Pulbicado pela Risk Report em 30/01/2008 

Muito já se falou sobre a Segurança da Informação nas corporações. Diversas ferramentas já foram criadas para gerenciar o acesso dos funcionários a conteúdos específicos, bloquear a instalação de códigos maliciosos nas redes corporativas e conscientizar usuários sobre a necessidade do cumprimento efetivo das políticas de proteção aos dados.

Porém, na corrida em busca de um ambiente seguro, as organizações enfrentam hoje um grande desafio: como garantir a integridade das informações e evitar incidentes em um mundo onde a transação de dados se tornou uma operação simples, contudo cada vez mais perigosa?

Na era da mobilidade os dispositivos USB, antes facilitadores nos processos de trabalho, passaram a ser uma preocupação digna de tirar o sono dos executivos de tecnologia e segurança. O que antes era apenas mais uma ferramenta em prol da produtividade, hoje se tornou significativa ameaça aos dados corporativos. Pen drives, hardwares externos, iPods, Mp3 players e outros exigem, agora, políticas específicas de segurança nas companhias.

Além de fácil condutor de ameaças externas para as redes internas das companhias, esses dispositivos se tornaram instrumentos para o tráfego indevido de informações e alvos fáceis para roubos e furtos. Se antes um criminoso virtual precisava invadir sistemas ou tomar posse de notebooks e outras máquinas, atualmente é possível ter acesso às mesmas informações por meio desses recursos. “Os dispositivos USB se tornaram instrumento tanto de ameaças que o utilizam como meio de propagação, como de fácil ferramenta para o vazamento de informações”, afirma Paulo Vendramini, gerente de Engenharia de Sistemas da Symantec.

Para se ter idéia do tamanho do problema, o Instituto Ponemon realizou pesquisa com as principais corporações norte-americanas e apontou que mais de 53% dos respondentes acreditam que suas companhias não são capazes de determinar quão sensíveis são as informações contidas em um USB memory stick caso seja perdido.

Além disso, quando questionados sobre quanto tempo a organização levará para reunir os dados envolvidos na ocasião de perda ou roubo de equipamentos com informações críticas, a resposta mais freqüente é “nunca conseguiremos recuperá-las”.

A entrada do USB

Por volta de 1995, quando o Windows começou a ganhar espaço total nas máquinas e dominar muitos sistemas operacionais, estavam disponíveis aos usuários ferramentas de baixa capacidade de memória, como os disquetes. Para armazenar quantidades maiores de dados, era preciso contar com a utilização de um CD, dispositivo bem mais complicado, pois exigia a instalação de software e hardware específicos.

Dessa forma, o mercado saiu em busca de equipamentos mais simples de manusear e com capacidade de armazenamento maior. Assim, foram criados os drives USBs e seus dispositivos mais comuns.

Com a popularização da tecnologia, hoje é possível encontrar pen drives e HDs externos de tamanho físico reduzido e preço altamente atraente. Além disso, outros equipamentos, como iPods, câmeras fotográficas, teclados e impressoras, foram adaptados à ‘nova tecnologia’ e já se tornaram extremamente comuns no mercado.

Assim como todas as novidades em TI, acompanhadas das facilidades incorporadas pela inovação, vieram as vulnerabilidades para ameaçar o sossego dos gestores. “É preciso levar em consideração que os computadores não foram feitos para ser controlados, por isso a dificuldade em gerenciar acessos, principalmente por dispositivos externos”, explica Marco Zanini, diretor regional da True Access Consulting.

De acordo com estudo realizado pela Sophos, fabricante de equipamentos de segurança, há uma tendência entre os criminosos digitais por buscar as brechas físicas, com apoio de drives USB para contaminar as empresas, já que as redes corporativas melhoraram a defesa de pragas via web ou sistemas de mensagem.

“É preciso cuidado ao colocar um dispositivo desconhecido no PC, já que pode ter código malicioso `plantado`”, diz Graham Cluley, consultor de tecnologia da Sophos. “Com o aumento de ameaças aliadas à motivação financeira, há uma óbvia oportunidade para que criminosos foquem na contaminação de uma empresa específica.”