27.06.10

É proibido proibir, mas monitorar pode!

Fonte: Roberto H. Sousa

Entre a ditadura do “Vamos proibir tudo” e a anarquia do “Libera geral”, use uma política do bom senso: Monitore os acessos de sua rede.

Já passou o tempo dos “oito ou oitenta” na administração de redes de empresas que tratavam os usuários por igual, quase não sendo possível distinguir suas diferentes necessidades no uso dos serviços de Internet, e-mails e comunicadores instantâneos.  Pouco tempo atrás o que se via em algumas empresas era a necessidade de bloquear o acesso para todos, pois não havia definições muito claras de quem deveria acessar e o que acessar na Internet. Por outro lado havia empresas que liberavam o acesso sem nenhum tipo de restrição, pois ninguém estava disposto em ficar controlando o que cada um fazia ou deixava de fazer. Tudo era uma questão de consciência e confiança (e riscos, muitos riscos).

 

Pois bem, e o que temos agora? Uma explosão de possibilidades de usufruir da Internet com uma variedade de dispositivos, softwares e sites que podem ser o diferencial de uma empresa, seja qual for o seu segmento no mercado. Saber tirar o máximo de proveito das inúmeras ferramentas disponíveis na rede, como Twitter, Orkut, Facebook, Youtube, Google Maps, MSN, Skype, Blogspot, Wordpress deveria ser um pré-requisito em algumas profissões. Não faz sentido impedir o uso destes recursos para todos na empresa, pois algumas profissões se reinventaram, tendo como principal característica um novo conceito no relacionamento entre clientes e fornecedores. Mas todos estes exemplos também possuem outro lado, nada profissional.  

 

Tendo visto estatísticas recentes como a da Qualibest que mostra que 90% dos funcionários utilizam a Internet para fins pessoais e recreativos, que 88% das fraudes avaliadas pelo CERT.br são de direitos autorais e que o acesso a conteúdos relacionados à pedofilia aumentou cerca de 200% segundo pesquisa da Microsoft entre 2006-2007, o que com certeza já deve ter atingido novos patamares.

 

Quando um funcionário passa boa parte do tempo em sites e ferramentas de relacionamento, expondo sua vida, a vida dos colegas de trabalho e muitas vezes as rotinas da empresa, ela não se dá conta que está alimentando um banco de dados para criminosos, que dedicam tempo e dinheiro em busca de informações que possam levá-lo a obter alguma forma de lucro. Além do prejuízo material, há outro tipo de prejuízo que muitas vezes fica impossível de mensurar: Sua reputação! Há sites especializados em expor informações de pessoas por meio de fotos, vídeos ou palavras que podem literalmente acabar com sua a vida social.

 

E quando há um funcionário realmente mal intencionado? Este pode cometer tantos crimes como pedofilia, racismo, injúria, difamação, pirataria de músicas, filmes, livros, softwares etc... que se a empresa não identificar isso com antecedência e tomar as devidas ações, poderá se tornar cúmplice, respondendo criminalmente pelos delitos do mau elemento. Isso sem contar no tempo de trabalho desperdiçado e nas ameaças contra a segurança da empresa. Um exemplo recente é a notícia publicada no site do Jornal Comércio da Franca com a manchete: Prefeitura flagra servidores em sites pornográficos. O departamento de TI da Prefeitura de Franca descobriu que funcionários das secretarias de Finanças, Administração, Desenvolvimento, Biblioteca do Arquivo Central e o setor de Almoxarifado passavam o dia em sites de conteúdo pornográfico, sendo que em alguns casos o acesso durava cerca de 8 horas diárias. De acordo com a Prefeitura, o monitoramento começou dia 04 de Janeiro, com a implantação da ferramenta BRMA, onde foi possível identificar o comportamento dos usuários e o tempo de acesso de todo o período.

 

A WEB 2.0 criou novas possibilidades e devem ser bem aproveitadas, por isso fica inviável fechar as portas para estes recursos, mas também não se pode simplesmente aderir às novas ferramentas de comunicação e compartilhamento de informação sem pensar no impacto que isso trará a segurança da empresa e das pessoas. Um planejamento deve ser elaborado visando permitir o uso profissional destes recursos, mas com um monitoramento constante que possa garantir um retorno para o negócio. Há diversos produtos no mercado para controlar e monitorar o acesso dos usuários de uma rede à Internet. Soluções como o firewall de rede BRMA, citado na reportagem cumprem muito bem essa tarefa, mas de nada adianta se não houver um acompanhamento no uso da ferramenta. Não adianta comprar este ou aquele firewall, se ele não for configurado corretamente e monitorado constantemente.

 

Como na canção de Caetano Veloso: “...e eu digo sim, e eu digo não ao não, e eu digo é proibido proibir, é proibido proibir...”

 

Citação da música  É proibido proibir de Caetano Veloso, acompanhado pelos Mutantes, no  III Festival Internacional da Canção.

 

Roberto Henrique é consultor da ABCTec, especializado em análise de vulnerabilidades e  no tratamento de incidentes de segurança da informação. Possui as certificações Microsoft MCP/MCDST, F-Secure Certified Sales Professional e Intel Segurança da Informação e Governança em TI.



Home  |  Contato
Parcerias International: All-About-Security | KoSiB eG | Forum Security | Network Computing | NGG e.V. | OGuedes | Steinbeis

© Fórum de Segurança o Brasil 2017