[ NOTÍCIAS ]

Segurança da informação: conscientizar para prevenir
Fonte: CardNews Magazine, 22/11/2007

Segurança (qualquer uma) sempre foi um tema delicado.

Uma posição mais conservadora insiste que a simples menção ao fato já traria embutida uma espécie de validação, ou ao menos um reconhecimento tácito de sua existência. Um modo mais esclarecido de encarar a questão da segurança, contudo, aponta para outra direção.

Nesse cenário, um dos profissionais de destaque é Denny Roger. Hoje, Roger está na Future, onde assumiu a área de negócios em São Paulo (a sede é no Rio de Janeiro). A Future é formada por cerca de 40 profissionais de segurança e é a empresa que possui o maior número de colaboradores certificados em uma tecnologia de firewall conhecida como Check Point, que se tornou uma referência no assunto. Apesar de estar à frente da gerência de negócios em São Paulo, Roger tem formação técnica. Segundo Roger, na área de segurança da informação, o processo para estabelecer uma parceria é antes de tudo uma relação de confiança. “O profissional que vai discutir a arquitetura de uma solução tem que ter formação técnica para entender a necessidade do cliente”, diz.

A formação técnica em segurança da informação está começando a se firmar no Brasil, informa o executivo. Por isso, as empresas ainda não contratam um profissional em função do currículo acadêmico. “O mercado reconhece o profissional em segurança pelo número de palestras que ministra, pelo número de artigos que publica, pelo número de cursos que ministra e pelo número de certificações obtidas”, informa. Como se sabe, no universo de informática a questão colaborativa é muito presente. Para o profissional estar bem posicionado conta muito o fato de ele estar contribuindo constantemente com a comunidade de segurança. “Você aparece perante a comunidade fazendo trocas práticas, sendo participativo.” Denny Roger foi premiado pelo melhor White Paper produzido em 2005, sobre segurança em redes sem fio. A distinção é dada pelos próprios profissionais de segurança da informação.

Didática Falar de segurança pode ser uma questão técnica, mas a maior dificuldade é traduzir o intangível da tecnologia para a linguagem do executivo, “por isso muitos projetos não são viabilizados”. Ciente dessa dificuldade Roger desenvolveu uma didática que tangibiliza o intangível. Segundo ele, nas muitas palestras que ministra (no dia da entrevista, 17 de outubro, já havia ministrado 12 palestras. Em média, são duas por semana) mostra, por exemplo, o funcionamento de um programa espião ou como se rouba a senha na hora do acesso a um internet banking. “Mostrar ao vivo como essas coisas acontecem tem um forte impacto na platéia”, diz.

Bancos e segurança Nos últimos cinco anos, Roger formou diversas equipes na área de fraudes dos bancos. Ele é contratado para passar conhecimentos sobre o tipo de ferramenta usada pelos fraudadores. “Se você não sabe qual arma o estelionatário vai usar contra sua empresa, também não sabe qual a melhor proteção. Eu mostro na prática não o que acontece, mas o que pode acontecer, por exemplo, falsificação de links e de imagens.”

A experiência de Roger com a área bancária é antiga. O? especialista já trabalhou em quatro bancos (por questões contratuais, pode citar apenas o BMC). Seu primeiro emprego foi no Banco Bandeirantes já na área de internet banking em 1995, quando nem existia internet banking no Brasil. “Eu participei do processo de desenvolvimento do internet banking no Brasil. Sempre trabalhei na área financeira, onde me apaixonei por segurança.” Na economia globalizada, muitos dos desafios são comuns. Em segurança da informação não é diferente. Mas existem as particularidades. Para Denny Roger, a excelência da indústria bancária, fato reconhecido, também está presente no quesito segurança da informação. “Temos os melhores profissionais na área de segurança em função da quantidade de tentativas de roubo de informações. Quando mostro, em minha palestras em outros países, o teclado virtual do internet banking, me perguntam por quê. Respondo: questão cultural.” O fato de o Brasil exportar tecnologia de internet banking deve-se, é claro, à capacidade dessa indústria, altamente competente. O motivo para que isso acontecesse é o mesmo que fez do profissional de TI bancária brasileiro um dos melhores do mundo. Neste caso, a alta inflação; no caso de segurança da informação, os golpes que a indústria teve de superar. Mas, por que os ataques? Para Roger, o Brasil precisa criar empregos. Além disso, há o acesso cada vez mais fácil à tecnologia e um envolvimento precoce das crianças, que, em alguns casos, têm aulas de informática desde os dois anos. “Crianças com 10, 12 anos têm um bom conhecimento de informática. Eu atendi muitos casos de fraude com adolescentes de 16 anos envolvidos. Faltou direcionar esse conhecimento para ações positivas.” O especialista diz que as ilicitudes começam de maneira despretensiosa, como alteração de senha do Orkut de um amigo ou com algum tipo de invasão em um comunicador instantâneo. Ficando mais seguro, ele se pergunta: conseguiria copiar a senha do internet banking de alguém? Se a ação é inicialmente isolada, o tempo se encarrega de fazer com que ela ocorra em gangues. No mundo de segurança da informação não mais há espaço para o profissional generalista, “é tanta coisa que eles se especializam: tem um que só desenvolve vírus de computador; tem o especialista em ‘clonar’ páginas de bancos; outro envia e-mails falsos. Todos os casos de que participei eram de quadrilhas”. Como a legislação específica para crimes digitais ainda está sendo montada, o que acontece, segundo Roger, é que eles acabam caracterizados como estelionato e formação de quadrilha. Outra das dificuldades é caracterizar a origem de um golpe que não tenha partido do Brasil, quando as evidências estão em outro país. Um juiz vai determinar os procedimentos, que “são sempre longos e custosos, porque é necessário constituir advogado local, apurar as evidências locais, se elas ainda existirem”, diz. Para Roger, a saída é a conscientização do pú blico. “Meu trabalho é de conscientização, para evitar que a pessoa seja vítima na Internet.”