A Raposa e o Galinheiro

Renato Maia

Apesar do título sugestivo e da minha “leve preferência clubística”, não escrevo sobre futebol. Mas sim aproveito o gancho desta notícia – a CIO da Target deixando o cargo após sua empresa ter sido vítima de um crime digital – para embasar uma teoria que defendo sempre que encontro alguém disposto a me ouvir.

Primeiramente, apresento um resumo do episódio, para quem não sabe do que se trata: entre 27/11/2013 e 15/12/2013 a Target, gigante de varejo norte-americana, foi vítima de um ataque ao seus sistemas de TI, tendo como consequência direta o roubo de informações pessoais e de cartão de crédito de mais de 100 milhões de clientes. O ataque, pelo que indicam informações preliminares noticiadas na mídia especializada, iniciou-se em um fornecedor, envolveu a instalação nos computadores dos caixas de software malicioso (malware, nome genérico para diversas variações de pragas virtuais como vírus, worms, cavalos de troia etc.), a criação de uma área de armazenamento dos dados roubados dos caixas na rede interna da empresa e a posterior transferência destes dados para um ponto de coleta externo, na Internet. Tudo isto, aparentemente, organizado por um grupo de criminosos virtuais do leste europeu.

As consequências deste crime são e serão – infelizmente – graves, variadas e duradouras. Dano à reputação e imagem, batalhas judiciais com clientes que tiveram seus dados roubados, multas e penalidades por órgãos reguladores são apenas alguns exemplos que agora me ocorrem e que certamente fazem parte do calvário que a empresa passará. Já no último relatório trimestral apresentado aos acionistas a empresa reconhece uma queda superior a 40% na receita do período. E atribui esta queda à crise de confiança causada pelo crime digital. Curiosamente e coincidentemente, acredito ter sido pessoalmente afetado pelo caso. Fiz compra com cartão de crédito em uma loja Target perto de Washington DC exatamente neste período. E ao voltar ao Brasil, tive este cartão de crédito cancelado preventivamente e trocado por um novo, sem motivo ou explicação óbvia. 

Episódios como este podem ser analisados por vários ângulos. No nível técnico, é fascinante fazer uma análise post mortem e verificar como os criminosos burlaram os controles de segurança existentes. E, profetas do acontecido, apontar falhas nestes controles. Ou sugerir tecnologias e produtos adicionais que poderiam facilmente ter evitado este ou aquele método específico de intrusão. É importante, entretanto, reconhecer que nestes casos, a vantagem do criminoso é grande: ele tem, potencialmente a seu favor, o tempo e a possibilidade de buscar e testar novas alternativas contra qualquer defesa. E a maioria das empresas possui recursos finitos para se defender.

É claro que a Target, como toda e qualquer organização moderna, dependente cada vez mais de TI para operar, pode melhorar suas defesas digitais. Tão claro e universal que desconheço algum CIO/CSO de empresa que tenha confiança suficiente em seu ambiente para afirmar que sua TI não seria vítima de algo similar.

"A Segurança da Informação precisa ter uma interlocução direta com as áreas de negócios. Precisa, urgentemente, encontrar uma forma de envolver os reais donos dos dados e sistemas nas decisões e avaliações sobre qual nível de risco aos seus ativos é tolerável."

Escrevo tudo isto, entretanto, e finalmente justificando meu título, para enfatizar um ponto estratégico que o episódio ilustra bem. A área de segurança da informação da empresa era subordinada à TI. Uma das ações anunciadas, paralelamente a saída da principal executiva da Target, claramente servindo de bode expiatório, é a criação de uma nova posição, ligada à presidência e ao conselho e responsável por segurança da informação.

A TI vive extremamente pressionada para entregar soluções, sistemas e infraestrutura digital. Existe um claro conflito de interesses entre atender rapidamente às múltiplas demandas organizacionais e fazer isto com alinhamento ao grau de risco tolerado pelos gestores e acionistas. Sendo bem simplista, viola-se o conceito de separação de papeis, como a quase universal regra empresarial de separar as funções de comprar da de pagar. Configura-se assim, o que no popular se chama de “a raposa cuidando do galinheiro”.

Governança corporativa deriva, essencialmente, do potencial descasamento de interesses entre os donos das empresas modernas (seus acionistas) e os executivos contratados para comandá-las. Governança de TI, na mesma linha, nasceu para jogar luz ao potencial conflito de interesses entre a TI e os verdadeiros donos dos dados e sistemas das empresas (apesar do que parece, quase nunca a própria TI). Situação similar existe entre TI e Segurança. A Segurança da Informação precisa ter uma interlocução direta com as áreas de negócios. Precisa, urgentemente, encontrar uma forma de envolver os reais donos dos dados e sistemas nas decisões e avaliações sobre qual nível de risco aos seus ativos é tolerável. Fundamental parar de tomar decisões que, em última instância, não são de sua alçada. Para isto é fundamental ser capaz de articular e comunicar adequadamente os riscos, vulnerabilidades e ameaças aos quais a empresa já se encontra exposta ou poderá se expor no mundo digital.

Apesar de extremamente vinculada à TI, de precisar de colaboração contínua, a Segurança da Informação precisa de independência. É a única maneira de funcionar, em determinados momentos, como um contraponto, ajudando a empresa a avaliar os riscos adequadamente. Empresários, acionistas, conselheiros e executivos precisam começar a se educar sobre o assunto e reconhecer sua real responsabilidade sobre o tema. Pois de fato, talvez a única verdade inquestionável e absoluta: você tem a TI – bem ou mal protegida – que você merece !




*Renato Maia é sócio-fundador e diretor técnico TechBiz Forense Digital.