Segurança digital

Computadores se tornaram tão onipresentes em nossas vidas que temos a tendência de esquecer que, uma vez conectados a uma rede, o mundo todo pode ter acesso a eles. Muitas pessoas ignoram a necessidade de melhorar a segurança de seus dispositivos sob os mais variados pretextos, como por exemplo, o famoso “eu não tenho nada a esconder”. Será que é só isso mesmo? Quero argumentar aqui que a segurança digital deveria ser uma preocupação de todos.

Quando se fala em segurança de dados, há quatro aspectos que devemos observar. Em primeiro lugar, os dados devem ser acessíveis apenas às pessoas autorizadas a acessá-los. Ou seja, dados privados devem ser privados – esta é a questão da privacidade. Em segundo lugar, não deve ser possível, a pessoas não autorizadas, a destruição ou alteração de dados. Esta é a questão da integridade. Em terceiro lugar, os dados devem estar disponíveis às pessoas autorizadas, sempre que necessário. É a questão da disponibilidade. O último aspecto envolve os três últimos e é válido para ambientes em que muitas pessoas são autorizadas a ter acesso aos dados. Em qualquer atitude de modificação, acesso ou destruição de dados deve ser possível apontar quem foi o autor da ação. Esta é a questão da atribuição de culpa. Quero me concentrar nos três primeiros itens.

Privacidade

Manter dados sensíveis longe de desconhecidos é importante a todas as pessoas. No caso de empresas, expor dados de funcionários, de clientes, de fornecedores ou do seu caixa, pode ser desastroso. Concorrentes podem usar os dados de seu caixa para explorar suas vulnerabilidades e levá-la à falência. Ou roubar seus segredos industriais. Mas há um aspecto mais sutil. Suponha que uma empresa de tecnologia resolva oferecer serviços de hospedagem de dados a várias empresas de um mesmo ramo. As empresas, confiando nos contratos estabelecidos, colocam nas mãos de uma mesma entidade informações sensíveis de seus negócios. A empresa de tecnologia promete não utilizar os dados de seus clientes sem uma prévia “anonimização”. Parece inofensivo, certo? Não é. De posse desses dados, mesmo anonimizados, é possível fazer previsões sobre o comportamento futuro do mercado, que possibilitaria a empresa de tecnologia a manipular todo o setor econômico. É o tipo de poder que instituição alguma deveria ter. Mas é o que tem acontecido. É muito importante que as empresas comecem a manter seus dados privados.

Há setores em que a privacidade tem necessidade óbvia e, ainda assim, é negligenciada. Imagine, por exemplo, profissionais de saúde ou advogados. Se os sistemas que armazenam os dados de seus clientes estiverem vulneráveis a ataques, suas vidas podem ser colocadas em risco. Não conheço um único profissional destas áreas que tenha recebido qualquer treinamento em segurança digital. Em pequenos consultórios ou escritórios, os dados são armazenados em computadores pessoais, com sistemas operacionais inseguros. Outro exemplo são as instituições de pesquisa. Muitas deixam seus computadores completamente expostos, permitindo que informações valiosas caiam nas mãos de pessoas de má índole, ou até mesmo, de nações concorrentes.

Mas nenhum perigo é tão presente quanto ao cidadão comum. Soluções de segurança são chatas e não permitem que certas funcionalidades, tão atraentes, sejam executadas. Aí surgem as desculpas: “esse serviço é importante para mim”, “é o único jeito de eu me comunicar”, ou ainda, “eu não tenho nada a esconder”. Será que não tem mesmo? Imagine alguém de posse de todos os seus dados. Documentos de identificação, endereço, etc. Ele pode se passar por você e lhe causar grandes transtornos. Ele pode fornecer seus dados a criminosos que podem organizar, desde golpes pequenos, até sequestros. Ainda há o problema das informações voluntariadas a empresas de tecnologia. É o mesmo caso das empresas relatado acima. Alguém que possua tanta informação pessoal sobre tanta gente, pode manipular mercados, sociedades, eleições, etc.

Integridade

Imagine se alguém for capaz de destruir os dados de seu computador. Você teria como recuperá-los? Isso vale para empresas, profissionais de vários setores, instituições de pesquisa e para o cidadão comum. Imagine se seu médico perder todos os dados daquele longo tratamento que você está fazendo. Imagine se alguém for capaz de alterar resultados de seus exames.

Um crime crescente, hoje em dia, é o sequestro de dados. O computador da vítima é comprometido e seus dados são criptografados, ficando inacessíveis. Os criminosos exigem uma quantia para liberar a chave criptográfica que retornaria o acesso aos dados à vítima. Em muitos casos, não pagar significa perder aqueles dados permanentemente. Pagar, não é garantia de nada. Lembre-se, são criminosos.

Disponibilidade

O sistema caiu. E agora? Você não odeia quando isso acontece com você? Seja na fila do caixa ou na biblioteca, não importa. Esperamos que os sistemas estejam disponíveis o tempo todo. Afinal, imagine se seus dados de comprovantes para o Imposto de Renda ficam indisponíveis, justamente no dia em que você vai preencher a declaração (normalmente, no último dia possível). Imagine se os dados de uma compra grande de um cliente seu ficam indisponíveis, justamente no momento de fechar um grande negócio.

Tudo isso pode ser evitado

Em primeiro lugar, não existe solução de segurança 100% eficaz. Mas é possível chegar perto. O que pode ser feito:

  • Blindagem do sistema operacional de seu computador.

Se você usa um sistema operacional proprietário, talvez fosse interessante substituí-lo por um livre. Só assim é possível garantir a segurança de seu sistema, sem ter que confiar cegamente em uma empresa estrangeira. No caso de sistemas livres, é possível modificar seu núcleo (o componente principal de um sistema operacional) para que se tornem bastante seguros. Com isso, é possível praticamente eliminar (mas não totalmente) o risco de invasões, vírus, cavalos de Troia e várias outras ameaças à privacidade e à integridade dos dados.

  • Proteção da rede.

É essencial um firewall instalado e bem configurado. Isso previne acessos indevidos e roubo de informações. É possível também, em situações mais críticas, instalar Sistemas de Detecção de Invasão (IDS, em inglês). São ferramentas que permitem reconhecer ataques e reagir adequadamente a eles. É importante tornar obrigatório o uso de conexões “seguras”, usando criptografia.

  • Proteção dos dados.

A criptografia também pode ser usada para impedir que, uma vez roubados, os dados sejam legíveis por outros. Informações sensíveis sempre deveriam ser criptografadas para seu armazenamento mas, principalmente, em sua transmissão. Com a criptografia adequada, é seguro fazer cópias de segurança (backups) de seus dados em mídias inseguras, como DVDs, HDs externos, ou fitas digitais.

  • Educação em segurança.

Este é, talvez, o item principal. Não adianta instalar o sistema mais moderno e seguro do planeta e região, se os usuários não souberem se comportar de maneira segura. Um único usuário displicente pode comprometer toda a segurança de um sistema. Empresas e instituições deveriam investir no treinamento de seu pessoal, para que tenham o comportamento adequado. Isso envolve a conscientização da necessidade de boas senhas (e o que é uma boa senha), o armazenamento destas informações (não guarde as senhas em uma planilha eletrônica ao alcance de todos, ou deixe no postite grudado no monitor), a atenção a técnicas de engenharia social (a mais eficaz das técnicas: se você quer saber a senha de alguém, pergunte – se fizer direitinho, a pessoa vai dizer), enfim, envolve uma mudança de comportamento.

Hoje, entregamos nossas vidas aos computadores. Então, cabe a pergunta: você tem zelado por sua segurança?


Imagem destacada: adaptação de xfce-system-lock, ícone do pacote Tango.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s