Um estudo da Quocirca, patrocinado pela CA, indica a falta de tempo e de recursos, seguidos da grande quantidade de processos manuais (pontuadas com 2,82)como razões para os responsáveis de TI não resolverem questões de conformidade.
A CA divulgou resultados de um estudo europeu da Quocirca sobre segurança de TI segundo os quais apenas 28 por cento das organizações europeias têm implantada alguma tecnologia de prevenção de perda de dados (DLP, a sigla em inglês). Se não foram tomadas as medidas necessárias para identificar os dados confidenciais ou sensíveis de toda a empresa, e para protegê-los face à sua perda ou uso indevido, as organizações correm o risco de graves consequências como quanto ao cumprimento de políticas ou regulamentações, danos na reputação da sua marca e a redução da sua competitividade. O relatório, intitulado “You sent what? Linking identity and data loss prevention to avoid damage to brand, reputation, and competitiveness” foi realizado em 14 países: Alemanha, Bélgica, Dinamarca, Espanha, Finlândia, França, Holanda, Irlanda, Israel, Itália, Noruega, Portugal, Reino Unido e Suécia.
De acordo com o estudo, os departamentos de TI esforçam-se por responder a questões relacionadas com a conformidade com o padrão Payment Card Industry Data Security Standard (PCI DSS) e a norma de segurança da informação ISO 27001. Surpreende o facto de, na generalidade, as empresas desconhecerem como a tecnologia pode ajudá-las, e não são capazes de convencer aos responsáveis das linhas de negócio quanto aos riscos que correm para justificar o investimento necessário nas TI. Isto sucede apesar de muitas organizações preverem que a privacidade de dados seja a área de regulamentação que mais os venha a afectar nos próximos cinco anos (com a gravidade do problema pontuada com 3,2 numa escala de 1 a 51).
Falta tempo e recursos
A falta de tempo e de recursos, seguidos da grande quantidade de processos manuais (pontuadas com 2,82) faz com que responsáveis de TI tenham dificuldades para resolver as questões de conformidade, segundo o relatório. A maioria das organizações entrevistadas também admite que falta uma “visão de conformidade” (pontuação 2,7). Todos estes problemas poderiam resolver-se facilmente se levassem a cabo a monitorização e controlo dos seus dados, de maneira mais efectiva. No entanto, isto parece não ser prioritário: o estudo revela que o ‘seguimento do uso dos dados’, pontuado com 2,5, não é considerado um obstáculo para o cumprimento de normativas.
Malware é preocupação principal
O malware continua a ser a principal preocupação para os gestores de segurança TI (pontuado com 2,9 numa escala de 1 a 53), e, normalmente, combate-se com soluções de segurança do perímetro e controlo de conteúdo que entra. O resto das principais ameaças citadas pelos inquiridos está relacionado com o uso dos dados dentro da organização: uso de Internet (2,7), gestão de dados sensíveis ou confidenciais (2,7) e a actividade de utilizadores internos e externos (2,7). As três têm em comum o facto de partilharem dados entre os utilizadores, na generalidade através da Internet, e este é o cenário que está por detrás de muitos dos incidentes bem conhecidos e nos quais se perderam dados confidenciais.
Arquitectura pode ajudar
Uma arquitectura orientada à conformidade poderia ajudar a aliviar o problema da perda de dados porque associa o uso dos dados com as pessoas através de políticas de aplicação obrigatória segundo a CA em comunicado. A arquitectura orientada ao conformidade é definida pelo fabricante como “um conjunto de políticas e melhores práticas que se faz cumprir sempre que seja aplicável com tecnologia, minimizam a possibilidade de perda de dados e proporcionam um registo de auditoria para poder investigar as circunstâncias em caso de violação da segurança.”
Para que uma arquitectura orientada à conformidade seja efectiva, deve constar de três elementos, na visão da CA:
– Soluções de gestão de identidades e acessos que permitam compreender as funções e responsabilidades das pessoas, definir e fazer cumprir os seus privilégios. Apenas 24% das organizações europeias contam com um sistema de gestão de identidades e acessos completo.
– Capacidade de localizar e classificar os dados. Nesse sentido, somente 50% dos inquiridos afirma dispor de um sistema para tal.
– Metodologia para fazer cumprir as políticas que associe as funções ou papéis das pessoas com o uso que fazem dos dados. Muitas ferramentas de prevenção de perda de dados automatizam o segundo e o terceiro dos requisitos anteriores, ainda que em diferentes graus, mas, como verificámos, apenas 28% das organizações europeias utiliza este tipo de ferramentas.
Maiores benefícios de acordo com o estudo
As organizações que adoptam todos os elementos da arquitectura orientada ao cumprimento obtêm os benefícios desta aproximação de distintas formas:
– 41% dos inquiridos com um sistema completo de gestão de identidades e acessos não têm problemas com o cancelamento seguro dos direitos de acesso dos empregados; essa percentagem baixa para 3% relativamente às companhias que não contam com semelhante sistema.
– Mais de 90% das organizações que implementaram tecnologia DLP afirmam que estão bem preparadas para proteger a sua propriedade intelectual e os dados pessoais, enquanto apenas 26% dos que não têm DLP reconhecem que o está.
– Uma arquitectura orientada à conformidade não tem de inventar-se a partir do zero, mas pode basear-se em standards de segurança amplamente adoptados, como a ISO 27001. O inquérito revela uma forte correlação entre ambos: 43% das organizações que adoptaram o standard ISO 27001 contam com uma solução completa de gestão de identidades e acessos, e 49% também utilizam ferramentas de DLP. Portanto, é evidente que estas tecnologias podem fazer com que uma organização dê um importante salto no sentido de um melhor cumprimento das regulamentações.
Segurança é fundamental para o modelo de cloud computing
À medida que as organizações adoptam cloud computing para processar e armazenar dados numa infra-estrutura gerida por terceiros têm uma maior necessidade de aplicar políticas de segurança ao nível dos dados. O inquérito da CA sublinha que a segurança informática é um factor-chave para tornar possível o uso de “cloud computing” (pontuado com 3,2 numa escala de 1 a 54, a segunda pontuação mais alta depois do “uso da virtualização” como tecnologia-chave para facilitar o cloud computing). As ferramentas DLP ajudam a compreender a sensibilidade dos dados e permitem tomar decisões em tempo real sobre o que se pode e o que não se pode processar e armazenar em cada ambiente cloud. Não deve esperar-se que os empregados compreendam todos os problemas porque é provável que não tenham consciência de que copiar um documento de um ponto ao outro significa movê-lo de uma infra-estrutura gerida internamente para outra gerida por terceiros.
Metodologia do inquérito
O estudo foi realizado pela Quocirca, uma empresa de investigação e análises especializada no impacto das TIC no negócio. Na segunda metade de 2009 foi levado a cabo um total de 270 entrevistas a directores de TI, responsáveis de segurança TI e outros administradores de TI de empresas de 14 países europeus (Alemanha, Bélgica, Dinamarca, Espanha, Finlândia, França, Holanda, Irlanda, Israel, Itália, Noruega, Portugal, Reino Unido e Suécia). As empresas inquiridas enquadram-se nos sectores de telecomunicações e meios de comunicação, indústria, serviços financeiros e administrações públicas.