As ameaças digitais crescem no País. De acordo com o Cert.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) foram computados neste ano 298.181 incidentes cibernéticos, contra 222.528 no ano passado e 160.080 em 2007. No entanto, apesar do grande volume de invasões, as empresas brasileiras ainda não têm controles eficazes de seus dados para detectar e barrar fraudes e a entrada de hackers. "Os criminosos cibernéticos estão cada dia mais eficientes, usando tecnologias sofisticadas", assinala José Mariano de Araújo Filho, delegado titular da Delegacia de Crimes Eletrônicos do Deic, que esteve presente no road show sobre segurança da informação da Check Point, uma das maiores fornecedoras mundiais em segurança na internet, evento realizado em São Paulo.

As empresas brasileiras precisam estar alertas para essa profissionalização dos intrusos cibernéticos, porque crimes, como pedofilia, podem ser cometidos dentro de suas organizações e a partir de seus próprios equipamentos, sem o seu conhecimento, é claro. "Isso é capaz de destruir a imagem de uma empresa, porque seu nome passa a ser associado a uma prática criminosa", assinala o delegado do Deic.

Controlar as invasões não é nada fácil, não só para as empresas, como também para a polícia. Segundo Araújo Filho, as companhias não fornecem os subsídios adequados para a polícia investigar os delitos cometidos em seus sistemas. Isso dificulta e retarda o trabalho dos peritos do Deic. Por mais recursos tecnológicos que possuam, as empresas, em geral, não sabem onde estão armazenados seus dados, quais os profissionais que os administra e o horário em que foram cometidas as fraudes. Além de tudo, não possuem relatórios que apontam os equipamentos invadidos acessados remotamente. "Até mesmo as empresas que têm um controle razoável de suas informações acabam sendo vítimas de invasões, por não disporem de políticas de segurança e metodologias planejadas, capazes de fornecer diagnósticos sobre tudo o que acontece na área de TI", argumenta o delegado titular do Deic.

Outros fatos surpreendem a polícia no momento de investigar as denúncias de invasões. "É muito comum estarmos à caça de criminosos em empresas que também estão fora da lei, por usarem softwares piratas", assinala o delegado. Não poucas vezes, a polícia se depara com companhias que não fazem a varredura de vírus periodicamente e sequer possuem programas antivírus. "Esse despreparo em termos de segurança, frisa ele, já registramos até em empresas de grande porte".

A Check Point aproveitou o evento para lançar o software Blade de IPS, uma ferramenta modular, simples e flexível. "Podemos compará-lo ao jogo de Lego. Ele está disponível em módulos ou partes, configurados de acordo com as necessidades de segurança das empresas", explica Jonathan Fischbein, gerente de produtos da Check Point de Israel.

O perigo está no e-mail

Controlar os vazamentos de informações por e-mail é atualmente um dos maiores desafios dos gerentes e diretores de TI. O problema, capaz de causar sérios prejuízos às empresas, como a perda de informações sigilosas, clientes e até faturamento, vem se tornando muito comum no Brasil. A afirmação é de Ghassan Dreib, gerente de desenvolvimento de negócios da Cisco. "Com o uso maciço de mensagens eletrônicas nas relações pessoais e de negócios, as empresas têm que ter como prioridade o controle das informações".

Apesar de estarem conscientes dos riscos que correm com o vazamento de e-mails, esse problema, por enquanto, não chega a amedrontar as empresas. "É difícil para os dirigentes empresariais mensurar o quanto se perde com o roubo das informações", declara Renato Martin, líder técnico da área de segurança de redes da Teledesign, especializada em soluções de telecom e TI, parceira da Cisco na área de segurança.

As fraudes de roubo de informações ocorrem de várias maneiras. Uma delas, muito comum, é por webmail. Funcionários mal-intencionados utilizam as máquinas de sua empresa para criar, sem autorização de suas chefias, uma conta de webmail no nome de alguém que trabalha na empresa. Feito isso, passam a enviar anexos confidenciais para fora da empresa, por meio desse endereço fantasma.

Outro golpe praticado por e-mail é a abertura de contas no nome de alguém que se quer prejudicar dentro da empresa. Recentemente, a Cisco teve conhecimento de um rapaz que caiu nessa armadilha. Um inimigo abriu uma conta com seu nome e passou a enviar mensagens falsas assediando várias mulheres do trabalho. O fato chegou ao conhecimento da chefia e ele foi demitido.

Para evitar o vazamento das mensagens eletrônicas, o ideal é que as empresas utilizem ferramentas, como os softwares da tecnologia Data Loss Prevention, como o Cisco Security Agent. "As funções principais dessa ferramenta são gerenciar o conteúdo das mensagens e as políticas de acesso", resume Renato Martin, da Teledesign. Por meio do CSA, é possível marcar e-mails, com a mensagem arquivo confidencial, controlar os conteúdos de textos e barrar a reprodução de dados sigilosos em pen drives ou CDs. De acordo com Dreib, da Cisco, o pen drive é um dos principais vilões do roubo das informações, pois 33% dos dados furtados das empresas saem das empresas por meio desses dispositivos de armazenamento.

Marcelo Danil

(Colaborou Maria Lúcia D'Urso)