Seguradoras criam apólices contra crimes na web

Fonte: Ti Inside

Em outubro de 2011, entraram em vigor as recomendações da resolução CNSP/229 da SUSEP (Superintendência de Seguros Privados). A medida é referente a uma política de segurança da informação que “deve garantir a tomada de ações que ampliem a capacidade das seguradoras de preservar a disponibilidade, confidencialidade e integridade das informações relacionadas à prestação dos serviços de seguros no Brasil”, conforme explica o diretor de operações da Alog, Nelson Mendonça. A norma é uma das responsáveis pela criação do novo campo de trabalho das seguradoras: a criação de apólices de seguro contra crimes cibernéticos.

As companhias seguradoras passam, portanto, a auxiliar no combate aos ataques contra websites e bases de dados das empresas. No entanto, não se trata apenas de uma obrigação política. “Na verdade, as seguradoras estão atendendo a uma demanda dos seus clientes”, explica o diretor de grandes riscos da Allianz Seguros, Angelo Colombo.

Ele justifica dizendo que o trabalho das seguradoras consiste em investigar os riscos emergentes para o cliente, pois estes acabam, por vezes, sendo transferidos para as próprias seguradoras. E nas últimas pesquisas realizadas pela Allianz “o risco cibernético tem sido um dos campeões”, informa. “Sempre há uma exclusão (das seguradoras) para crimes cibernéticos”, acrescenta, explicando o que acontecia anteriormente às mudanças.

Exposição brasileira

A maior preocupação dos brasileiros com os crimes cibernéticos é resultado de uma junção de fatores. Entre eles, os especialistas citam a visibilidade que o País conquistará durante os futuros eventos esportivos, Copa do Mundo e Olimpíadas. “A maior exposição do nosso País nos próximos anos certamente é um fator de risco adicional”, diz Mendonça.

Mas o que ocasiona o cibercrime e por que o Brasil registra tantas ocorrências? Colombo explica que nem sempre o dinheiro é a principal razão para a violação da informação. “A gente tem dados de crimes cibernéticos que não são movidos apenas pelos benefícios lucrativos”, comenta, lembrando do caso de ativistas que são contra algumas empresas específicas, como as petroleiras.

“Então, na medida em que a conectividade vai aumentando, e a Copa do Mundo e as Olimpíadas provavelmente vão fazer com que isso aumente, o Brasil cresce sob o ponto de vista dos riscos”, completa.

Mendonça pontua, aliás, que a expansão da infraestrutura de telecomunicações, que deve ocorrer nos próximos anos, também pode ser considerada um ponto de atenção, já que “permitirá maior capacidade de tráfego de dados em redes ADSL, por exemplo, muito utilizadas em ataques de navegação de serviço que utilizam como origem computadores domésticos inseguros para gerar volumes de dados cada vez maiores em uma ação que tenha como objetivo derrubar um serviço específico na internet”, detalha.

E no quesito segurança da informação há uma tendência do mundo tecnológico que chega gradativamente ao País e movimenta o trabalho dos especialistas da área: ela se chama bring your own device, BYOD.

O movimento de o profissional levar seu próprio dispositivo móvel para o ambiente corporativo já é realidade para algumas empresas brasileiras. E o gerente de segurança da Locaweb, Antônio Marques, justifica a prática alegando ser fruto do alto consumo de computação móvel nos últimos anos. Ele não deixa de salientar, porém, que o comportamento “certamente introduz novos desafios à gestão de segurança da informação”, alerta.

Mendonça concorda e aproveita para fazer um alerta: “poucas empresas adotaram medidas eficazes para gerenciar a segurança destes dispositivos”, considera. O executivo informa também que ainda não há ocorrências significativas de malware relacionado aos sistemas operacionais de tablets e celulares, mas com sua proliferação de maneira paralela aos controles recomendados pelas equipes de TI, e a ampliação das redes de comunicação móvel (inclusive com a entrada de redes de celulares 4G), o risco pode ser bem alto.

Hoje, o principal crime cibernético no Brasil, segundo Colombo, é identificado como DOS (Denail of service). “Significa que você cria uma série de acessos artificiais a um site até o momento que ele começa a ficar lento e chega até a parar de operar”, detalha, afirmando que o problema aconteceu com sites brasileiros, e acontece frequentemente no exterior. “E pode ser o fim do site”, pontua.

A afirmação se sustenta da necessidade prática de disponibilidade constante dos website corporativos. “Se um site de e-commerce não estiver disponível para fazer uma venda, ele perde totalmente a credibilidade”, observa.

O que fazer

Para solucionar esses impasses, Marques acredita que as empresas de data center poderão colaborar estabelecendo “uma parceria no monitoramento e prevenção dos crimes cibernéticos, além de suporte imediato na remediação no caso de uma eventualidade”, explica.

No caso das próprias seguradoras, a intenção é fazer um trabalho completo. A Allianz, por exemplo, atua nesse mercado prestando, entre outros serviços, o de consultoria, que Colombo considera ser um diferencial. “Nós temos engenheiros especializados que dialogam com os clientes, e queremos ver a melhor solução para eles, não apenas vender uma apólice”, conta.

Mendonça completa que, quanto ao setor específico das seguradoras, as novidades do mercado de segurança se caracterizam principalmente pela possibilidade de contratar muitas soluções de segurança no formato de serviços gerenciados, por meio de integradores ou data centers. “Também há novidades importantes relacionadas às ferramentas que facilitam a implantação de replicações de dados, e criação de estratégias de redundância de aplicações baseadas em cloud computing ou data centers remotos”, intera.

Há ainda a tecnologia de arquitetura de banco de dados, chamada pote de mel, ou no inglês, honeypot – que funciona como uma “isca”, como define o executivo, simulando propositalmente falhas de segurança para criar uma armadilha para os invasores e, assim, colher informações sobre os ataques.

Desafios e expectativas

Ainda com os constantes investimentos realizados no setor de segurança da informação, muitos crimes cibernéticos acontecem. Para justificar o paradoxo, Marques observa que “as tendências de crimes cibernéticos são extremamente dinâmicas”.

Por esse motivo, ele considera ser necessário um acompanhamento e estudo contínuo das técnicas e vulnerabilidades empregadas. “Apesar dos investimentos existirem, muitas vezes não são suficientes para acompanhar a evolução dessas técnicas”, explica, acrescentando que a segurança da informação ainda não é encarada como uma necessidade de negócio por muitas empresas.

Mendonça completa a informação observando que o segmento recebe, sim, investimentos, mas, por outro lado, é justamente a área mais desafiada pelo mercado e pela sociedade. De acordo com ele, diariamente surgem novas ameaças, vulnerabilidades, técnicas de exploração de falhas em sistemas e novas possibilidades de crimes utilizando as novas mídias, o que acaba por “exigir cada vez mais dedicação dos gestores de TI e da segurança da informação”.

Dessa forma, Colombo acredita que o setor não tem deficiências, mas dificuldades práticas. “A única forma de estar 100% protegido é não estar online”. Considerando não ser uma alternativa razoável, justifica ser aceitável o nível de exposição. “Eu acho que a área de segurança da informação é bastante evoluída, mas ela  luta contra um inimigo invisível muito criativo”, comenta.

Outro entrave contundente desse mercado é a própria legislação, ou a falta dela. “Se alguém invade a sua casa hoje, mesmo se não levasse nada, você pode denunciar por invasão de privacidade. Se alguém entra no seu computador, não existe uma legislação criminal”, salienta Colombo.

Mendonça ainda pontua afirmando, de fato, existir um espaço grande para avanços em relação à legislação criminal sobre as novas tecnologias, “e certamente ainda não tivemos os investimentos governamentais necessários para coibir estas práticas”, argumenta.

Está claro que os desafios existem, no entanto, os especialistas interpretam o panorama da segurança dos data centers brasileiros com considerável evolução nos últimos anos. Sucesso impulsionado, segundo Marques, em parte, “pela concorrência internacional, e pela chegada de empresas estrangeiras, que buscam atender no Brasil os mesmos requisitos de segurança exigidos por normas internacionais”, assegura.

Dessa forma, ele avalia que “a segurança de alguns data centers em nosso País consegue seguir de perto os padrões internacionais, mesmo com o alto custo de infraestrutura e a falta de normatização para o setor”, diz.