Você sabe quais são suas informações sensíveis? Sabe onde elas estão? Se sim, você dá a devida proteção a elas? O mais recente caso de tentativa de extorsão e vazamento de fotos íntimas da atriz Carolina Dieckmann, além de outros fatos corriqueiros que tenho observado nas empresas, fez-me constatar: as pessoas ainda não dão a devida importância à guarda de informações. Um caso como o mencionado é exponencialmente maior quando falamos de um ambiente corporativo, no qual existem vários meios de manipular dados e mantê-los em dispositivos suscetíveis a perdas, roubos e ataques.
Imaginem o quanto valeriam os projetos de um novo tipo de motor ou o planejamento publicitário anual de uma empresa para um concorrente? Essas informações, que devem ser protegidas e ter o seu uso monitorado, podem ser duplicadas e copiadas. Dados como esses podem cair nas mãos de um competidor, ou até mesmo um fraudador. A empresa pode ainda ser responsabilizada pelo vazamento de informações caso sejam dados financeiros de seus clientes, por exemplo.
Antes de começar a proteger as informações, necessitamos saber onde elas estão. Nessa fase entra o trabalho de classificação e descoberta, que começa pela identificação do que é realmente sensível. Após isso, investiga-se como são manipuladas, trafegam e são guardadas. É nessa fase que saberemos a visão real de exposição a qual uma empresa está sujeita e para onde devemos apontar os esforços.
Segurança aplicada
Soluções como DLP (prevenção contra vazamento de informações) podem ajudar empresas, em primeiro lugar, a encontrar as informações sensíveis e relevantes ao negócio e posteriormente protegê-las. Desde nas estações de trabalho, em tablets, no tráfego que passa pela rede e até nos locais de armazenamento, como servidores de arquivos. Uma segurança adicional pode ser obtida com o uso de criptografia de dispositivos móveis como notebooks, tablets e smartphones. E finalmente, para validar esses controles, é interessante a execução de um teste de invasões, externo e interno, uma vez que grande parte das ameaças ocorre dentro do próprio ambiente de trabalho. Com esse tipo de teste é possível avaliar em quais pontos serão necessários controles maiores.
Normas e regulamentações como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que informações sensíveis sejam protegidas. Claro que muitas dessas regras não são obrigatórias no Brasil ou conforme a atividade da empresa, porém seus controles podem ser adaptados à realidade da corporação. Na maior parte das vezes a tecnologia por si só não resolve o problema, devem ser feitas algumas mudanças nos processos de atividades. A impressão é um exemplo – frequentemente são encontrados documentos abandonados nas impressoras e muitos deles são restritos a um setor ou nem deveriam ser impressos.
Para finalizar, segue uma dica para pessoas que continuam mantendo fotos e arquivos importantes em dispositivos móveis, ou armazenando-os no seu computador pessoal: assim que possível, mova esses arquivos para um local mais seguro como um volume criptografado. Para usuários domésticos recomendo o software open-source True Crypt, que pode realizar muito bem essa tarefa. Já para os usuários corporativos, por conta da complexidade no gerenciamento e dos recursos envolvidos, serão necessárias soluções de mercado que demandem investimentos. [Webinsider]
…………………………
Acompanhe o Webinsider no Twitter e no Facebook.
Assine nossa newsletter e não perca nenhum conteúdo.
