SÃO PAULO - Eles medem apenas 6
centímetros, levam uma microplaca de
circuito, um chip de memória — e é
só. Enganam-se, porém, os que
subestimam esses pequenos objetos.
Um simples pen drive já pode
abrigar até 64 gigabytes de
informação. Isso significa o
conteúdo de 16 DVDs, alguns milhares
de músicas, se você fizer a conta
pensando em entretenimento, ou mais
de 30 milhões de registros de
clientes de uma empresa, se pensar
nos riscos que esses dispositivos
representam para as empresas. Cada
vez menores, mais potentes e mais
baratos, os chips de memória têm se
multiplicado nas companhias. Eles
são a maneira mais rápida de
transportar arquivos de um
computador para outro. Ninguém
precisa mais entender de conexões em
rede entre duas máquinas. Basta
espetar um chaveirinho e fazer o
transporte físico das informações
para qualquer lugar — inclusive para
fora da empresa. “A possibilidade de
copiar dados em pen drives não
seguros, iPods e computadores de
mão, entre outros aparelhos, tem
representado um tormento para os
esforços de segurança”, diz Larry
Ponemon, presidente do Ponemon
Institute, empresa americana que
pesquisa vazamentos de dados e
segurança da informação. Os pen
drives já são o segundo meio mais
utilizado para transportar
documentos e dados corporativos para
fora da companhia, segundo uma
pesquisa da empresa de segurança
digital McAfee. Só perdem para os
laptops. Mas, ao contrário dos PCs
portáteis, os chaveiros de memória
são virtualmente impossíveis de
controlar e são encarados de forma
casual: raríssimas companhias exigem
que os dados por eles transportados
sejam protegidos.
O vazamento de informações
corporativas causado por perda ou
roubo de pen drives tem se tornado
cada vez mais freqüente nas
estatísticas, de forma proporcional
ao crescimento do uso desse tipo de
memória portátil. Recentemente, nos
Estados Unidos, nomes, endereços,
números de identidade e registros
médicos de 120 000 pacientes do
hospital Wilcox Memorial, no Havaí,
foram expostos por causa de um pen
drive perdido. O mesmo aconteceu com
6 500 alunos da Universidade do
Kentucky, que tiveram suas
informações expostas após o extravio
do pen drive de um professor. A
gigante da aviação Boeing também
revelou, no ano passado, ter sido
vítima do roubo de 320 000 arquivos
de documentos confidenciais por um
funcionário que agiu por cerca de
dois anos e utilizou memórias
portáteis como aliadas. O rombo?
Entre 5 bilhões e 15 bilhões de
dólares. No Brasil, a situação não é
diferente. A subsidiária local da
Kroll, consultoria de gerenciamento
de riscos, foi contratada no ano
passado por uma empresa do ramo
imobiliário em São Paulo para
investigar um caso de roubo de dados
usando a memória portátil. Um
suposto técnico entrou na empresa
com o pretexto de consertar os
computadores da secretária e do
diretor-geral, conectou o pen drive
e em menos de 25 minutos já havia
copiado planilhas com dados
bancários, informações financeiras e
documentos da empresa. Apenas no
final do dia, percebeu-se que não se
tratava, de fato, de um funcionário
da empresa. “O impacto poderia ter
sido muito menor se existissem
alguns controles tecnológicos
simples, entre eles o bloqueio de
gravação nesse tipo de memória
portátil”, diz Paulo Renato Silva,
diretor da área de computação
forense e serviços de tecnologia da
Kroll.
“A maioria das empresas conhece
os riscos, mas não compreende a
gravidade ou acredita que a solução
para o problema é muito complexa e
cara”, afirma o americano Ponemon.
Os números justificam todo e
qualquer cuidado. Segundo um
levantamento recente do próprio
Ponemon Institute com 893
entrevistados, 51% dessas pessoas
utilizam esse meio para copiar
informações confidenciais da empresa
e a maioria (87%) sabe que a prática
viola as regras de segurança das
companhias. Para proteger seus
dados, a Honda Brasil começou a
implantar, no mês passado, uma
política de restrição aos
equipamentos particulares de seus
funcionários, sejam pen drives, MP3
players ou computadores de mão.
“Mesmo que um desses aparelhos seja
plugado a um dos 4 200 computadores
da empresa, nenhum dado pode ser
copiado”, diz Leandro Doreto,
analista de segurança da informação
e um dos integrantes do projeto da
montadora japonesa. Para não abrir
mão da comodidade dos pen drives, a
Honda comprou dispositivos
criptografados e distribuiu aos
profissionais de acordo com a
função. Esse tipo de política
preventiva, porém, ainda é exceção
no Brasil. Segundo Wanderson
Castilho, diretor da E-NetSecurity
Solutions, de cada dez empresas,
menos de três têm essa preocupação
de monitoramento. “Nos Estados
Unidos, essa proporção chega a sete
entre dez”, diz Castilho.
Parte da explicação está no
custo. Enquanto um pen drive de 1 GB
custa em média 20 reais no varejo, o
mesmo aparelho com criptografia
total e proteção por senha chega a
custar quase 14 vezes mais, segundo
estimativas da fabricante Kingston.
Mas problema maior está na
complacência. Não raro, as
companhias só tomam a precaução
depois de passar por problemas. A
Hyspex, empresa paulista do setor de
alumínio, teve há quase quatro anos
um episódio de vazamento de dados
pela internet. A fórmula de uma de
suas ligas, um dos principais
patrimônios da companhia, foi
enviada por e-mail por um
funcionário para seu principal
concorrente. Sem a vantagem
competitiva, a empresa perdeu
clientes e ficou praticamente parada
por seis meses. Depois da
experiência, a Hyspex restringiu o
acesso à internet somente a sites
relacionados ao negócio. E-mails
pessoais e mensageiros instantâneos
são proibidos, e os e-mails
corporativos são monitorados. O
próximo deve ser os pen drives. “Foi
uma lição duramente aprendida”,
afirma o diretor-geral da Hyspex,
Arthur Feola.
Mas nem sempre a proibição
radical resolve. Impedir
sumariamente o uso de pen drives,
smartphones ou qualquer outro tipo
de memória portátil pode comprometer
a produtividade do funcionário que
necessita da mobilidade. Segundo
Carlos Affonso, diretor regional da
Módulo Security, o ideal seria
começar uma avaliação para
classificar os riscos, monitorando
onde residem as informações
confidenciais da empresa, e revisar
o perfil do usuário que pode
acessá-las. Outro item obrigatório
da cartilha é o treinamento dos
funcionários para que eles entendam
quais são os reais riscos de um
roubo de informações. “A facilidade
é a inimiga da segurança. Os roubos
de dados tendem a crescer, e os
profissionais de tecnologia precisam
estar cada vez mais ativos e
incluí-los em suas listas de
combate”, resume Affonso. Sinal de
que o trabalho está só começando.
|
O perigo está em
casa |
|
Práticas indevidas
dos funcionários colocam em
risco muitos dados
corporativos(1) |
|
Copiam informações
confidenciais da empresa em
pen drives |
51% |
|
Compartilham senhas com
colegas de trabalho |
46% |
|
Já perderam equipamentos
portáteis de armazenamento
de dados |
39% |
|
Enviaram documentos da
empresa em anexo para
e-mails pessoais |
33% |
|
Aparelhos portáteis
mais utilizados para
transportar dados
corporativos |
|
Laptop |
41% |
|
Pen drive |
22% |
|
CD-ROM |
13% |
|
Celular ou smartphone |
3% |
|
Prejuízo: 1,82
milhão de dólares é
o custo médio de um
incidente de vazamento de
dados |
(1) Base: 893 respostas
(mundo)
Fontes: McAfee,Ovum e
Ponemon Institute |
|
Para aliviar os
riscos |
|
Empresas que não querem
proibir o uso de
dispositivos móveis têm
alternativas para reduzir o
perigo, entre elas: |
Política de acesso
Controlar com rigor e
atualizar constantemente o
perfil do usuário e a
permissão de acesso a cada
sistema para evitar abusos |
Monitoramento de pen
drive
Softwares gravam no servidor
a data que algum usuário
conectou seu pen drive e o
conteúdo que foi copiado |
Criptografia
A técnica faz com que
documentos de PCs, e-mails,
smartphones ou pen drives
sejam cifrados e apenas um
receptor habilitado possa
decifrá-los |
Treinamentos
45% dos vazamentos de dados
são acidentais, dizem
especialistas. Reforçar a
conscientização dos
funcionários ajuda a evitar
incidentes |
|
Fonte: consultorias |
