Você sabe onde estão suas informações sensíveis? Se sim, você dá a devida proteção a elas? O mais recente caso de tentativa de extorsão e vazamento de fotos íntimas da atriz Carolina Dieckmann, além de outros fatos corriqueiros que tenho observado nas empresas, me fez constatar que as pessoas ainda não dão a devida importância à guarda de informações. Um caso como o mencionado é exponencialmente maior quando falamos de um ambiente corporativo, no qual existem vários meios de manipular dados e mantê-los em dispositivos suscetíveis a perdas, roubos e ataques.
Imaginem o quanto valeriam os projetos de um novo tipo de motor, ou o planejamento publicitário anual de uma empresa para um concorrente? Essas informações, que devem ser protegidas e ter o seu uso monitorado, podem ser duplicadas e copiadas. Dados como esses podem cair nas mãos de um competidor, ou até mesmo um fraudador. A empresa pode ainda ser responsabilizada pelo vazamento de informações caso sejam dados financeiros de seus clientes, por exemplo.
Antes de começar a proteger as informações, necessitamos saber onde elas estão. Nessa fase entra o trabalho de classificação e descoberta, que começa pela identificação do que é realmente sensível. Após isso, investiga-se por onde são manipuladas, trafegam e são guardadas. É nessa fase que saberemos a visão real de exposição a qual uma empresa está sujeita e para onde devemos apontar os esforços.
Soluções como DLP (prevenção contra vazamento de informações) podem ajudar empresas, em primeiro lugar, a encontrar as informações sensíveis e relevantes ao negócio e posteriormente protegê-las. Desde nas estações de trabalho, em tablets, no tráfego que passa pela rede e até nos locais de armazenamento, como servidores de arquivos. Uma segurança adicional pode ser obtida com o uso de criptografia de dispositivos móveis como notebooks, tablets e smartphones. E finalmente, para validar esses controles, é interessante a execução de um teste de invasões, externo e interno, uma vez que grande parte das ameaças ocorre dentro do próprio ambiente de trabalho. Com esse tipo de teste é possível avaliar em quais pontos serão necessários controles maiores.
Normas e regulamentações como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que informações sensíveis sejam protegidas. Claro que muitas dessas regras não são obrigatórias no Brasil ou conforme a atividade da empresa, porém seus controles podem ser adaptados à realidade da corporação. Na maior parte das vezes a tecnologia por si só não resolve o problema, devem ser feitas algumas mudanças nos processos de atividades. A impressão é um exemplo, frequentemente são encontrados documentos abandonados nas impressoras e muitos deles são restritos a um setor, ou nem deveriam ser impressos.
Para finalizar, segue uma dica para pessoas que continuam mantendo fotos e arquivos importantes em dispositivos móveis, ou armazenando-os no seu computador pessoal: assim que possível, mova esses arquivos para um local mais seguro como um volume criptografado. Para usuários domésticos recomendo o software open-source True Crypt (www.truecrypt.org), que pode realizar muito bem essa tarefa. Já para os usuários corporativos, por conta da complexidade no gerenciamento e dos recursos envolvidos, serão necessárias soluções de mercado que demandem investimentos.
2 comentários
Muito bom o artigo, Romero. Direto ao ponto. Parabéns.
Parabéns, gostei do seu artigo, esclareceu muitas de minhas dúvidas.