As empresas brasileiras ainda não possuem um sistema de segurança capaz de proteger de forma efetiva dados sigilosos. Um levantamento divulgado esta semana pelo Instituto Brasileiro de Planejamento Tributário (IBPT), junto a 121 mil empresas de todos os portes e segmentos, mostrou que 47% delas possuem um sistema de segurança inadequado e apenas 18% delas possuem um elevado nível de segurança. O estudo é divulgado na esteira de diversos escândalos que vêm sendo noticiados sobre práticas de espionagem feitas pelo governo dos Estados Unidos em diversos países e que incluiriam também o Brasil.
"Foi uma surpresa. Nós nunca achávamos que teríamos um índice tão alto de falta de segurança", disse ao DCI o presidente executivo do IBPT, João Eloi Olenike. Segundo ele, foram encontradas falhas na segurança de diversos tipos de empresas, pequenas, médias e grandes. "Tem até empresa listada na Bolsa de Valores", afirmou. O estudo mostrou que essas empresas não guardavam notas fiscais emitidas de forma adequadas. "Nós fomos ver onde essas notas fiscais estavam arquivadas e elas, em sua grande maioria, estavam em locais abertos onde qualquer um pudesse entrar e acessar", disse Olenike. "São dados sigilosos, que deveriam ser guardados com segurança, e as empresas são estão fazendo isso."
O estudo foi divulgado na esteira de escândalos de práticas de espionagem feitas pelo governo norte-americano a diversos países, que incluiria também o Brasil, o que traz à tona o tema da segurança na alocação de dados.
"Hoje aqui no Brasil nós estamos pouco maduro no que tange à segurança de informação", disse ao DCI o especialista em segurança e proteção da informação da Symantec, Gustavo Leite. Segundo ele, as empresas passaram a observar de forma mais atenta a questão da segurança após a divulgação dos escândalos. "O movimento que saiu na mídia, das denúncias feitas ao governo americano, estão sendo utilizadas por todos os gestores de Tecnologia da Informação [TI] e de segurança no sentido de demonstrar que existe um problema, algo que já está acontecendo e que deve ser tratado."
O Relatório 2013 sobre o Custo do Vazamento de Dados, levantamento elaborado pela Symantec, que é líder global em softwares de segurança, em parceria com o Instituto Poneman, divulgado no mês passado, mostrou que o custo total médio de um incidente de violação no Brasil foi de R$ 2,64 milhões. Foram 31 empresas pesquisadas, sendo que o mais alto custo foi de R$ 9,74 milhões e o menor, de R$ 230 mil.
De acordo com o executivo da Symantec, não só a vulnerabilidade do sistema de segurança da empresa é causa do vazamento de dados como também a forma como os funcionários dessas organizações manipulam essas informações. Pesquisa anterior também elaborada pela Symantec mostrou que 62% dos funcionários brasileiros achavam aceitável transferir dados corporativos para fora da empresa e que a maioria nunca apaga os dados, deixando-os vulneráveis a vazamentos. Leite afirmou que para evitar isso, é importante que a empresa possua um diretor específico para cuidar da área de segurança. "As empresas que investiram em um diretor focado em segurança da informação conseguem mitigar muito a possibilidade de vazamento da informação", disse. "Com um processo bem feito e uma orientação bem feita, você consegue mitigar os riscos em até 70%."
Risco nas PMEs
O risco de vazamento de informação também acontece com as pequenas e médias empresas (PMEs). Muitas empresas de menor porte possui relacionamento com grandes corporações, e também contam com informações que vão além de seus negócios. "A segurança da empresa grande, nessa cadeia de relacionamento com empresas médias e pequenas, está baseada na segurança utilizada e adotada pela empresa pequena", afirmou ao DCI Marcos Nehme, diretor da divisão técnica para América Latina e Caribe da RSA, empresa da divisão de segurança da EMC, uma das maiores empresas de software do mundo.
O executivo da Symantec concorda que as empresas menores também estão sujeitas à invasões. "Hoje os hackers estão diversificando e vendo uma possibilidade de acessar as informações das grandes empresas através das pequenas, que são prestadoras de serviços", afirmou Leite. "Hoje existe uma preocupação das grandes empresas - e elas já estão se preparando para isso -, mas as pequenas e médias também têm de se preocupar, porque acabam sendo uma fonte mais fácil para este tipo de informação."
Os especialistas afirmam que as PMEs não precisam necessariamente aportar mais recursos em segurança. "O principal é: não agregar mais investimentos, mas usar de maneira mais eficiente o que está sendo investido", disse Nehme. Leite, da Symantec, afirma que as PMEs, que não têm estrutura, podem optar por terceirizar o serviço, contratando empresas focadas nessa solução.