Tecnologia Computação Internet

Março de 2002

O choque mundial com a diária publicação de novas e até então inacreditáveis evidências dos casos Enron e Global Crossing, associados aos não menos inimagináveis eventos de 11 de Setembro, incorporam definitivamente na agenda de prioridades de todos CEO´s o tema do gerenciamento corporativo da segurança em todas suas formas, seja ela de natureza física, patrimonial, eletrônica ou digital.

Em especial nos últimos dois anos - com o grande crescimento do uso da Internet e da constante troca de dados, informações e transações envolvendo redes de comunicação interligando ambientes heterogêneos de clientes, fornecedores e parceiros de negócios - grande parte dos profissionais envolvidos com segurança digital esteve repetidamente alertando as empresas sobre a iminente probabilidade da ocorrência de situações graves de descontinuidade de negócios.

Embora todas as evidências e estatísticas apontassem para uma explosão de ocorrências desta natureza, as corporações, em geral, preferiram sempre adotar uma postura cética em relação à real probabilidade dos mesmos.

Na grande maioria dos casos, o tema esteve sob gestão de escalões intermediários, contando com restritas dotações orçamentárias de completo desconhecimento pelos níveis de tomada de decisão de negócios.

A origem técnica e a associação natural com a performance, integridade e disponibilidade das redes de dados limitaram as questões de segurança digital a instalações pontuais de dispositivos físicos e ferramentas de software, visando a eliminação de questões localizadas.

Vários fornecedores surgiram com as mais variadas promessas de valor através da padronização de tecnologias proprietárias, as quais, porém, foram úteis numa fase inicial de contato dos usuários com estas novas tecnologias e procedimentos.

Foram desenvolvidas as interações iniciais com algumas ferramentas relevantes de segurança digital, como controle de acesso via firewalls, detecção de invasores, controle de conteúdos, criptografia, certificação digital, antivírus, autenticação e PKIs, por exemplo. Tais sensores instalados pontualmente proporcionaram não somente o conhecimento inicial, mas também forneceram conceitos estruturais importantes no ambiente corporativo sobre a dinâmica de ocorrências de eventos e ataques internos e/ou externos no mundo digital.

Corporações dos mais diversos segmentos e dimensões ficaram extremamente surpresas ao constatar a magnitude de tentativas de ataques geradas e defendidas automaticamente, sem que nada em especial a nível da performance da rede ou acesso aos sistemas de dados e e-mail, por exemplo, ocorresse diferente da normalidade.

Enquanto os softwares travavam a guerra de bloqueio de acesso e reconfiguração automática dos servidores contra os invasores, milhões de transações eletrônicas estavam se realizando, bem como milhões de usuários trafegando e manipulando informações sensíveis por e-mails pela rede, por exemplo.

O mundo digital tem esta caracteristica especial. Os eventos não são facilmente perceptíveis e, enquanto numa dimensão de comunicação executivos e funcionários em geral trocam telefonemas verbais, na dimensão digital várias e contínuas "cyberwars" podem estar ocorrendo silenciosamente, causando danos e perdas de naturezas diversas.

Foi dentro desta "normalidade" que numa calma manha de Agosto de 2001, auditores trocaram tranqüilamente e-mails sobre o caso Enron, decidindo estratégias sobre questões extremamente delicadas, admitindo e estruturando o planejamento de atividades para a destruiçã das evidências tanto físicas (documentos) quanto eletrônicas (e-mails e vários tipos de comunicação via rede).

Esqueceram-se, porém, que técnicas modernas de "cyber-forensics" conseguem recuperar dados apagados de computadores, servidores, redes de dados e provedores de acesso. Conseguem também recuperar notebooks danificados fisicamente e aparentemente sem qualquer conteúdo acessível.

O imponderável entrou em ação novamente e fez com que grande parte destas comunicações fosse recuperadas e, ao se tornarem públicas no final de Dezembro de 2001, desse origem ao maior caso de fraude da historia corporativa dos Estados Unidos.

A percepção da segurança física alimentada diariamente pelas correspondentes estruturas de concreto e aço dos grandes conjuntos de edifícios e seus vários níveis de bloqueios para acesso age muitas vezes como elemento que trai a percepção de risco, já que para os crackers e hackers nenhuma valia existe em todo este aparato para deter seus movimentos e ações. Felizmente, vários importantes CEOs do mundo estão rapidamente despertando para estas questões, tendência que é claramente comprovada em todas as pesquisas recentes sobre este assunto, em especial nos EUA.

Executivos em posições de tomada de decisão necessitam estar aptos a conhecer e administrar seus respectivos níveis de risco, definindo prioridades, criticidade, gestão e estratégias de reação sejam eles de nível estratégico, financeiro ou operacional.

A estas responsabilidades, adiciona-se a nova percepção de mercado em geral para o tratamento corporativo às questões da administração profissional dos riscos. Previamente aos eventos acima citados, pouca ou nenhuma visibilidade era conquistada por empresas ao investirem alguns milhares de dólares em projetos de segurança digital.

Seguindo os motivos já mencionados, estes investimentos eram tratados como itens de custos aderentes à infra-estrutura operacional das redes de dados, sistemas e aplicações.

Os CEOs mais perspicazes estão percebendo rapidamente que é possível captar e gerar valor para o negócio via estuturação de projetos sérios e consistentes, além de adequadamente utilizar as estruturas de comunicação e marketing para a transmissão da proposta de valor intrínseca nos investimentos propostos. O mercado em geral - leia-se investidores, analistas e mídia - está num momento de completa revisão sobre a análise de valor das empresas em todo mundo.

Existe um crescente ceticismo na validade e consistência das estruturas até então utilizadas para tomada de decisão de alocação de recursos e investimentos, nas quais esteve até então sustentado todo capitalismo americano moderno, atraves do ciclo linear básico que se iniciava pelos relatórios e análises de auditorias contábeis, passando por recomendações de compra ou venda de corretoras e bancos de investimentos até chegar aos milhões de pequenos investores e centenas de instituições. Toda a sustentação desta cadeia de recomendações esta sendo implodida pelos desdobramentos dos casos Enron e Global Crossing.

A captação de valor pelos CEO´s mais capazes estará diretamente associada à transparência e coragem da incorporação destas questões como fator crítico de sucesso para a gestão corporativa do pós-Enron. Posturas proativas e preventivas em relação a estratégias de segurança digital serão positivamente percebidas pelos agentes da cadeia de negócios, diferentemente da qual seriam há poucos meses.

Porém, para que tais benefícios de agregação de valor sejam atingidos é necessário que os CEOs e a alta administração estejam realmente envolvidos no gerenciamento dos novos processos corporativos de gestão dos riscos, sejam eles de natureza estratégica, sistêmica, tática, operacional ou financeira.

Leonardo Scudere é diretor Information Security Group, divisão da KROLL Associates

© Idealyze Participações,
todos os direitos reservados.
Política de Privacidade