As redes sociais e as exigências legais de auditoria em TI. Como agir
Sites como Facebook e Twitter tomaram o lugar do e-mail e do IM na lista de preocupações do CIO. Como controlá-los sem perder o melhor que oferecem?
Lucas Mearian, da Computerworld/EUA
Publicada em 25 de maio de 2011 às 08h29
Sites populares de redes sociais, como Facebook, Twitter e LinkedIn, vêm sendo alvo de polêmica no setor de serviços financeiros e em outros mercados altamente regulamentados à medida que as empresas buscam modos de controlar como os sites são usados para se comunicar com colegas e potenciais clientes. Não atoa, grande parte das instituições financeiras brasileiras seguem resistindo às redes sociais e não possuem não qualquer plano de usá-las como ferramenta de negócio em 2011, segundo pesquisa da IDC. Tanto que 75% não têm a Web 2.0 no cronograma de investimento em 2011.
Ainda assim, as redes sociais têm mostrado sua importância na geração de vendas, em ações de marketing e nas relações entre corretoras e seus clientes. Mas os órgãos reguladores já perceberam este fenômeno e começam a reforçar os mesmos alertas que foram utilizados, décadas atrás, com o e-mail e as mensagens instantâneas (Instant Messages, ou IMs), quando elas passaram a se tornar comuns.
Mas o controle das comunicações em sites de rede social é, de longe, bem mais complexo, pois a realidade é que esse controle envolve sites que estão do lado de fora da muralha que cerca os sistemas internos de TI da empresa. E com uma complicação: a cada dia surgem aplicações novas ou melhoradas para que as pessoas se mantenham conectadas com essas redes.
“Por exemplo, o que você faz em relação a pessoas que têm atualizações móveis no Facebook? Do ponto de vista da auditoria, à medida que os auditores se familiarizam com essas questões, eles vão atrás de controles”, explica o analista.
Ritter disse que não basta monitorar as comunicações via redes sociais. As empresas precisam capturar esse tráfego, auditá-lo e registrá-lo.
Na virada do século, a indústria de serviços financeiros começou a aplicar controles ao tráfego de IM e de e-mail. Assim que os meios eletrônicos de mensagens tinham se tornado populares, um padrão emergiu entre as empresas: o setor financeiro decidiu primeiro bloquear todas as comunicações eletrônicas externas à empresa; depois, adotou aplicações proprietárias de e-mail para as comunicações dentro da corporação, e restringiu as portas pelas quais o tráfego de IM poderia circular - tudo para monitorar e capturar as comunicações.
“O primeiro passo que as organizações precisam dar é no sentido de uma verificação da realidade”, disse Ritter. “Eles precisam se apropriar do que está acontecendo na rede social. O simples bloqueio dos sites não funciona. Funcionários sempre encontram um jeito de contorná-lo. E deixar passar tudo é muito arriscado.”
Ritter e outros especialistas dessa indústria dizem que os sites de rede social apresentam um desafio de supervisão bem maior que o do IM ou e-mail – e mesmo do webmail – porque há muitas aplicações associadas a eles, incluindo ferramentas de mensagens instantâneas e applets de jogos - como o Farmville ou o Mafia Wars, do Facebook.
O simples bloqueio de sites como Twitter ou Facebook com um filtro de URL não é difícil. “O problema são todas as aplicações de tunelamento que podem contornar esses controles”, disse Chris King, diretor de marketing de produto da PaloAlto Networks. “Pesquise na web pelo termo ‘circumventing URL filtering’ (contornando filtragem URL) e você vai entender o que quero dizer. Alguns blogs, como o Lifehacker.com, e mesmo o Wall Street Journal, vivem publicando coisas como os 10 melhores modos de passar por cima dos controles de segurança.”
King explica que o empregado de uma empresa poderia simplesmente instalar um proxy em um computador doméstico e conectá-lo a um cable modem. Quando esse empregado estiver no trabalho, poderia se conectar ao IP de sua casa e contornar o filtro corporativo.
“O site Proxy.org tem tudo: de uma aplicação chamada UltraSurf, que é a queridinha dos estudantes de colegial, até uma coisa chamada Core, que é a favorita dos espiões”, conta King. Há muitas aplicações feitas para facilitar o contorno dos controles tradicionais.
“Nós ouvimos histórias de que, entre os melhores consultores financeiros [de uma grande firma de planejamento de investimentos], os números um e dois da lista são alguns dos que mais dominam o uso de mídia social”, disse Chad Bockius, vice-presidente de marketing e estratégia de produto da Socialware, uma fornecedora de ferramentas de gestão e monitoria de redes sociais na modalidade SaaS.
Bockius disse que a Socialware está prestes a publicar os resultados de uma pesquisa com mais de 200 consultores financeiros, que foram questionados sobre quantos novos clientes foram conquistados e novas vendas foram geradas por meio de mídia social. “Os resultados são impressionantes, na casa de 20%”, disse.
“Você ainda encontra gente dizendo ‘não precisamos usar o Facebook ou estar no LinkedIn. Essas ferramentas são para garotos do ginásio, ou para entreter pessoas que gastam tempo na Starbucks’. Não é mesmo o caso”, continuou Bockius. “Há realmente valor tangível de negócio que você pode extrair dessas ferramentas.”
A PaloAlto usa software de gerenciamento de política de firewall para controlar comunicações externas na camada de aplicação, por meio do ID do usuário e do tipo de conteúdo.
O banco de investimentos globais Greenhill & Co. usou o software da PaloAlto para monitorar e capturar o webmail usado por seus empregados, o que levantou questões sobre segurança de dados e sua posição geral de adequação às normas.
“Precisamos de melhor visibilidade em nossa rede para bloquear acesso a certas aplicações – especialmente Gmail sobre HTTPS”, disse o diretor de sistemas globais da Greenhill, John Shaffer, em declaração. “Nós notamos que os usuários contornavam nossa solução de bloqueio por meio do uso de versões encriptadas SSL de aplicações webmail.”
As atividades de filtragem URL, spyware e firewall da Greenhill estavam sendo gerenciadas por aparelhos separados, e a empresa estava buscando um meio de consolidar esses serviços em um painel de controle, para reduzir complexidade e gastos.
A empresa permitiu à PaloAlto demonstrar seu firewall, e “ele instantaneamente revelou usuários acessando Facebook, Gmail, RSS, Google Desktop, AOL Instant Messenger (AIM), Meebo, Skype e Yahoo! Mail.”
A DexRex, por exemplo, foi lançada em um dormitório da Universidade de Massachusetts em Amherst em 2005 por dois ávidos usuários de mensagens de texto, Derek Lyman e Richard Tortora. A empresa recentemente levantou 1 milhão de dólares em investimentos privados.
Em 2010 a DexRex lançou o ChatSync v2.2, que usa APIs (interface de programação de aplicações) extensíveis para plugar em aparelhos dos usuários, clientes de messaging ou servidores, para arquivar as comunicações em redes sociais. O serviço é oferecido por meio de um dispositivo instalado na empresa ou no modelo de nuvem, tipo SaaS. O software fornece captura em tempo real de comunicações de redes sociais, empurrando conteúdo e seus metadados de portais de acesso à web.
O ChatSync 2.2 também pode monitorar e capturar, para auditoria, e-mail, IM, SMS e comunicações em mídia social, incluindo LinkedIn, Twitter e Facebook, de acordo com Lyman.
Lyman disse que o mercado para captura de mensagens é dirigido por requerimentos de retenção de dados exgidos por regulamento, com a necessidade de descobertas legais em segundo lugar.
“Nós estamos capturando toda a categoria de comunicações alternativas baseadas em texto e fazendo parcerias com os provedores de serviço de e-mail existentes”, disse Lyman. “A exigência legal de apresentação de documentos realmente dita por que eles querem esses registros, e é isso que os reguladores esperam ver.”
Dan Srebnick, comissário associado de segurança de TI para o Departamento de Tecnologia de Informação e Telecomunicações (DoITT) da cidade de Nova York, disse que a cidade usa software da FaceTime para malware, spyware e filtragem web e não para controlar as tentativas de empregados de usar redes sociais. A agência também está monitorando essa atividade para assegurar que ela é consistente com as políticas de marca, marketing e comunicações da cidade.
“Nossa questão com a mídia social é menos sobre como restringi-la e mais sobre como habilitá-la”, disse Srebnick.
O DoITT age como câmara de compensação, ou registrador, de agências municipais que têm páginas em sites de rede social para publicação de avisos e para interagir com os moradores. Agências que têm tais páginas devem declará-las e fornecer ao DOITT seus Ids e senhas para assegurar que tais páginas possam continuar a ser mantidas se o funcionário encarregado deixar a agência.
“Esses sites não são sobre a pessoa. Eles são um mecanismo oficial de comunicação da cidade de Nova York”, disse Srebnick. O DoITT também desenvolveu uma política de mídia social válida para a cidade e que fornece regras gerais de governância sobre como as agências devem usar as redes sociais.
Srebnick disse reconhecer que no futuro, ele provavelmente terá de examinar os recursos de segurança do FaceTime. Ele apontou para a falha da última semana do Facebook, onde um bug permitiu que usuários vissem sessões de chat de seus amigos, como uma das razões para isso.
“Se tivéssemos esse tipo de controle disponível e soubéssemos que havia um problema em um site específico de mídia social que pudesse comprometer a capacidade da cidade de fazer negócios de maneira segura, nós poderíamos tomar o controle sobre ele ou teríamos a habilidade de auditá-lo”, disse. “A ideia de ter controles flexíveis sobre um site de mídia em termos de que recursos podem ser utilizados e como eles são usados poderia ser uma coisa muito poderosa sob uma perspectiva de segurança.”
95
By Khaleb Bueno