MESA REDONDA

:: Sobre o evento :: Eventos realizados :: Fale Conosco :: Anuncie

Os perigos das novas tecnologias

Reineivaldo, da ABB.
“Não liberamos gravador de CD, gravador de DVD, pen drive. Não adianta colocar porta de aço em cabana de palha.””

Ricardo, da Pirelli Pneus.
“Não podemos ser rígidos demais. Mas somos cautelosos. Afinal, vivemos de pneus, não de tecnologia.”

Francisco, da Ripasa.
“Pode ser pouco, mas educação e informação são as únicas garantias reais.”

Lúcio, da Cummins.
“A história demonstra como as pessoas de sucesso se arriscaram, mas conseguiram manter o risco num nível aceitável.”

Sérgio, da Kodak.
.“A segurança não impede o uso de tecnologia nova — ela só dita o melhor momento.”

Edilson, da Melitta.
“Não dá para deixar a segurança só com a TI, não dá para a TI ficar só instalando barreiras.”

Ricardo Dastis, da Basf.
“Antes da Internet, os limites de uma empresa estavam muito claros: o portão, os crachás, uns poucos links de baixa velocidade.”

O pessoal de TI tem a obrigação de identificar vantagens financeiras em tecnologia nova. E a obrigação de identificar que riscos de segurança a tecnologia nova deve trazer. E a obrigação de ajudar o resto da empresa a decidir entre vantagens e riscos. Nesta mesa-redonda, sete profissionais especializados em segurança avaliam as inter-relações entre segurança e novas tecnologias. Destaque para dois pontos. Quando usuários têm aulas de boa qualidade, adotar novidades é menos arriscado. E relações de amizade abrem furos de segurança; é no que o estelionatário (ou engenheiro social) aposta. Destaque também para uma aposta: em breve, as tecnologias de segurança serão menos incômodas e qualquer nova tecnologia, mais segura.

Segurança trava e destrava. Se a área de TI instala novas técnicas (transmissão a gigabits por segundo, comunicação por rádio, serviços e sistemas acionados via web, circuitos digitais fechados de TV, telefonia pela Internet), cria novas oportunidades de negócios, porque transforma o jeito como a empresa trabalha. Mas novas técnicas trazem ameaças à segurança. A rede mais rápida é também mais rápida de invadir. É remédio que se preze manter a rede pobre para mantê-la sob controle? Insegurança trava investimentos e anula oportunidades; investimentos corretos em segurança desencadeiam novas possibilidades. É o que sete profissionais discutiram nesta mesa-redonda, coordenada por Wilson Moherdaui, diretor editorial do Informática Hoje, e Fabiano Candido, repórter: Reineivaldo D’arc da Silva Brito, vice-presidente assistente da ABB; Ricardo Fernandes Miranda, diretor da Pirelli Pneus; Francisco A. T. Açakura, gerente de tecnologia da Ripasa Celulose e Papel; Lúcio Antônio Nubile, executivo de TI da Cummins Latin America; Sérgio Baccho, gerente de segurança de TI da Kodak Brasileira; Edilson José Bertanha, supervisor de TI da Melitta do Brasil; e Ricardo Dastis, coordenador de segurança da informação da Basf.

IH — É difícil adotar novas tecnologias e, ao mesmo tempo, manter a rede segura?

REINEIVALDO — A própria ABB é uma empresa de tecnologia. É importante para nós manter essa relação: novas tecnologias e segurança. Acabamos de instalar uma rede sem-fio numa de nossas fábricas, queremos colocar a empresa no estado-da-arte, pelo mínimo investimento, e preservando a segurança. Ainda na segurança, usamos tokens (é um pequeno dispositivo gerador de números de segurança, usado para reforçar o conjunto “nome e senha”). Nos computadores da diretoria, estamos estudando a possibilidade de usar impressões digitais. Realmente, ficamos entre colocar o que há de mais moderno no mercado e manter a empresa segura. Em linhas gerais, a ABB só instala tecnologia já estável.

IH — E o que é tecnologia estável o suficiente?

REINEIVALDO — Token é uma delas. Wireless também, e reduz os gastos com cabeamento. A ABB gerencia os ativos de rede de algumas empresas, e assim temos de garantir a segurança da rede delas também — é bom que o cliente veja o que nós temos, veja como fazemos o nosso trabalho, veja nosso esforço para tirar a certificação da Sarbanes-Oxley.

RICARDO — Na Pirelli, temos uma boa cultura digital. Quando falamos de rede, gosto de usar a palavra equilíbrio. Não podemos ser rígidos e desperdiçar uma oportunidade, mas não podemos ser displicentes e criar uma vulnerabilidade. Às vezes é difícil, somos muito cautelosos, pois afinal vivemos de pneu, não de tecnologia. Temos um datacenter em Santo André para toda a América Latina, o que torna tudo muito complexo, pois a operação depende profundamente do funcionamento desse datacenter. É difícil explicar a parafernália toda dentro da empresa, seja físico, o que se pode ver, seja lógico, o que não se pode ver, seja procedimentos, cultura.

FRANCISCO — Trabalho na Ripasa há 18 anos, sempre na área de TI. Hoje, já esquecemos uma coisa que discutimos muito no passado: o modismo. Novas tecnologias têm muito de modismo. Se ficamos preocupados demais com o estado-da-arte, somos atropelados por modismos e colocamos a área de TI em descrédito. Sempre trabalhei numa indústria em que TI não é essencial, mas estrutura de apoio. Na Ripasa, o essencial é produzir papel. Isso cria um desequilíbrio na cabeça dos diretores — então cabe ao CIO discernir bem sobre o uso e a instalação de novas tecnologias, mas a Ripasa tem sempre uma postura mais conservadora. Wireless, como o Reineivaldo disse, está maduro. Temos wireless a 12 megabits por segundo, mas já falam em gigabits por segundo...

LÚCIO — A Cummins fabrica motores diesel, grupos geradores, elementos de filtragem — temos uma linha bem abrangente. Estou na área de TI há oito anos, vim da engenharia de produção, foi um desafio muito grande entrar na TI. Nossos clientes sempre esperam muito da TI e, por causa da Sarbanes-Oxley, se preocupam com nossa segurança. Estamos confortáveis, recebemos a certificação da Sarbanes-Oxley no ano passado, pois já estávamos no caminho correto, usando a metodologia da 6 Sigma. Há uns quatro anos, nosso parque de computadores, umas 20 mil máquinas, era muito diversificado, propício à falta de controle, dificultava a oferta global de serviços, já que a Cummins é uma empresa global. Então, resolvemos padronizar as máquinas. Hoje, seja na China ou no Brasil, é tudo a mesma coisa. O controle é maior, a segurança do acesso à informação também. Nem permitimos a instalação local de aplicativos, a distribuição de aplicativos é eletrônica, de um lugar central. As atualizações de segurança são automáticas. A economia conseguida com a unificação das máquinas foi relevante; pelo nosso contrato, renovamos as máquinas a cada três anos, em breve vamos substituir 30 mil máquinas. Foi uma vitória para nós, pois não bloqueamos a produtividade, ao contrário: essas novas máquinas permitiram que usássemos wireless de forma segura. Quando trouxemos wireless para o Brasil, parecia brinquedo de Natal, com gente fazendo reunião na escada ou no estacionamento, o pessoal vibrava. Na próxima leva de máquinas, 65% será de micros portáteis, ou laptops; 30% será de micros de mesa; e 5% será de workstations. É sempre o mesmo laptop, para o presidente e o estagiário. E a gente baixa uma imagem em cada micro, com um formato, uma característica, um conjunto de aplicativos.

SÉRGIO — Trabalho na segurança da informação da Kodak há dez anos; mais recentemente, assumi a segurança em toda a América Latina. Tenho uma visão bem particular de segurança. Empresa grande tem sempre política de segurança da informação, e essas políticas não mudaram quase nada desde que surgiram, continuam baseadas na boa e velha norma britânica BS 7799. Na Kodak não foi diferente: nossa constituição é de 1995, e a parte de TI está baseada na BS 7799. E a Sarbanes-Oxley é, basicamente, uma cópia de tudo isso. Então, a segurança não mudou, a segurança é independente de tecnologia — o que muda é a tecnologia. As novas tecnologias não provocam mudanças drásticas na segurança; só provocam ajustes. Não creio na necessidade de uma política revolucionária de segurança. Mas a política de segurança, quando bem instalada, põe um freio na tecnologia. O papel de bom ou mau não cabe à área de TI, mas o de responsável ou irresponsável. A segurança não impede o uso de tecnologia nova — ela só dita o melhor momento.

IH — E isso é ruim?

SÉRGIO — É bom e é necessário. As informações são um ativo importante da empresa, não podemos colocá-las em risco por causa de tecnologia nova, mesmo que haja algum ganho de produtividade. Colocar a tecnologia antes da segurança é um erro que grandes empresas não podem cometer.

EDILSON — Pelo que vejo na Melitta, a segurança está saindo da TI, os diretores se preocupam com segurança, tanto que o CIO está até meio desvinculado da TI, pois a informação da empresa está em todo lugar, na mesa de um usuário, na cabeça das pessoas. E a Melitta também não vive de tecnologia, vive de café. Temos uma equipe de venda com pouco mais de 50 vendedores, que precisam de informações sobre a Melitta. Eles precisam de algum tipo de conexão, e a tecnologia está aí para ajudar, mas não podemos colocar a empresa em risco. Uma política de segurança é necessária. Não dá para deixar a segurança só com a TI, não dá para a TI ficar só instalando barreiras.

Ricardo Dastis — Estou na Basf Brasil há três meses, venho do mercado de telecomunicações, e para mim foi uma surpresa encontrar a cultura de segurança na Basf já bem estabelecida, apesar de segurança não estar relacionada ao negócio da Basf, como era o caso com telecomunicações. Na Basf, o processo de definição e de implementação de políticas de segurança começou há uns três anos. No ano fiscal de 2004, 26% das vendas foram online, por um sistema de comércio eletrônico. Estamos falando de uns 9 bilhões de euros. Segurança não é só um capricho da área de TI, nem uma loucura na cabeça dos técnicos e informatas: ela é absolutamente necessária. Além disso, estamos sofrendo a fortíssima influência da lei Sarbanes-Oxley: já entramos na reta final de um trabalho iniciado em 2004. Estamos usando uma mescla de indicadores, inclusive do Cobit, para destacar nosso grau de maturidade em vários itens — vamos usar essa avaliação para orientar nossos investimentos em segurança nos próximos três anos. Olha, saindo um pouquinho da Basf, acho que a segurança nas empresas está na segunda onda. Até 1995, 1996, quando a Internet saiu das faculdades e se tornou comercial, os limites de uma empresa estavam muito claros: o portão, os crachás, uns poucos links de baixa velocidade. A Internet nos libertou dos muros, melhorou o jeito de fazer negócios, facilitou a comunicação, a pesquisa. Então todo mundo instalou tecnologia que não compreendia muito bem. Quando caiu a ficha, a segurança se tornou uma trava, um freio, e aí vieram firewall, filtro de conteúdo, restrição de acesso, troca obrigatória de senha, senha de 14 letras com caracteres maiúsculos e minúsculos, mais o número desse chaveirinho... Por mais que tenhamos tentado vender tudo isso de forma positiva, esses investimentos certamente causaram efeitos negativos. Mas acredito que, neste momento, já passamos essa primeira onda e as novas soluções já vêm com recursos de segurança embutidos. Hoje já se fala em sincronismo de senha, LDAP, single sign-on: a empresa consegue altíssimo grau de segurança, e a vida do usuário fica mais fácil. Por exemplo: fora da empresa, nossos vendedores usam um sistema móvel com VPN (rede privativa virtual), tokens, senhas fortes. Isso não seria possível sem tecnologia fácil de usar e que obrigue o usuário a seguir a política de segurança. Tecnologia de segurança não é mais um freio.

IH — Na sua visão, qual seria a terceira onda da segurança?

Ricardo Dastis — Segurança não é só tecnologia, mas também processos e pessoas. A área de segurança ainda gasta muito com configurações, padronização, etc. Então, acho que segurança ainda não é plug and play, ainda não está focada em governança. Essa é a próxima onda.

SÉRGIO — Para não deixar confusão, quero dizer que a Kodak usa todas as tecnologias de segurança também. Quando falo de tecnologia nova, não quero dizer tecnologia de segurança, mas uma tecnologia qualquer. Mas não adianta: o elo mais fraco está nas pessoas. Se alguém quer roubar informação de uma empresa, vai gastar 85% do tempo com engenharia social (estelionato), uma informação do Kevin Mitnik (um ex-hacker famoso). Essa é a questão. Todos os aspectos da segurança são mantidos pelas pessoas, e não pela tecnologia pura e simplesmente. Para que a área de negócio use tecnologia nova, ela primeiro precisa compreender o papel dessa tecnologia em toda a rede da empresa. A conscientização de segurança é importante, porque assim as pessoas honestas na empresa não agirão de forma ingênua, e elas ajudam na observação da segurança, é um ponto a favor da empresa.

IH — Nunca é vantajoso correr riscos para adotar uma nova tecnologia?

REINEIVALDO — Bem, nós temos voz por IP desde 2001. Mas não liberamos o gravador de CD, nem o gravador de DVD, nem a pen drive, porque não adianta colocar porta de aço em cabana de palha. Mas a segurança é um diferencial competitivo: por exemplo, um engenheiro americano não precisa vir ao Brasil para fazer o teste de inspeção de um transformador, que a empresa dele comprou, ele faz isso online, remotamente, dentro da nossa rede privativa. Esse é só um caso, mas atuamos com 43 grandes clientes. RICARDO — É verdade, a segurança está muito além da Internet e do wireless. Muita informação nasce sob a tutela de um computador, seja informação estruturada ou não-estruturada. Sobre a próxima geração, eu me atrevo a mencionar três pontos. A segurança precisa ser nativa, e não pensada depois, precisa ser integrada, e não uma colcha de retalhos, e precisa ser natural, e não incômoda. A segurança é incômoda. O sujeito não pode usar o nome da avó, do cachorro, de nada. E precisa carregar o bendito do token.

FRANCISCO — Eu vou me incluir no rol dos conservadores. Por exemplo, proibir a pen drive. Qual é a garantia de que seu filho não vai se drogar? Você pode ficar vigiando o dia inteiro? Não. Ele precisa ir para a escola, viver em sociedade. A única saída é educação. Na empresa é a mesma coisa. Pode ser pouco, mas educação e informação são as únicas garantias reais.

IH — Havendo educação, as novas tecnologias não representam um risco tão grave?

FRANCISCO — Exatamente. Agora, no caso da educação na empresa, há uma vantagem: as ferramentas de monitoração. Nunca será 100%, porque o ser humano é criativo. Mas dá para usar novas tecnologias, sempre com as melhores práticas de negócios e de tecnologia. E não tem jeito — será preciso investir.

LÚCIO — Não digo que devemos ser os primeiros a adotar qualquer tranqueira que aparece, mas temos de encarar o desafio de aproveitar a oportunidade de usar novas tecnologias em prol do negócio — senão, falhamos no nosso papel. A história do mundo demonstra como as pessoas de grande sucesso se arriscaram de alguma forma, elas foram em frente, conseguiram manter o risco num nível aceitável.

SÉRGIO — Estou de acordo. Usei o termo freio não para parar, mas para desacelerar a adoção de tecnologia. Essa é a questão. Há dois anos, num teste de segurança, achamos um dispositivo sem-fio dentro da fábrica, ele não tinha sido instalado pela TI, não estava com os parâmetros corretos de segurança. Hoje, a tecnologia está disponível para a empresa, mas padronizada, inclusive na segurança. Todo mundo deve concordar que é preciso equilíbrio.

IH — Vocês tiveram problemas de segurança ao adotar novas tecnologias?

Ricardo Dastis — Tive uma vez, numa outra empresa. Pelo sistema de e-mail, recebíamos todo tipo de spam, vírus, vermes. Era um problema crônico. Então comparamos vários fabricantes de filtragem de e-mail. Foi um sucesso. O número de e-mails indevidos caiu muito. Mas essas tecnologias não são perfeitas. A verificação das mensagens é feita por um algoritmo, não por uma pessoa. Com o usuário na zona de conforto, o pouco spam que ele recebia já era motivo de reclamação. Uma semana antes de instalar um recurso de autogestão do sistema de filtros, a gente desativou todas as funcionalidades da ferramenta por uma semana. O impacto foi grande, as pessoas voltaram a ver como aquilo era importante. Depois, instalamos a autogestão, e só então sentimos que o projeto estava completo.

REINEIVALDO — Eu queria contar um caso de falsa sensação de segurança. Minha classe do MBA resolveu fazer um churrasco e uma pessoa fez um ótimo mapa executável em Power Point: o mapa era ótimo, ativo, uma bolinha percorria o caminho. Mandaram o mapa para mim, eu mandei para todo mundo. Todo mundo reclamou: “Na minha empresa não executa, executável é proibido!” Então, refiz o mapa, zipei, e mandei zipado. Só que mandei com um programinha, uma animação no Windows, parecia um vírus apagando arquivos. Foi um desespero! Para ver como às vezes achamos que estamos seguros, mas não estamos.

IH — Dastis, como é a segurança de voz por IP, já que você veio de uma operadora?

Ricardo Dastis — Disponibilidade é o que mais preocupa. Se as conexões de Internet ficam prejudicadas, por um vírus, por exemplo, como as pessoas se reúnem para resolver o problema? Pelos meios tradicionais: telefone e celular. Se a comunicação verbal também vai pela Internet, você fica sem plano B. Os telefones nem estão mais liberados para fazer DDI. Isso precisa ser bem pensado, para a empresa não cair numa armadilha.

IH — Vocês se sentem bem atendidos pelas ferramentas disponíveis no mercado?

RICARDO — As empresas buscam uma solução de segurança como um todo, e não mais ferramenta por ferramenta, um firewall, um IDS e assim por diante. Não acho que falte tecnologia no mercado. Mas buscamos soluções que levem a segurança a um nível superior, ao famoso security scorecard, o painel de controle da segurança. A tendência é ver os controles mais do ponto de vista gerencial, integrado com as melhores práticas, com a Sarbanes-Oxley — é ver controles que mostrem se estou protegido ou não, em que preciso melhorar, o que preciso fazer. Esse é o desafio e essa é a oportunidade dos fabricantes.

FRANCISCO — Não me considero um cara up-to-date em tecnologia. Deixo essa responsabilidade para meus parceiros, para minha cadeia de fornecedores. Para validar as sugestões, eu insisto nas melhores práticas e no bom senso. E valido as sugestões também com meus pares. Por exemplo, faço parte de um grupo de usuários chamado GETI. O Outlook nesse caso é poderoso, porque podemos queimar ou valorizar fornecedores.

5 subir