Há 40 anos o e-mail era inventado. Mas, apesar da idade, o serviço permanece avesso à segurança, segundo uma pesquisa divulgada nesta semana.

De acordo com o estudo, realizado pela empresa de segurança em comunicações VaporStream, quase 75% dos entrevistados em grandes empresas informaram ter violado políticas de segurança em relação ao e-mail. E um terço afirmou ter feito isso de propósito.

O resultado lembra como é difícil fornecer segurança até para a mais utilizada das aplicações e levanta a questão: O que pode ser feito para torná-lo mais seguro sem comprometer sua funcionalidade?

“O e-mail consiste apenas em enviar texto de uma máquina para outra”, explica Scott Crawford, diretor de pesquisas da Enterprise Management Associates. “Mas essa simplicidade esconde um paradoxo: Mensagens, colaboração, redes sociais – todas essas tecnologias são projetadas para permitir que as pessoas se expressem. Quanto mais controles aplicamos a elas, mais difícil será sua utilização.”

Preocupação
Mike Rothman, analista da empresa de pesquisas em segurança Securosis e ex-executivo da empresa de segurança de e-mail CipherTrust, disse não se surpreender com a abordagem solta dos usuários em relação a segurança de e-mail. “Assim que começam a monitorar as comunicações, eles começam a ver o tipo de informação que é enviado. Eles veem números de seguridade social, números de conta e outros tipos de informação controlada. Eles abrem os olhos e aí começam a investigar.”

“Na maior parte do tempo, os funcionários simplesmente tentam fazer a coisa certa, mandando arquivos por e-mail para suas contas pessoais, para que possam trabalhar um pouco no fim de semana. A maioria dessas mensagens não é maliciosa”, argumentou Rothman.

Os especialistas concordam que não há uma solução fácil para segurança de e-mail – nem técnica, nem educacional. “A resposta não é aplicar mais treinamento e educação”, afirma John Pescatore, analista de segurança do Gartner. “Vinte anos disso não nos levaram muito longe. Mais monitoramento, via Database Activity Monitoring e Data Leak Prevention (DLP), é necessário, sem dúvida”, diz. “O monitoramento capaz de dectar essas condições é importante tanto para a segurança de curto prazo como para entender quais processos de TI seriam necessários para que os funcionários possam fazer seu trabalho sem usar o e-mail de forma insegura.”

Rothman acrescenta que controles técnicos, como DLP e filtragem de conteúdo web, variam de bons a não tão bons, dependendo da tecnologia, seus objetivos e o tipo de dado que você quer proteger.

“Cada empresa tem que avaliar o risco e o custo dessas soluções e, principalmente, o impacto do monitoramento e do DLP no fluxo de trabalho”, alerta.