Processos, pessoas e tecnologia. A divina trindade do mundo corporativo, também se aplica ao universo da Segurança da Informação. De nada adianta a parafernália defensiva e a corrida dos fornecedores para combater pragas que assolam o ambiente digital, se os usuários, maiores agentes do processo, não tiverem consciência dos riscos e tomarem suas medidas de prevenção.

O firewall mais eficiente não é melhor do que um usuário precavido. O que era uma percepção, já virou fato. O levantamento “Teaching Johnny Not to Fall for Phish”, da Carnegie Mellon Cylab, grupo que reúne universidades, estudantes e entidades, voltados ao desenvolvimento e educação em diversas áreas, revela dados, no mínimo, intrigantes. O estudo isolou dois grupos de usuários para detectar as vulnerabilidades no uso da web e os efeitos do conteúdo impróprio acessado.

Um dos grupos, durante intervalos de 15 minutos, foi submetido à leitura sistemática de conteúdos relativos a phishing e proteção contra os malefícios da internet. O outro grupo não recebeu nenhum tipo de informação referente à precauções ou coisas do gênero. Pois bem, a turma que obteve treinamento e acesso a um conhecimento selecionado conseguiu detectar cerca de 70% das ameaças. Moral da história, um pouco de educação, se não fizer todo o bem que se espera, mal não vai fazer.

Essa será a tônica da área de Segurança da Informação daqui para a frente, baseada na disseminação de conhecimento sobre os riscos que corremos. E esse treinamento não deve mirar apenas o usuário final. Cada vez mais as pessoas estão acessando a internet de dispositivos diferenciados e de variados pontos. Nem sempre quem está na rede é capaz de garantir que o computador ou device que utiliza está imune a vírus, ou se tem sistemas de proteção e detecção mais sofisticados.

Os cyber cafés estão aí para comprovar isso. O mais grave ainda é que nos pontos coletivos de acesso, muitos usuários estão acessando a rede para fazer transações bancárias. Essa é a grande preocupação dos bancos. Em recente encontro sobre Segurança da Informação promovido pela Febraban, integrantes das áreas de risco e segurança de diversas instituições financeiras debateram o assunto, num ensaio para o evento da comunidade de TI do segmento, o Ciab, no próximo mês de junho.

Principalmente porque os bancos estão seriamente empenhados em dividir com os usuários a responsabilidade pelas perdas resultantes do uso indevido dos serviços bancários via internet. Para educar os correntistas, as instituições devem promover ações de transferência e conscientização. As iniciativas precisam ir além do envio de mala direta e chegar até grandes campanhas publicitárias. Do contrário, a percepção do cliente acaba sendo mais negativa do que positiva ao receber mais e mais filtros.

Presente no encontro da Febraban, Jorilson Rodrigues, coordenador-geral de TI do Ministério da Justiça foi mais enfático. Para ele, o banco deve repassar o conteúdo para o cliente, distribuir cartilhas. A instituição financeira não pode presumir que o correntista sabe se defender. “Uma vez que a instituição financeira eduque o cliente, é possível começar a discutir a negligência do usuário e, se for o caso, responsabilizá-lo. Mas é necessário que as situações sejam analisadas caso a caso”.

Rodrigues vai mais longe. O coordenador do Ministério da Justiça acredita que culpar o usuário de forma massiva pode inibir o uso do internet banking por parte dos correntistas, um efeito colateral extremamente indesejado, um verdadeiro tiro no pé. É necessário aumentar a segurança das transações on-line, sem perder o volume de acesso. Hoje, os números do internet banking são os que mais crescem. O volume de acessos avançou 45,3% entre 2004 e 2005. O meio já alcança mais de 26% dos correntistas, se considerarmos o total de contas correntes, que chegou a 95 milhões em 2005.

O encontro da Febraban foi pautado também por alguns dados preocupantes. Um deles, divulgado pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) revela que 70% dos softwares disponíveis no mercado detectam apenas 40% das ameaças e somente dois fornecedores, atualmente, são capazes de bloquear mais de 80% dos códigos maliciosos. Mais uma razão para se investir em educação. Afinal, como diz a máxima, salve-se quem puder...