TI CorporativaSegurança da InformaçãoComo se proteger de Edward Snowden

Como se proteger de Edward Snowden

-

Como se proteger de Edward SnowdenSemanalmente, são apresentadas, nos meios de comunicação, novas informaçõesde que foram capturados, por Edward Snowden e, consequentemente, pela NSA, dados sigilosos e/ou estratégicos de projetos e ações de entes do governo brasileiro (Petrobrás, por exemplo), como do próprio Estado, na pessoa da Presidente do Brasil.

Apresentam-se os Estados Unidos como vilão e o Brasil como vítima indefesa e prejudicada.

Primeiramente, esclareço que não concordo com os meios utilizados pelos Estados Unidos, pois interferem e põem em risco a soberania Nacional, mas é preciso alertar que o governo, como qualquer outra organização, deve se preocupar com a proteção de sua informação. Se esta está em poder de outras pessoas, então houve uma falha na segurança. Da mesma forma que a NSA obteve as informações, outros grupos mal intencionados poderiam tê-las obtido!

Percebe-se que o maior vazamento ocorreu na NSA, quando Snowden deixou a empresa com dados ultra sigilosos dela, de outras empresas e de cidadãos do mundo todo. Se houve vazamento de informação da própria NSA, como um reles mortal consegue proteger suas informações?

É impossível evitar, em 100%, o vazamento da informação. Da mesma forma, não existe risco zero!

Há muito trabalho a ser feito para se conseguir um nível de segurança exigido para cada tipo de negócio. As instituições financeiras são as que mais investem em proteção, pois elas são as mais exploradas por pessoas que querem cometer fraudes. Entretanto, qualquer empresa pode ser um alvo, dependendo do motivador da pessoa mal intencionada e do tipo de proteção utilizada para evitar o vazamento de informação.

Muitos controles de segurança devem ser aplicados e um dos principais, no caso, é a classificação da informação pela própria empresa. Todas as informações da empresa são sigilosas, mas é praticamente inviável aplicar um nível alto de classificação em tudo. Então, a empresa deve separar o que é informação estratégica de negócio e classificar como “sigilosa”; todas as outras informações deverão ser classificadas como “internas”.

O trabalho de classificação da informação deve contemplar várias áreas estratégicas da empresa, tais como: Presidência, Diretoria, Desenvolvimento Organizacional, Financeiro, Vendas e Jurídico. As informações sensíveis devem ter um tratamento especial: seu acesso deve ser controlado e nominal; seu armazenamento e transmissão devem ser criptografados. Cópias digitais e impressas devem ser controladas.

Produtos para prevenção de vazamento de informação (DLP – Data Loss Prevention) são excelentes nesses casos, pois, além de bloquear o acesso ou divulgação da informação, podem monitorar o que estão fazendo as pessoas que possuem acesso a ela, seja transmitindo dados para a internet ou armazenando-os em dispositivos móveis.

A empresa e seus colaboradores devem ter consciência de que informações transmitidas e armazenadas pela internet podem ser monitoradas; por isso, a utilização da criptografia é essencial. A criptografia das informações confidenciais deve ser mandatória, quando a empresa contrata um serviço de Cloud ou quando terceiriza sua área de TI, pois, nestes casos, o universo de pessoas que podem ter acesso aos dados é maior.

Muito se falou, também, sobre a possibilidade de as empresas de software possuírem condições de acesso e decriptação da informação. Para tanto, dever-se-ia avaliar a alternativa de desenvolvimento de um software proprietário de criptografia, analisando-se o risco de perda de dados e de possíveis vulnerabilidades.

Às informações classificadas como “internas”, devem ser aplicadas configurações de controle e segregação de acesso, criptografia para acesso remoto, entre outras.

Além das informações estratégicas digitais, devem-se proteger as informações impressas e as faladas. Algumas informações são tão críticas, que somente devem ser tratadas pessoalmente, analisando-se sempre previamente se o local utilizado não possui escutas. Quantas informações altamente sigilosas são tratadas no celular, tendo como ouvintes taxistas, desconhecidos em restaurantes e elevadores. Há taxistas que conhecem a lista de demitidos antes do próprio departamento de recursos humanos!

Mas como se proteger de Edward Snowden?

Profissionais de segurança possuem acessos privilegiados às informações. Eles devem assinar termos de comprometimento e confidencialidade, para resguardar a empresa de qualquer obtenção e divulgação indevida de seus dados. Um profissional de segurança que expõe os dados da empresa, como ele realizou, com certeza não conseguirá manter-se no mercado, porque ética e sigilo são altamente exigidos na profissão. A segregação de função e um DLP evitariam que ele e outros, como no caso do WikiLeaks, tivessem tanta informação para divulgar.

Lilian Pricola
MBA-Gestão Empresarial pela FGV, Pós-graduada em Segurança e Auditoria de Redes pelo LSI-USP e Bacharel em Ciências da Computação pela PUC-SP. Auditora líder da 27.001 e auditora interna da ISO 20K. Membro do Comitê CB-21 – ABNT. Professora responsável por elaborar e ministrar treinamentos sobre Segurança da Informação em empresas públicas e privadas. Experiência de 25 anos atuando no segmento bancário e prestação de serviços de TI, participando ativamente dos projetos de certificação ISO/27001 e ISO/20000. Gerente de Segurança da Informação responsável pela implantação do processo de Governança, Risco e Compliance (GRC), Continuidade de Negócios e Desenvolvimento de Produtos de Segurança. Como especialista em segurança, foi responsável pela administração de ferramentas de proteção migração de Datacenters e criação do CSIRT.

3 COMMENTS

Latest news

Plano de conteúdo para redes sociais: o que divulgar sendo uma empresa de TI?

Não encontrar o conteúdo certo para a rede social da sua empresa é um problema que está perto de acabar. Acesse e conheça o Plano de Conteúdo!

Estratégia de comunicação para TI: 5 erros para NÃO cometer

Existem 5 erros comuns que você não pode cometer mais na comunicação da sua empresa. Se você é um MSP que busca o sucesso, acesse e confira!

Inovação e Liderança: Uma Jornada de Transformação Digital

Inovação e Liderança: Uma Jornada de Transformação DigitalNo ritmo acelerado do mundo de hoje, a combinação de inovação e empreendedorismo é fundamental para profissionais que desejam gerar impacto nas organizações. Ao longo da minha carreira, passei de funções técnicas para posições de liderança, e, nesse caminho, aprendi como a tecnologia pode ser uma força transformadora nos negócios.

IDCA – A Força Motriz por Trás da Excelência em Infraestrutura Digital

Em um mundo cada vez mais digital, a Infraestrutura Digital robusta e confiável se tornou a espinha dorsal da sociedade moderna. É nesse cenário crucial que o IDCA (International Data Center Authority) se destaca como líder mundial, moldando o presente e o futuro da indústria. Mas o que torna o IDCA tão especial?
Publicidade

Gerenciador de senhas: saiba como fortalecer a segurança de TI da sua empresa em 2024

Um gerenciador de senhas é uma ferramenta projetada para armazenar, organizar e gerenciar senhas de forma segura. Mas podemos mostrar que ele vai muito além disso!

Software para MSPs: indo além do preço ao procurar pelas ferramentas certas

Confira 5 dicas essenciais para escolher as melhores plataformas para compor o monitoramento e segurança da infraestrutura de TI dos seus clientes

Must read

Plano de conteúdo para redes sociais: o que divulgar sendo uma empresa de TI?

Não encontrar o conteúdo certo para a rede social da sua empresa é um problema que está perto de acabar. Acesse e conheça o Plano de Conteúdo!

Estratégia de comunicação para TI: 5 erros para NÃO cometer

Existem 5 erros comuns que você não pode cometer mais na comunicação da sua empresa. Se você é um MSP que busca o sucesso, acesse e confira!
- Advertisement -

You might also likeRELATED
Recommended to you