A perda de dados é um dos problemas que mais tiram o sono de empresários de todos os segmentos. Não é para menos. Por mais que tentem, as empresas não conseguem impedir que a informação, riqueza intangível do seu negócio, escorra por ralos os mais variados, gerados seja por má-fé ou incompetência, seja por infraestrutura ineficiente ou ausência de procedimentos adequados de segurança. Enquanto isso, as tentativas de fraude virtual se multiplicam, chegando a crescer mais de 200% em um único ano no Brasil, segundo o Cert.br. Esse cenário explica o porquê de processos e tecnologias preventivas reunidos sob a sigla DLP (de Data Loss Prevention) estarem entre as áreas mais quentes em TI, aquelas que figuram em todas as pautas de discussão. Com promessa de reduzir a vulnerabilidade das empresas, a DLP permite classificar, controlar e garantir o bom uso dos dados e das informações. 
[private] Estariam as empresas brasileiras atentas ao problema da perda ou vazamento ilegal de dados, e preparadas para combatê-lo? De acordo com José Matias Neto, gerente de Suporte Técnico da McAfee para a América Latina, preocupadas, ao menos, elas estão. Há uma visível movimentação de todos os segmentos econômicos nos últimos anos, embora os setores financeiro e da indústria ainda mantenham a liderança em investimentos nessa área.
Mas a grande questão, segundo Matias, é que, quando se trata de DLP, não basta somente investir. É necessário planejar e contar com o envolvimento das demais áreas da companhia no processo de avaliação e classificação daqueles assuntos que devem ser considerados estratégicos e confidenciais. “Uma análise mal-estruturada pode desencadear erros como o engessamento do negócio, pois dificultará a fluxo e a transmissão dos dados”, alerta. Por outro lado, cumprir a contento essa tarefa inicial, com a colaboração de todas as unidades de negócio envolvidas, possibilita a redução de gastos desnecessários. “Evita o excesso na seleção dos temas confidenciais, o que impede o aumento do TCO (custo total de propriedade)”, explica.
O gerente diz que o mercado enxerga a DLP como um conceito ou um processo de governança corporativa. “É parte de uma estratégia mais ampla. Contribui para a segurança dos dados e informações da empresa e, com o envolvimento dos departamentos, permite que sejam avaliados e alinhados com os executivos todos os assuntos confidenciais e os temas que devem ser disseminados para determinados públicos de interesse”, continua.
Independentemente do estágio de maturidade da empresa em governança e uso de TI, o desafio para barrar a perda de dados é grande, porque as ameaças vêm de todas as direções e com motivações diferentes. “Perdas e vazamentos podem ocorrer por má-fé ou mesmo descuido, como impressões e arquivos não autorizados ou salvamento de arquivos em pen-drives para levar o trabalho do escritório para casa”, exemplifica o gerente. Para dar uma ideia do tamanho do imbróglio, ele informa que, em 2008, havia no mundo 400 milhões de USB’s em uso, 450 milhões de notebooks, 350 milhões de desktops, de 300 a 400 milhões de celulares e 2,1 bilhões de CDs. “São incontáveis o dados estratégicos trafegando de maneira vulnerável por esses dispositivos”, diz.
Ações reativas
Da sua parte, Ricardo Fernandes, vice-presidente de Segurança da CA para a América Latina, avalia que as empresas brasileiras, em geral, estão atrasadas no que se refere a estratégias de DLP. “Os segmentos mais adiantados são aqueles que têm de aderir a alguma norma ou regulamentação, como o PCI-DSS (Payment Card Industry – Data Security Standard), por exemplo.” Quanto aos demais segmentos, ele observa que muitas vezes a adoção de prevenção de perda de dados acontece, equivocadamente, de forma reativa, após um grande prejuízo, seja financeiro, seja de imagem, decorrente do vazamento de informações.
“O indicado é a ação preventiva, com gerenciamento das informações de toda a empresa feita de maneira constante e transparente, obedecendo às políticas da corporação e transcendendo o contínuo ciclo de desenvolvimento e amadurecimento dos processos”, diz o vice-presidente. Ele cita, como ilustração, o gerenciamento de identidades e acessos baseado em contexto (Content Aware IAM), em que um indivíduo, no momento em que é admitido na companhia, é enquadrado em perfil predefinido que delimita os seus acessos a sistemas, informações e dados.
Para Fernandes, as empresas não preparadas em termos de DPL estão sob riscos diversos, como perda da vantagem competitiva relativa à retenção de propriedade intelectual. Por outro lado, ele alerta que projetos mal conduzidos podem levar à falsa percepção de proteção ou estimular a saída descontrolada de informações por canais ainda não cobertos. Para driblar esse problema, ele aconselha que se comece com uma análise de risco das informações estratégicas da empresa, partindo para a identificação dos principais pontos vulneráveis ao vazamento de informações (como sistemas de email, dispositivos móveis, servidores compartilhados e estações de trabalho) e classificação das informações. “Com isso, pode-se determinar o alcance e priorização das medidas a serem adotadas”, diz o executivo, para quem o cuidado na hora de optar por uma solução de DLP é fundamental, a ponto de envolver todos os setores-chave da organização, como finanças, RH, comercial. “A solução deve se encaixar na estrutura organizacional de forma transparente e eficiente, com políticas e processos bem definidos”, declara.
Na percepção da CA, as perdas de dados ocorrem mais comumente devido ao mau uso da informação pelos próprios empregados. “Pesquisas indicam que 80% dessas perdas ocorrem acidentalmente.” O e-mail ainda é o grande vilão. Muitas vezes o vazamento ocorre no envio inocente de informação via blackberry, na utilização de pen drives ou outros dispositivos. “Ocorre também com a divulgação de informações confidenciais e estratégicas na forma de comentários e posts em sites e ambientes como o Twitter.”
O vice-presidente explica que é na etapa de classificação de informações que se determina a “sensibilidade” dos dados (sensitive datas), ou seja, informações cujo vazamento pode trazer maior ou menor impacto negativo às organizações. Ele ressalta, por outro lado, que essa sensibilidade não depende apenas do dado em si, mas de vários fatores, como quem a possui, área, lugar, hora e contexto no seu uso. “Por exemplo, por lei, informações contábeis de empresas com ações são publicadas, mas um vazamento prévio pode representar grandes prejuízos aos acionistas”, assegura.
Fernandes aproveita para ressaltar a importância da abordagem identity-centric (orientada a identidade) no gerenciamento de segurança da informação e em DLP. É importante, segundo ele, porque a simples análise do dado, desconsiderando o contexto de uso e os seus agentes (quem envia e/ou recebe a informação), pode resultar em políticas que restringem a agilidade operacional, aumentam o número de falsos alertas e incidentes. Isso pode abalar a credibilidade de toda a estratégia. “O acoplamento de estratégias de prevenção de perda de dados com processos como o de gerenciamento de identidades e perfis aumenta muito o nível de maturidade do controle das informações e traz melhor aderência a regulamentações e normas, além de elevar a conscientização geral dos usuários”, reitera.
Segurança sem paranoia
Na opinião de Fernando Fontão, gerente de Engenharia de Sistemas da Websense para a América Latina, DLP é algo que todo gestor de informática sempre fez, sem se dar conta. “Quando exigimos que um funcionário troque de senha todo mês ou restringimos o acesso de usuários a certas pastas na rede, estamos fazendo DLP de forma rudimentar”, diz. Fontão informa que a tecnologia de DLP tornou-se necessidade maior nos últimos anos porque os hackers passaram a agir como criminosos virtuais interessados em ganho financeiro, em combinação com a má gestão da segurança da informação nas redes. “É aí que entram os fornecedores de tecnologia, com o esforço de consolidar várias estratégias de DLP em uma suíte que possa ser usada de forma coesa, em lugar de vários sistemas de diferentes fabricantes”, alerta.
Segundo Fontão, a estratégia de DLP deve, entre outros cuidados, evitar que a “paranoia” da segurança interrompa processos legítimos e garantir o menor número possível de falsos positivos e falsos negativos. “A empresa não pode confiar que a DLP, sozinha, vai acabar com as fugas de dados. E deve assumir que a DLP é um processo contínuo a ser constantemente reavaliado e ajustado segundo a realidade de cada negócio”, conclui.
O gerente da Websense explica que a tecnologia de DLP, por meio dos métodos de classificação de informação, “aprende” sobre a essência da informação, gerando impressões digitais que podem ser detectadas mesmo se a informação for fragmentada ou modificada. Como exemplo dos recursos disponíveis, ele diz que o cruzamento da tecnologia de DLP com a de segurança do acesso à web permite que dados confidenciais sejam impedidos de chegar às páginas usadas por hackers, ao mesmo tempo que as informações ficam liberadas para uso em sites de aplicações corporativas na forma de SaaS. Segundo ele, mais de 70% dos ataques nos últimos anos utiliza a web como vetor, e uma das ações dos hackers consiste no uso de código malicioso para roubar informação e enviá-la, via internet, a servidor remoto já preparado para recebê-la.
No que se refere às empresas brasileiras, o executivo da Websense avalia que elas ainda pensam em DLP como solução que precisa ser implementada de uma vez, que requer uma reestruturação completa da rede e que leva ao menos um ano para ser implementada ao custo de milhões. “É um equívoco. A DLP pode começar por canais mais críticos e com os dados mais relevantes, e, a partir daí, ser expandida aos poucos”, informa Fontão. Segundo ele, essa abordagem leva a um refinamento das políticas, porque a empresa tem acesso a relatórios com o perfil típico das fugas, incluindo a porcentagem de tentativas intencionais de roubo de dados em comparação com fugas acidentais, e pode comparar a capacidade de soluções de DLP disponíveis no mercado. “O importante é que se pode obter benefícios de uma solução de DLP desde o primeiro dia da instalação dos primeiros módulos”, garante. O passo seguinte –diz ele, é estender a solução a outros canais e outros conjuntos de dados. ”Dando um passo de cada vez, a empresa obterá resultados úteis e mensuráveis, sem gerar estresse administrativo nem falsos-positivos que mais atrapalham do que ajudam”, finaliza Fontão.
Ameaças Internas
Confira como o comportamento de funcionários impacta a perda de dados. Os dados foram extraídos de pesquisa da Cisco com 2 mil empregados e profissionais de TI no Reino Unido, França, Alemanha, Itália, Japão, China, Austrália e Brasil:
Ameaças internas versus ameaças externas - a maioria dos profissionais de TI acredita que os empregados representam uma ameaça mais grave para a segurança dos dados do que o público externo. 39% apontam a negligência como a principal razão, e uma em cada cinco indicam trabalhadores descontentes com o risco de segurança de dados.
Discos rígidos portáteis - um em cada três profissionais de TI disse que os discos rígidos portáteis são a principal preocupação quanto à forma como os dados vazam - mais do que e-mail (25%), aparelhos perdidos ou roubados (19%) e comunicação verbal com não empregados (8%).
Aparelhos perdidos ou roubados – um em cada 10 profissionais teve algum dispositivo de uso corporativo perdido ou roubado no ano, gerando incidente de perda de dados que afetou a si ou a empresa.
Roubo e venda de informações e dispositivos – um em cada dez trabalhadores (11%) admitiu que roubou dados ou dispositivos corporativos para vendê-los, ou que conhece colegas de trabalho que fizeram isso.
Manter dispositivos corporativos após demissão - alguns funcionários admitiram manter seus dispositivos corporativos com acesso a informações depois de deixar seus empregos, para uso pessoal ou para vingança pelo desligamento.
Cinco passos para diminuir riscos de perda de dados
1 - Identifique os dados que precisam ser protegidos.
2 - Não assuma que os trabalhadores sabem quais dados devem proteger.
3 - Integre todas as entidades empresariais em uma mesma cultura de segurança.
4 - Proporcione a mesma educação de segurança em todos os lugares.
5 - Mantenha contato com os trabalhadores e suas atividades. [/private]
