Perda ou roubo de informações consiste nas ações de desvio de dados sensíveis das organizações em geral, seja por funcionários ou por intrusos em suas redes corporativas. A fuga da informação pode ocorrer por meio de um funcionário que desvia as informações confidenciais de uma empresa, por um intruso (“Hacker” ou “Cracker”) que invade os sistemas corporativos e copia ou indisponibiliza as informações corporativas ou simplesmente por incidentes como o furto de equipamentos empresariais com informações confidenciais, como laptops e smartphones.
[private] De forma geral, é sempre ruim para as empresas ter o desvio de suas informações. Afinal, existem várias formas de afetar os negócios caso informações sigilosas parem em mãos erradas.
Uma empresa de projetos industriais gasta cerca de dois anos em pesquisa e desenvolvimento de um projeto. Assim que o projeto está pronto para ser apresentado a um potencial cliente, ele se depara com um concorrente com um projeto idêntico ao dele, com alterações realizadas a poucas horas daquele momento, mas com custo 50% menor.
Como isso pode ter acontecido? Simples! Tal concorrente não gastou tempo, nem dinheiro desenvolvendo o projeto, apenas se apoderou de informações confidenciais da pesquisa realizada e “desenvolveu” seu próprio projeto.
Assim como “Hackers” podem invadir sistemas de lojas virtuais e roubar os números de cartões de crédito dos clientes pessoas mal intencionadas podem apoderar-se de equipamentos empresariais com informações confidenciais ou funcionários podem realizar cópias não autorizadas de documentos empresariais e vendê-los aos concorrentes ou publicá-los ao mundo de forma a expor a empresa.
Primeiramente, devemos direcionar o foco da proteção que queremos utilizar. Devemos identificar os pontos críticos da empresa e mapear todos os pontos de vulnerabilidade, definir as prioridades de cada um destes pontos críticos e aplicar as devidas proteções.
Eu poderia citar inúmeras formas de proteção, mas basicamente vejo três pilares para uma boa proteção: proteção dos dados sensíveis; proteção da rede e sistemas empresariais e educação ou instrução de usuários.
Para a proteção contra a perda ou roubo de informações, vejo soluções de mercado como Data Loss Prevention (DLP), que consiste em um software baseado em rede ou host (estação de trabalho) que realiza a verificação das mais diversas formas de fuga de informações.
Uma solução de DLP irá proteger contra o envio de informações classificadas como sensíveis para fora de seu contexto original como, por exemplo, anexos de e-mails, upload para webmails ou discos virtuais/FTP, impedir impressões indevidas, acessos não permitidos a arquivos, cópia ou digitação de documentos sensíveis, captura de telas e cópia para mídia externa (CD/DVD/Pen Drive) ou locais em notebook/smartphones. Dessa forma, torna-se quase impossível a saída indevida das informações de uma empresa.
Para casos de equipamentos que possuem direito de arquivos confidenciais armazenados localmente ou em seus e-mails, e que sejam passíveis de roubo ou extravio (laptops, notebooks, smartphones, etc.), e de necessidade de transmissão de arquivos confidenciais – via e-mail, portais, etc. – indico soluções de criptografia parcial (pastas e arquivos) ou completa (para todo o disco local). É muito importante lembrar que, apesar das mais avançadas ferramentas de proteção e prevenção contra fuga ou perda de dados, a educação dos usuários, principalmente com maiores privilégios administrativos, é um fator crucial.
Para que qualquer solução seja efetiva, é necessário que a empresa possua políticas e normas internas, assim como uma postura de educação de seus usuários, para prevenir que tais atos aconteçam. Afinal, uma das formas mais eficazes de intrusão a uma rede é pela “engenharia social”, ou seja, a forma que uma pessoa mal intencionada encontra através da enganação ou exploração da confiança de pessoas ligadas à empresa em questão, para obter acesso a sistemas ou informações sigilosas. [/private]
* Texto escrito por Leonardo Borba, Engenheiro de Sistemas na ApliDigital