Os dados da sua empresa estão mesmo seguros?

Se tem uma coisa para a qual o episódio da espionagem da NSA (National Security Agency) serviu, foi para chamar a atenção para o quão frágeis podem ser os sistemas de informação. Afinal, percebeu-se o alto preço a ser pago por negligenciar aspectos simples de segurança. No caso do governo brasileiro, foi a Agência de Segurança dos EUA interceptou os dados da presidência e da Petrobrás, contudo não é preciso ter um agente externo para nos preocuparmos com a segurança dessas informações. O espião podia muito bem ter sido um partido de oposição ou mesmo algum funcionário de dentro do governo que percebesse o quão valiosas poderiam ser aquelas informações para as pessoas certas.

No caso da iniciativa privada acontece o mesmo: talvez você pense que a NSA não tenha interesse algum nos seus dados (o que pode até não ser verdade) e que, por isso, você não precisa se preocupar tanto com eles, mas suas informações podem vazar para terceiros, sejam estes seus concorrentes diretos ou mesmo empregados da sua empresa que não deveriam ter acesso aos dados.

Uma das lições mais importantes que esse acontecimento nos ensinou foi a de que não podemos permitir brechas. Ao se planejar uma política de segurança, é necessário conceber uma estratégia global que contemple todos os aspectos: políticas de acesso, transmissão e armazenamento dos dados. De nada adianta ter um ótimo firewall se o seu servidor de e-mails transfere as mensagens sem criptografia alguma, assim como de nada adianta criptografar as mensagens na transmissão, se elas são armazenadas de forma descriptografada, seja no servidor ou na máquina do cliente de e-mail. Aliás, é preciso parar de pensar apenas em senha, firewall e antivírus, quando se fala em segurança.

E o email, que é uma das principais ferramentas corporativas no dia a dia de muitas empresas, revelou-se um dos maiores desafios para qualquer instituição que se preocupa com a segurança dos seus dados. Afinal, praticamente tudo que é importante passa pelos sistemas de e-mail corporativo: são relatórios e planilhas com números sigilosos, senhas de sistemas que são enviadas para funcionários quando estes são admitidos na empresa, ou até mesmo conversas cujo conteúdo revela planos estratégicos e rumos institucionais.

A verdade é que esta ferramenta, tão indispensável, foi concebida numa época em que a computação não estava sequer no horizonte das companhias, quanto mais as preocupações relativas à confidencialidade das informações. Ninguém poderia imaginar que o uso do e-mail cresceria tanto ao ponto dele se tornar praticamente onipresente.

A maneira mais fácil de assegurar total privacidade nos emails, ainda é utilizar chaves PGP (Pretty Good Privacy. Crie um servidor de chaves para a sua empresa e garanta que pelo menos a sua comunicação interna seja assinada por chaves confiáveis. Para terminar, deixo uma pergunta: seus funcionários utilizam o recurso de salvar as senhas na nuvem, oferecidos pelos navegadores mais modernos? Se sim, qual a probabilidade das senhas dos sistemas corporativos da sua empresa estarem salvas nesses servidores?

PS: texto publicado originalmente na Revista Locaweb #47.