Proteção da Informação Corporativa

Data Loss Prevention

Ou Prevenção à Perda de Informação, é uma conceito amplamente difundido no fóruns de discussão para segurança dos dados corporativos, porém, na prática, pouco aplicado pelas empresas. O uso deste conceito pode ajudar a manter dados sensíveis mais seguros e protegidos da ação de pessoas mal-intencionadas ou desinformadas, dentro e fora das empresas. É mais comum do que parece, informações serem extraídas dos meios corporativos. Vale ressaltar que boa parte destes eventos acontece sem serem detectados. A forma mais comum destes vazamentos de dados é através de ferramentas de trabalho de uso cotidiano, que muitas vezes não são parametrizadas para garantir que cada usuário tenha acesso ao que realmente necessita.

[siteorigin_widget class=”CL_Widget”][/siteorigin_widget]

A célebre frase de Ronald Reagan, apesar de ter sido proferida no final da década de 1980, é bem atual. Ao mesmo tempo que passa a sensação da evolução trazida pela tecnologia, traz uma grande carga de preocupações, pois toda essa facilidade em compartilhar e levar informações a qualquer lugar com grande agilidade e mobilidade, também pode causar grandes prejuízos às empresas modernas, no caso do vazamento de informações sobre um grande projeto em execução sigilosa, por exemplo.

Soluções de Segurança da Informação

Existem no mercado diversas soluções que podem mitigar grande parte destes problemas. Empresas de software e hardware voltada a produtos de prevenção à perda de informação, colocam à disposição de seus clientes, uma grande variedade de ferramentas que prometem reduzir drasticamente a vulnerabilidade das informações que trafegam nas redes corporativas.

Possivelmente não há 100% de garantia de proteção, uma vez que as possibilidades de extração de dados são muitas. No entanto, ter o controle do que se permite ser acessado, alterado ou compartilhado, já é um grande avanço para a maioria das empresas.

Tipos e Meios

A seguir, uma análise dos principais tipos e meios de acesso à informação comumente usados em ambientes corporativos e que necessitam de maior atenção e controle por parte da Gestão de TI.

[siteorigin_widget class=”SiteOrigin_Widget_Icon_Widget”][/siteorigin_widget]

E-mail

O e-mail é um dos meios mais utilizados para comunicação corporativa “formal”, seja interna ou externa. Sendo também a mais popular e democrática de todas, pode ser um ponto crítico de extração de dados importantes dentro do ambiente corporativo. Tanta praticidade ao alcance de todos, torna o e-mail uma ferramenta bem complexa do ponto de vista de controle.

Já existem soluções que aplicam políticas de segurança nos serviços de e-mail, possibilitando o controle das mensagens enviadas tanto para destinatários internos, quanto para externos. É possível, por exemplo, classificar por níveis de criticidade as informações contidas no e-mail ou anexo e identificar se existe um número de cartão de crédito, alertar o usuário, criar um registro de evento crítico de segurança e bloquear o envio. Outro exemplo são mensagens com restrições de acesso; soluções de DLP voltadas ao e-mail, conseguem bloquear encaminhamento, impressão, geração de PDF, entre outros.

[siteorigin_widget class=”SiteOrigin_Widget_Icon_Widget”][/siteorigin_widget]

Instant Message

As ferramentas de IM também se popularizaram nos últimos anos e foram integradas ao cotidiano de muitas empresas. Por facilitar e agilizar a comunicação, tornaram-se um importante meio de comunicação, principalmente quando se fala de mobilidade e compatibilidade entre plataformas. A adesão corporativa deste meio de interlocução tecnológica, também trouxe diversos impactos ao sigilo das informações.

O uso corporativo de mensageria instantânea é bem mais complexo de controlar, mas já existem ferramentas que conseguem bloquear o uso de algumas delas. No caso de ferramentas públicas, o bloqueio pode ser feito pelo próprio protocolo de comunicação utilizado.  Skype, Yahoo Message, Facebook Message, entre outros, são perfeitamente controláveis através das ferramentas de segurança de rede e até por meio de produtos que prometem exercer análise nas mensagens trocadas. As ferramentas comerciais de uso corporativo, em sua maioria, já vem com funcionalidades próprias ao monitoramento e auditoria, o que facilita o controle de utilização.

[siteorigin_widget class=”SiteOrigin_Widget_Icon_Widget”][/siteorigin_widget]

Compartilhamentos de Rede

Uma das mais antigas formas de se compartilhar informações no ambiente corporativo, o compartilhamento de rede tende ao declínio nos próximos anos. Prático e acessível, este arcaico modo de comunicação não atende mais totalmente aos requisitos de praticidade e segurança de outrora. A tendencia é que as soluções que conseguem indexar e categorizar os dados através de metadados, sejam os novos repositórios de arquivos corporativos.

Para o compartilhamento de arquivos, as ações para garantir a integridade das informações são mais específicas. Os próprios servidores já oferecem uma boa gama de recursos que possibilitam o controle de acesso aos dados, desde que se utilize de sistemas operacionais adequados ao serviço. É importante manter as funcionalidades de controle de acesso de usuários e grupos (criação, alteração e leitura), auditoria de acesso, e segurança de compartilhamento sempre atualizadas e registradas, além de manter os dados no lugar correto, para garantir que nada fuja ao necessário. Como por exemplo, remover o acesso de funcionário que já não trabalham mais na empresa. Para facilitar o trabalho deste tipo de manutenção, existem no mercado uma série de soluções que integram as ferramentas de RH com as políticas de segurança, de forma a manter os perfis acessos de acordo com as atribuições de cada colaborador.

[siteorigin_widget class=”SiteOrigin_Widget_Icon_Widget”][/siteorigin_widget]

Armazenamento em Nuvem

A muito tempo que existem serviços de armazenamento em nuvem disponíveis no mercado, alguns free outros pagos. Estes serviços são excelentes pontos de armazenamento de backups pessoais, por exemplo. Os armazenamentos em nuvem também tiveram uma popularização muito grande nos últimos anos. Inicialmente mais utilizada por profissionais de TI, foi descoberta por profissionais de outras áreas e hoje é uma das principais formas de armazenamento e compartilhamento de dados por grande parte das pessoas.

A maior parte dos serviços de armazenamento em nuvem, sobretudo os pagos, já possui diversas formas de manter o controle destes recursos. Para uso corporativo, os serviços são capazes de se integrar com o ambiente local da empresa e herdar parte dos parâmetros de configuração do mesmo. Na nuvem, apesar do que algumas pessoas ainda pensam, o controle é possível. Os provedores destes serviços tem investido grandes cifras na busca de atender, cada vez mais, as necessidade relacionadas à conformidade, segurança e capacidade no intuito de atender empresas de qualquer porte ou seguimento.

[siteorigin_widget class=”SiteOrigin_Widget_Icon_Widget”][/siteorigin_widget]

Conexões USB

Consideradas um pesadelo para algumas empresas, as conexões USB são, literalmente, uma das portas mais comuns de vazamento de informações. Iniciada na década de 1990, a história da conexão USB só teve um avanço significativo a partir dos anos 2000, com evolução para a versão 2.0. Mais rápida e com uma variedade maior de possíveis aplicações práticas, o USB se popularizou com o advento dos dispositivos de armazenamento móvel (Pen Dives, HDs Externos, Cartões SD…). Famosos em alguns filmes de ficção, estes dispositivos já começaram a trazer situações reais de extração de dados nas empresas.

Para este meio de armazenamento, os cuidados devem ser ainda maiores. Apesar de já existirem muitas ferramentas de controle das portas USB, ainda são um pesadelo para a proteção da informação. Atualmente a maioria das suítes de segurança voltadas ao endpoint (antivírus de estação de trabalho) e só precisam estar parametrizadas de forma correta. A maioria das ferramentas de gestão de desktop comerciais, também já possuem em suas funcionalidades a possibilidade de bloqueio destas portas.

[siteorigin_widget class=”SiteOrigin_Widget_Icon_Widget”][/siteorigin_widget]

WhatsApp

Este tópico específico para o WhatsApp foi incluído devido às particularidades e ameaças que esta ferramenta trás. Lançado em 2009 e disponibilizado inicialmente apenas para smartphones, o aplicativo caiu nas graças de todos, pela facilidade, simplicidade e custo “zero” no envio de mensagens rápidas. Atualmente disponível para acesso através de qualquer navegador de Internet, o aplicativo ficou ainda mais popular. Com isso, diversas empresas passaram a fazer uso do App para suas comunicações corporativas. Sendo essa comunicação formal ou informal, é uma realidade.

O WhatsApp, assim como outras opções semelhantes presentes no mercado, são praticamente impossíveis de manter o controle. Grande parte dos dispositivos de uso corporativo são de propriedade do funcionário, sendo impossível o bloqueio de instalação e uso do aplicativo. É neste ponto que está a dificuldade; juridicamente uma empresa não pode exercer autoridade sob aquilo que não é de sua propriedade. No entanto, se o dispositivo for cedido pela empresa ao funcionário para uso profissional, a mesma pode submeter o dispositivo às suas políticas e uso.

Conclusão

A mobilidade e a nuvem proporcionaram um grande avanço na produtividade e na comunicação, encurtando distancias e agilizando a troca de informações. A consolidação e o reconhecimento que o uso da TI teve no meio corporativo nos últimos anos, trouxe um efeito altamente benéfico para todos. Porém, para tudo há o contraponto. Com toda essa evolução vieram também os problemas, inerentes a ela, que antes não tínhamos. As soluções para boa parte deles estão à disposição do mercado. Cabe aos gestores a iniciativa de avaliar aquilo que melhor atende as necessidades de sua empresa.

Quando se trata de proteger as informações e o direito autoral do que é produzido pelas empresas, são muitas as situações que necessitam de atenção. Para além dos recurso de TI, as corporações precisam ter muito bem definidas as políticas de acesso à informação, uso de dispositivos e segurança de dados, para somente depois aplicar o uso de recursos técnicos e ferramentas. A área jurídica deve estar bem alinhada para apoiar nas questões que lhe sejam pertinentes e o RH precisa ajudar a construir um documento que vise o bem estar e segurança de ambos os lados.

[siteorigin_widget class=”SiteOrigin_Widget_Icon_Widget”][/siteorigin_widget]

Próximos Passos

São diversas as opções e fabricantes disponíveis no mercado. É altamente recomendável a busca de uma consultoria especializada para apoiar e orientar nas soluções que melhor atendem as necessidade de cada perfil de empresa.

Para maiores informações, entre em contato
041 9 8834-7824
danilo.mesquita@webfocco.com.br

[siteorigin_widget class=”SiteOrigin_Widget_Icon_Widget”][/siteorigin_widget]
5/5 (1)

Por favor, me diga o quanto esta informação foi útil pra você.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *