Dropbox, Google Drive, Twitter e a fragilidade das corporações

*Por Cláudio Yamashita

Hackers invadem contas de OneDrive, Dropbox, Google Drive e Box. LG confirma unnamed (10)vazamento de informações do LG 4G. Ações do Twitter despencam após “vazamento” de resultados. Essas são algumas manchetes deste ano retiradas da mídia, mostrando que marcas importantes estão muito vulneráveis a ataques e “roubo” de dados.

A consequência mais visível dos vazamentos e invasões é sem dúvida o prejuízo financeiro, mas também existem perdas legais e regulatórias, danos à propriedade intelectual, destruição da reputação da marca e fim da vantagem competitiva.

Mesmo após volumosos investimentos em segurança da informação, como corporações poderosas continuam tão frágeis e expostas a criminosos?

Com um olhar atento sobre o que acontece hoje no mundo corporativo, com cloud computing, shadow IT e o trabalho a distância, temos bons indicativos do que fazer para mudar. Primeiramente, é útil localizar de onde vêm os ataques. Um estudo global da Ernest&Young (2014) indicou que a principal fonte são os funcionários (56%). Somamos a esse percentual os terceirizados (35%) entre os cinco mais prováveis responsáveis pelos ataques, e temos o pessoal interno como o maior ponto de fuga das informações.

E vejam que isso acontece apesar das empresas restringirem cada vez mais a forma de acessar e compartilhar conteúdos. De acordo com um estudo da AIIM (Associação Internacional para Gerenciamento de Informações e Imagens), 56% das corporações impedem o uso de serviços de compartilhamento focados em consumidor (DropBox, GoogleDrive, etc). Já o uso de pen drives e USBs para cópias é proibido em 38% das empresas.

Apesar de todas as restrições, o colaborador continua compartilhando arquivos da forma como está acostumado a fazer em seu dia a dia: via Facebook, email, WhatsApp, GoogleDrive, DropBox, Instagram. Ora em seu laptop, ora no iPhone ou no tablet do filho.

Sabemos que os dados não transacionais já representam 90% do conteúdo que é criado nas empresas e que dobra de volume a cada dois anos. Nos últimos anos, os departamentos de TI e de segurança investiram pesadamente para proteger suas informações transacionais, mas não tiveram o mesmo cuidado em relação aos conteúdos gerados por interações com o mundo externo, como reguladores, parceiros comerciais, advogados, prestadores de serviços, fornecedores, clientes e governo.

A nova realidade mostra que o conteúdo é a nova fronteira da proteção de informações corporativas. Entretanto, a grande maioria das empresas ainda está no modelo antigo de segurança da informação, que tinha o firewall e o controle da identidade de quem acessa como perímetros.

E se as companhias pudessem saber o que está sendo acessado, onde e por quem, independente do dispositivo, e ainda controlando os níveis de acesso? Na verdade, elas podem, com soluções corporativas de compartilhamento (chamadas EFSS, enterprise-focused file sync & share). Nada mais de email, DropBox, Facebook ou WhatsApp. O risco de que o conteúdo caia em mãos erradas é infinitamente menor, pois estamos no nível de proteção do conteúdo. O cuidado que as companhias precisam tomar é o balanceamento entre proteção versus produtividade, considerando o valor versus o risco do conteúdo.

Uma política de Governança da Informação deve garantir a proteção do conteúdo em todo seu ciclo: armazenamento, tráfego e acesso. No armazenamento, é necessária a implantação de ferramentas de metadados para facilitar a elaboração de regras de retenção e gestão de armazenamento inteligente. O uso de softwares de gestão para geolocalização em todo ciclo de vida do conteúdo é altamente recomendável. Uma ferramenta com forte autenticação e criptografia é essencial.

No tráfego, as corporações precisam pensar além do firewall. Em poucas palavras: utilizar Gerenciamento de Direitos de Informação (IRM), trazendo a segurança para o conteúdo; controlar geograficamente o acesso e promover a integração com as principais tecnologias DLP (Data Loss Prevention).

No nível do acesso, as áreas de compliance, gerenciamento de risco e TI precisam considerar que a proteção do conteúdo extrapola as fronteiras da companhia. Além disso, que os conteúdos serão acessados a partir de um repositório corporativo e independente dos dispositivos. Uma boa solução de segurança no acesso inclui os três pilares: 1) a política de acesso do conteúdo em seu ciclo (criar, revisar, armazenar, publicar, arquivar e descartar), 2) as pessoas envolvidas (identidades, permissões e posição na empresa), 3) o processo, com workflow, notificações, acessos ao conteúdo e outras ações.

Mas aqui esbarramos em dois obstáculos. Os investimentos em medidas preventivas, especialmente no Brasil e na América Latina, são sempre deixados para depois. Quando pressionados por resultados imediatos, a redução de custos e o aumento das receitas são prioridade para os executivos, ao passo que a mitigação de riscos fica no fim da lista.

O obstáculo seguinte é a atual cultura organizacional de produção e tratamento de conteúdos. E aqui não adianta uma política bem escrita, dizendo que não se pode usar e-mail para enviar cópia de processo ao escritório externo de advocacia, por exemplo. Alguns casos práticos em que tenho trabalhado mostram que uma política de Governança da Informação bem sucedida precisa do endosso do principal executivo, conferindo prioridade corporativa à proteção dos conteúdos e transformar como uma cultura da companhia. É isso que vai colocar em andamento esse verdadeiro processo de change management nas empresas, evitando a produção, acesso e compartilhamento de informações como nós vemos hoje. Assim, os riscos de vazamentos e ataques serão menores e marcas famosas como por exemplo, LG  e Twitter, estarão menos vulneráveis.

*Por Cláudio Yamashita, Diretor geral da Intralinks no Brasil

Share This Post

Post Comment