O novo desafio: Proteção de dados

 

 

Olá pessoal,

Ando meio sumido, é fato. Muitas atribuições na vida profissional e pessoal.
Prometo ser mais presente nos próximos meses e produzir mais conteúdo para vocês,🙂.

Hoje gostaria de falar um pouco sobre um dos maiores desafios de segurança da informação,
em tempos de nuvem, seja ela privada, pública ou híbrida: A proteção de dados.

O que move as corporações hoje são as informações. Independentemente do tamanho, as empresas são feitas de pessoas e dados. Dados financeiros, carteira de clientes, projetos, planejamento estratétigico e por ai vai. E , cada vez mais, no mundo conectado, a possibilidade da informação evadir da empresa sem o nosso conhecimento é real e pode estar acontecendo exatamente nesse momento no seu trabalho.

Vamos pensar em um exemplo clássico de evasão de informação (notem que eu estou usando o termo “evasão”).

Alberto trabalha na empresa A, na área de finanças. O fim do ano está chegando e Alberto tem participado de muitas comemorações internas da empresa. E isso, obviamente, acabou por atrapalhar um pouco seu rendimento.

Nesse período, a área de finanças precisa ter os balanços do ano prontos. E Alberto tem responsabilidade sobre isso.

Para compensar essa queda na produtividade, Alberto decide enviar a planilha de custos e lucros da empresa para seu e-mail do hotmail, para que ele possa trabalhar de casa e terminar seu trabalho. À partir do momento em que Alberto enviou a planilha para seu e-mail pessoal, a informação sai do âmbito da empresa e passa para o “limbo”, visto
que ela sai dos controles da corporação e faz parte do “acervo” do computador de Alberto.

E assim acontece a evasão. Informação perdida. O que Alberto vai fazer com esses dados agora, vai depender exclusivamente da índole e vontade dele. O que impede Alberto de enviar esses dados para a empresa B, concorrente da A e que vem
assediando Alberto à tempos para que ele “mude de chapéu”? Basicamente, apenas o comportamento moral dele. Nada mais.

Cenários como o descrito acima são mais comuns do que pensamos. Existem estudos que apontam que mais de 60% dos profissionais que saem das empresas, levam documentos das mesmas, sem o menor controle ou regra.
Nesses documentos temos padrões de documentação da empresa, projetos, pré-projetos, propostas comerciais e por ai vai.

Ainda existem os cenários onde existe a intenção (dolo), no que diz respeito ao roubo da informação. Gosto muito de uma frase que diz : “Informação é poder. Se você tem informações sobre algo ou alguém, tem poder sobre ela”.

Num cenário onde temos dados armazenados na nuvem (Office365, GoogleApps,Azure,Amazon, etc…), a coisa fica ainda mais crítica.
O usuário tem acesso ao dado no smartphone, no quiosque da esquina, no computador de casa. Como controlar tudo isso??

É preciso atentar para as ferramentas de DLP que existem hoje disponíveis no mercado, para nos ajudar a vencer esse desafio.
Necessitamos evoluir junto com as novas tecnologias, de forma a podermos garantir que nossas informações, que são o “ouro” da empresa, permaneçam sob nossa guarda, sob nossos olhos atentos e que apenas os dados, e não as pessoas, autorizados, sejam passíveis
de compartilhamento.

Como assim os dados e não as pessoas? Simples. Vamos supor que a planilha que citei no exemplo estava em um compartilhamento de rede, onde APENAS as pessoas autorizadas teriam acesso. Alberto, por ser do financeiro, POSSUI acesso ao dado e PODE alterar, copiar, apagar,imprimir, dentre outras ações.

O que eu faço para impedir que Alberto retire essa informação da empresa, já que ele, efetivamente, POSSUI direitos sobre ela?

A resposta é simples: DLP.

Eu preciso basicamente, evitar que a pessoa que POSSUI acesso, que PODE alterar ou copiar o dado possa ENVIAR, IMPRIMIR,TIRAR SCREENSHOT ou algo similar para roubar/evadir essa informação.

E o que a Microsoft oferece nesse sentido? Destaco 2 produtos.

1 – AD-RMS (Active Directory Rights Management Services), que é integrado a plataforma Windows Server desde o 2003 R2, além de não ser
necessário licenciar ele para uso. É gratuito. Faz parte do Windows. É só instalar e configurar.

2 – Exchange Online Data Loss Prevention. Faz parte do serviço do Exchange online (à partir do plano 2) e é configurado através da console de administração.
Garante diversos tipos de controles acerca das informações que trafegam via e-mail na corporação.

Querem conhecer mais sobre ambos?

Leiam aqui:

Exchange Online Data Loss Prevention
http://technet.microsoft.com/en-us/library/jj150527(v=exchg.150).aspx

AD-RMS Windows 2012 R2
http://technet.microsoft.com/en-us/windowsserver/dd448611.aspx

Boa leitura, pessoal!

[]´s

Alberto Oliveira,CISSP
Microsoft MVP, Enterprise Security

Sobre Alberto Oliveira

Consultor de segurança da informação CISSP; Microsoft MVP - Forefront; MCSA/MCSE : Security, MCT, MCTS, MCITP; ComTIA Security Itil V2 Foundations
Esse post foi publicado em Uncategorized e marcado , , , , , . Guardar link permanente.

4 respostas para O novo desafio: Proteção de dados

  1. Éder Gondim disse:

    Muito bom a introdução do assunto DLP. Contudo, Eu tenho uma grande duvida… sabemos que existem diversas ferramentas e com poderes enormes de atuação e isso são dos mais diversos ERP, System Center, Proxys enfim… e que por diversas vezes temos uma má utilização dentro das corporações, motivada pela cultura de uso. A ferramenta antes ou na fase de implantação que resolveria “TODOS OS PROBLEMAS” vira apenas um serviço agregado. Como evitar isso no DLP? sabendo que para a solução proposta pelas ferramentas o sucesso depende diretamente da Cultura empresarial e do entendimento do ser ( Recurso Humano)?

    • Eder, a grande questão do DLP é quem é o “sponsor”. Em geral, TI não se envolve, de forma direta, com a implantação de uma solução de DLP, devido ao fato de que isso envolve, diretamente, dolo (intenção de roubo) e falha de procedimentos. Um projeto como esses NECESSITA de apoio da direção. Até porque envolve propriedade intelectual e perda financeira. Dessa forma, o que a gente encontra em outras ferramentas (Firewall, Proxy, etc…) meio que perde o sentido em um projeto de DLP, porque o tipo de “coisa” que é tratada é sensivel e envolve, diretamente, dinheiro. Nos demais produtos, temos essa percepção financeira indireta. No DLP, o benefício é direto e perceptível. Respondi?🙂

  2. Nadilson Júnior disse:

    Muito bom !!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s