ele não é.
5 National Vulnerabilities Database: http://nvd.nist.gov/home.cfm
6 2008 Data Breach Investigations Report, Verizon Business
![Page 4: Porque a segurança dos seus sistemas deve ser entendida como um diferencial competitivo](https://reader031.vdocuments.com.br/reader031/viewer/2022020116/5598128a1a28ab2b1f8b4815/html5/thumbnails/4.jpg)
Camargo Neves RMS
Proteger e Servir Página 4
No final é tudo uma questão de manter o seu negócio
Os selos de segurança – carimbos virtuais que atestam a segurança de um web site – são talvez
as ferramentas mais populares quando a questão é mostrar ao seu cliente que você se importa
com a segurança virtual do negócio. Em comum as empresas que fornecem estes serviços
utilizam softwares para identificar vulnerabilidades simples que quando corrigidas, passam a
exibir os carimbos atestando que o nível de segurança é aceitável. Como resultado, os web sites
que fazem uso desta prática apresentam testemunhos de clientes que registram um incremento
de 10-12% nas vendas realizadas7.
Este é um primeiro passo na direção de um modelo seguro para o seu negócio, porém os selos
virtuais atestam somente que falhas simples não estão presentes. Para ir além – como um
criminoso virtual fará – você precisa realizar testes mais profundos, identificar os problemas e
tomar as medidas corretivas e preventivas necessárias de forma contínua. Ao agir neste sentido
e não só mostrar ao seu cliente que o seu negócio preza a proteção das vendas, como ainda
cuida dos dados em todas as fases de forma responsável, o retorno é imediato.
Hoje você pode esperar um incremento nas vendas pelo mesmo motivo que leva ao aumento
gerado por selos de segurança e possivelmente maior, pois o seu negócio estará indo além de
proteger somente uma compra, você estará tratando os dados dos seus clientes de forma
responsável e assegurando que ele sempre poderá fazer negócios com a sua empresa sem
esperar surpresas desagradáveis pelo uso indevido de suas informações e dados privados.
Posteriormente você será obrigado a cumprir normas de segurança impostas pelo seu setor de
mercado e as leis determinadas pelo Governo. Isso custa muito dinheiro se você partir do zero,
mas adequar os controles para se alinhar com o que vem por aí é um processo simples que irá
exigir somente algumas adaptações no que você já tiver. Por que então não investir agora para
manter os seus sistemas protegidos, os seus clientes satisfeitos e os seus concorrentes para
trás?
Sobre o Autor
Eduardo V. C. Neves, CISSP, trabalha com Segurança da Informação desde 1998. Iniciou sua
carreira profissional em uma das principais empresas de consultoria do mercado brasileiro,
posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10 anos. Em
2008 fundou uma das primeiras empresas nacionais especializada em Segurança de Aplicações e
hoje se dedica a prestar serviços de consultoria nas práticas de Risk Management e Business
Continuity. Serve ainda como voluntário no OWASP e (ISC)2 e contribui para iniciativas de
evangelização nas práticas de proteção da informação para federações e associações no Brasil.
Pode ser contatado pelo e-mail [email protected].
7 http://www.askdavetaylor.com/hackersafe_truste_bbb_trust_guard_seals_improve_sales.html