Ações aparentemente inofensivas, como utilizar pen drives, podem trazer riscos para a segurança de uma PME (Stock.xchng)
Da Redação
Publicado em 9 de maio de 2013 às 06h00.
São Paulo - Para muitos empreendedores, proteger as informações armazenadas em seus softwares e computadores é um aspecto estratégico do negócio. Nem sempre, no entanto, eles cuidam do assunto como deveriam.
“Existe na maioria das empresas a preocupação de manter seguros os sistemas mais complexos”, diz Camillo Di Jorge, diretor da empresa de segurança digital Eset. “É comum, no entanto, deixar de lado problemas menores e que abrem brechas para invasores.”
Exame PME consultou empreendedores e especialistas para saber quais pontos básicos de segurança em TI merecem atenção.
1 Plugar pen drives ou outros dispositivos
No ano passado, o engenheiro João Marcos Dalla Rosa, de 50 anos, dono da catarinense Real Estúdio, passou por três situações parecidas em que os computadores da empresa pararam de funcionar por um dia inteiro. A causa da paralisação, nos três casos, estava em arquivos contaminados por vírus que haviam se instalado no servidor da empresa, tornando os dados inacessíveis.
“Perdi informações sobre negociações com clientes e fornecedores porque os sistemas precisaram ser reinstalados do zero”, diz Dalla Rosa. Primeiro, ele pensou que alguns funcionários tivessem acessado arquivos inseguros durante o expediente, como joguinhos e músicas baixadas de sites inapropriados.
Depois, descobriu que os vírus vinham de um lugar até então insuspeito — os pen drives que os clientes traziam para a empresa.
O negócio da Real Estúdio é imprimir estampas para que indústrias têxteis e confecções as apliquem em tecidos. Os clientes costumam entregar os desenhos das estampas em pen drives, que, em alguns casos, estão infectados. “Agora, deixamos um computador isolado da rede só para receber as estampas”, afirma Dalla Rosa.
Para muitas empresas, proibir os funcionários e clientes de plugar dispositivos USB nas redes não é uma opção — embora armazenar os arquivos na internet possa ser uma alternativa, o pen drive ainda é uma opção prática para lidar com o leva e traz de documentos mais pesados.
O que fazer? “Atualmente, há pen drives com suporte a criptografia e sensor de biometria que identificam se o aparelho está autorizado a ser plugado na rede”, afirma Jefferson D’Addario, professor de gestão e tecnologia da Faculdade Impacta. “Do lado da empresa, softwares de segurança fazem uma varredura instantânea para detectar eventuais arquivos infectados.”
2 Usar versões desatualizadasde softwares
É difícil passar algum tempo no computador sem que apareçam várias janelinhas sugerindo instalar novas versões de aplicativos. A dificuldade é saber quais atualizações precisam ser instaladas imediatamente e quais podem ser deixadas para depois.
Numa pesquisa recente feita com usuários do programa de telefonia Skype, 40% disseram que não atualizam o software quando é solicitado pela primeira vez — metade respondeu que precisava ser alertado de três a cinco vezes até se convencer de que era importante instalar a nova versão do programa.
“O uso de versões defasadas pode abrir brechas de segurança, facilitar a entrada de vírus e o acesso a documentos sigilosos”, diz Mariano Sumrell, diretor da consultoria de segurança AVG Brasil. “O empreendedor não pode esperar que os funcionários baixem as atualizações por conta própria.”
Para escritórios com mais de 15 computadores em rede, os especialistas recomendam usar sistemas conhecidos, como gerenciadores de patchs, que agrupam arquivos de diferentes softwares e aplicam as atualizações de forma automática em todas as máquinas.
3 Criar senhas fáceis de descobrir
Os hackers constantemente criam novas estratégias de ataque e softwares para descobrir senhas. Os programas mais conhecidos testam nomes próprios. Outros usam palavras do dicionário ou títulos de filmes e nome de personagens famosos.
Hackers que têm como alvo invadir os sistemas de determinada empresa ou site desenvolvem programas que adotam o método conhecido como “força bruta”, que testa milhões de combinações de letras e números possíveis até descobrir a correta.
“Justamente porque é impossível criar senhas totalmente impenetráveis, é importante que os funcionários sejam obrigados a criar combinações de caracteres que não sejam óbvias”, diz Sérgio Dias, especialista em segurança da americana Symantec. “O ideal é mesclar números e símbolos com letras maiúsculas e minúsculas.”
Um problema comum em muitas empresas é o compartilhamento de senhas. “Um mesmo código usado por duas pessoas já é quase uma senha pública e perde sua função”, afirma Dias. O uso de login individual permite à empresa controlar exatamente quem está acessando o quê.
4 Contentar-se com o antivírus
Com tantas novas ameaças surgindo a todo o momento, é impossível uma empresa se proteger somente com programas de antivírus.
Os especialistas recomendam que os empreendedores contratem um sistema de firewall (“barreira corta-fogo”, na tradução do inglês), que permite identificar e bloquear dados suspeitos ainda na entrada do servidor de internet — antes, portanto, que eles cheguem aos computadores e às caixas de e-mail dos funcionários.
“Não é uma boa ideia deixar o usuário decidir se deve ou não confiar em um anexo recebido por e-mail”, diz Mariano Sumrell, da AVG Brasil. “Ao bloquear o conteúdo suspeito logo na entrada do servidor, o risco de alguém abrir um arquivo infectado cai drasticamente.”
Além dos vírus, bons firewalls devem ser capazes de barrar a entrada de uma verdadeira fauna de softwares intrusos, como spywares, trojans e keyloggers — programinhas espiões que permitem monitorar as atividades realizadas num computador e até gravar tudo o que é digitado e enviar os dados com data e hora por e-mail.
Eles podem permanecer invisíveis por um longo período, sem que os usuários das máquinas invadidas percebam. “Introduzir um software espião num servidor da empresa e replicá-lo em vários PCs é o suficiente para comprometer informações sigilosas do negócio”, diz Sumrell.
5 Imprimir documentos
As impressoras são uma das principais fontes de vazamento de dados — e talvez a mais insuspeita. Poucos se dão conta de que os modelos mais recentes desse tipo de equipamento são verdadeiros centros de processamento de informações, muitas vezes equipados com HDs próprios e capacidade de transferir dados para outros aparelhos.
“Cada imagem digitalizada, impressa ou reencaminhada por e-mail pode ser armazenada para sempre na memória de uma impressora”, afirma Camillo Di Jorge, diretor da empresa de segurança Eset.
“Com base no tipo de informação que o empreendedor lida no dia a dia, é interessante configurar a limpeza do HD das impressoras regularmente.” Em qualquer empresa, grande ou pequena, também é comum encontrar documentos esquecidos nas impressoras — como acontece quando os funcionários mandam imprimir e deixam de buscar.
Uma sugestão dos especialistas é nomear um responsável por fazer uma ronda de tempos em tempos — uma ou duas vezes ao dia, por exemplo — à caça de documentos largados nas impressoras. “Imagine o que pode acontecer caso alguém mal-intencionado passe por ali e veja dados financeiros, planilhas de RH, fichas de clientes e contratos sigilosos”, diz Di Jorge.
6 Não fazer backups suficientes
Manter os backups automatizados é um hábito bastante raro no mundo dos pequenos e médios negócios. De acordo com estimativas da empresa de segurança Computer Associates, somente 25% das empresas têm processos organizados para prevenir a perda de informações. A maioria delas faz backups manuais e apenas de vez em quando verifica se as cópias foram feitas direito — e acha que está tudo bem.
Em 2007, o engenheiro Alan Pakes, de 35 anos, sócio da empresa de intercâmbio Invista em Você, fazia backup de algumas informações do negócio, como lista de clientes e dados financeiros, em um computador pessoal. Quando o computador quebrou, Pakes se desesperou.
“Recuperei parte do conteúdo, mas perdi informações mais antigas que só estavam nele”, diz. Quando a computação em nuvem começou a se popularizar, após algum tempo, Pakes decidiu armazenar os arquivos imprescindíveis na internet.
“O backup na nuvem pode ser feito automaticamente e sem a preocupação do espaço em disco acabar no meio da operação”, diz Pakes. “Não corro mais o risco de perder documentos.”
Muitos donos de pequenas e médias empresas ainda têm receio de colocar alguns tipos de informação na nuvem — dados financeiros, por exemplo.
“Os principais cuidados a ser tomados para manter tudo seguro é contratar fornecedores de confiança, criar senhas complexas e dividir o acesso aos arquivos por níveis de responsabilidade de cada funcionário”, afirma Felipe Cataldi, diretor da desenvolvedora de softwares na nuvem BetaLabs.
De acordo com uma pesquisa recente da Symantec, 65% dos donos de pequenas e médias empresas já perderam informações importantes por não realizar backups regularmente. O backup, quando é feito do jeito certo, ajuda o empreendedor a se prevenir caso os computadores da empresa sofram problemas que inviabilizam seu uso, como desgaste do HD, quedas, incêndios, alagamentos e roubos.