Caminhos bem definidos
Todo o tráfego de informações de Internet e e-mail passa por um único ponto da rede corporativa da Mana. É nesse ponto que são colocadas as ferramentas que medem a vazão e o tipo de tráfego. O acompanhamento é feito por amostragem. A escolha é feita de forma aleatória e o monitoramento é o que permite a identificação dos acessos a sites indevidos.
“A informação é uma moeda preciosa. Esse é um tema complexo e requer a participação de várias áreas da empresa. Com objetivo de proteger os dados, há o trabalho que envolve SMS, no que diz respeito aos riscos que podem comprometer a estrutura física e Gestão de Pessoas, para tratar de questões comportamentais. É preciso parametrizar e configurar o sistema de acordo com a política de segurança da empresa”, esclarece o Coordenador de Sistemas e Tecnologia da Informação, Kléber Nery.
O controle do acesso a web é feito por meio de um serviço de classificação automática dos endereços que oferecem riscos ou não são alinhados ao processo produtivo e por isso são bloqueados. O serviço é terceirizado e todos os sites novos são classificados de acordo com os conteúdos. Na avaliação são considerados padrões internacionais, no entanto, se for comprovada a necessidade de utilização do site pelas equipes de trabalho e a inexistência de vulnerabilidades, a liberação é realizada.
Tratando-se de e-mails, há restrições com relação aos anexos. A começar pelo tamanho máximo, que não pode ser superior a 5 mega-bytes. Os tipos permitidos e mais utilizados de anexos são os formatos PDS, ZIP, DOC e XLS.
Um anexo proibido não chega ao destino, mas um relatório é enviado para a caixa de mensagens do remetente informando a proibição. O que se pretende é impedir o envio de códigos que se auto-executam, linguagens de programações a exemplo de BBS e HTML, muito usadas para desenvolver códigos que podem iniciar processo de infecção.
“A melhor comunicação ainda é aquela na qual as pessoas têm a oportunidade de falar pessoalmente ou por telefone. No entanto, o sistema nunca é totalmente fechado, sempre há alternativas. Se é preciso receber anexo maior que o permitido, avaliamos e, se possível, liberamos”, comenta Kléber.
Algumas aplicações, a exemplo do skype, programa gratuito que oferece telefonia por meio da Internet, têm histórico mínimo de vulnerabilidade e, por isso, são utilizadas. Nesse caso, a redução de custos e a dinâmica na troca de informação justificam o uso. Mesmo sem riscos aparentes, a equipe de STI acompanha o comportamento do programa e, havendo risco, reavalia a utilização.
É preciso tratar casos de utilização de dispositivos de armazenamento de dados (como os pen-drivers) na empresa levando em conta que contratualmente existem cláusulas específicas para a manutenção do sigilo das informações. O pen-drive é uma unidade portátil de armazenamento de dados. É possível acessar os programas e arquivos dentro da própria unidade, que fica disponível no Windows Explorer.
Algumas empresas possuem práticas que definem regras para a utilização de celulares por estarem incorporando novas funcionalidades como o armazenamento de dados e a câmera digital.
“Algumas justificativas como a necessidade de continuidade de desenvolvimento do trabalho em outro ambiente (geralmente em casa) onde comumente não existe a cultura de uso de boas práticas, estando a estação de trabalho conectada à Internet através de redes de banda larga. Isso aumenta substancialmente o risco de vazamento de informações, e de infecção por vírus. E isto é justamente o que não deve acontecer já que o objetivo é manter as informações íntegras, confidenciais e disponíveis o maior tempo possível. Enfim, investe-se em todos esses mecanismos de controle para que as informações trafeguem por caminhos muito bem definidos na rede corporativa”, ressalta Nery.
|
