A evolução da tecnologia levou acesso a informações decisivas para os negócios em qualquer lugar e tempo, mas também ampliou a vulnerabilidade desse universo. Hoje, empresas lutam para proteger seus ambientes e dados não só de ameaças externas, como cibercriminosos e hackers, mas também de ameaças internas, agravadas ainda mais pelas facilidades trazidas pela mobilidade.

Independentemente da indústria ou atividade core, a segurança da informação deixou de ser uma responsabilidade exclusiva dos CIOs e passou a ser uma preocupação da organização como um todo, afinal, são pessoas e processos que estão em xeque em qualquer estratégia nessa área. Para compartilhar experiências e visões sobre o assunto, o IT Forum + reuniu os CIOs Engênio Fabbri, da Stelo, Eduardo Lucas Pinto, do Colégio Dante Alighieri, e o consultor Edison Fontes no debate “Segurança da Informação”, realizado na quinta-feira (28).

“Cada empresa deve mapear e estruturar para entender qual é o seu universo. A questão é definir a rigidez do controle tendo bem claros esses pontos críticos para uma organização”, analisou Edison Fontes. Rigidez que, segundo ele, determina os limites dos controles que serão colocados em prática através de políticas e ações de segurança, mas que devem ser estabelecidas além das fronteiras da TI, ou seja, pelas áreas de negócio.

Para a Stelo, empresa de meios de pagamentos eletrônicos do Bradesco e Banco do Brasil, trabalha com um nível de segurança muito alto para proteger as transações. Durante o debate, Fabbri contou que praticamente tudo é monitorado, já que estão em jogo dados sobre clientes e transações financeiras. “Temos um ciclo de monitoramento da segurança da informação que vai desde quando a pessoa entra em um site de ecommerce, faz o login, qual dispositivo ela usa, até o momento que a transação é efetuada”, detalhou o CIO.

Diante da complexidade do cenário, o gestor de TI da Stelo lembra que por mais que as empresas instalemfirewalls e outras tecnologias, implantem processos de governança, políticas de acesso, o nível de vulnerabilidade continua alto, inclusive internamente. “Além das ameaças externas, hoje temos profissionais de segurança dentro das empresas que muitas vezes conseguem descobrir falhas que o CIO, dentro da rigidez alcançada, não consegue identificar. E essas pessoas podem levar isso quando saem da empresa”, comentou.

Para mitigar os riscos inerentes, Fabbri afirma que a empresa “extrapola” o nível de segurança. Além de monitorar o perfil dos clientes durante as transações, a comunicação dentro de casa passa pelo mesmo processo, seja através de senhas em impressoras, monitoramento de e-mails corporativos e acompanhamento de interações em redes sociais, enfim, tudo que pode envolver o vazamento de informações de negócios. “Na Stelo, a segurança está ligada com a parte de operações e não com a TI, e é atrelada diretamente à presidência”, detalha.

Risco existe em qualquer organização

E não pense que um colégio não enfrenta problemas relacionados à segurança da informação. As escolas de hoje precisaram evoluir para acompanhar os alunos, que representam a tão conhecida “Geração Y”. Tablets, notebooks, e-mails, redes sociais, smartphones – tudo isso faz parte do dia a dia do estudantes e professores no Colégio Dante Dante Alighieri. E como garantir que essas crianças e adolescentes estão protegidas na internet?

Em busca de um melhor controle e gestão do acesso de seus alunos ao mundo digital, bem como um uso responsável e consciente das tecnologias, o colégio realizou uma série de medidas de compliance que lhe rendeu o selo de Escola Digital Segura. No debate, o CIO Eduardo Lucas Pinto contou que a flexibilidade foi determinante na definição das políticas de segurança que seriam adotadas no colégio. “É um ambiente de aprendizado, onde o departamento de TI não pode estar completamente isolado dos alunos. Então tivemos que ser flexíveis diante do que está escrito nas normas e do que é definido por fornecedores e consultores”, disse.

Segundo ele, a instituição adota medidas como, por exemplo, analisar os conteúdos em que seus alunos navegam para identificar situações de risco e até mesmo montar um perfil de comportamento do aluno nas ferramentas digitais. “Aqui não coibimos o acesso, e sim usamos o que o aluno está fazendo de errado para tentar corrigir através de um processo de reeducação educacional com o apoio dos pais”.

A instituição disponibiliza cerca de 1.500 tablets aos seus alunos em contrato de comodato, sob regras e políticas de uso muito claras – que inclusive são discutidas até pelos estudantes em comitês. “Monitoramos o que os alunos fazem dentro e fora da escola com esses tablets. E acredite, lidamos com várias situações de segurança, em que alunos tentam acessar nosso banco para mudar notas”, exemplificou.

Mais uma vez, muito mais do que criar e estabelecer políticas, informar os usuários sobre a existência das mesmas, bem como orientar e educar a respeito de suas aplicações e implicações ainda é a caminho mais eficaz, já que a era em que as empresas encontravam-se “blindadas” por trás de seus mainframes não existe mais. Estamos falando de mobilidade, de novas tecnologias e, acima de tudo, pessoas.

“Se fiz regras, ficou claro, há grandes chances de dar certo. E mais importante é saber compartilhar esse conhecimento, como fazem os bancos, através da Febraban. Os outros setores deveriam compartilhar mais suas experiências, assim como estamos fazendo aqui. A gente já sabe o que tem que fazer, mas a questão aqui é como fazer”, evidenciou o consultor Edison Fontes.