Quentyn Taylor
Director de Segurança de Informação, Canon Europa
Actualmente, se falar com qualquer gestor sénior, irá provavelmente ouvir a velha máxima de que “as pessoas são o maior activo da minha organização”. Mas, coloque a mesma questão a um CIO ou a um gestor de TI e a resposta será certamente muito diferente – é a informação, e não as pessoas, que faz a empresa funcionar com sucesso. Naturalmente que os colaboradores são necessários para criar essa informação, mas os dados guardados por uma empresa (informação de clientes e concorrentes, mercado, financeiros, registos de RH, etc.) e a sua protecção são factores-chave para que uma organização possa operar com êxito e manter o seu crescimento futuro.
Desta forma não surpreende que a perda de dados cause tão grande receio no seio da indústria de TI e de segurança… e com razão. Quer se trate de perdas acidentais ou resultantes de factores externos, como o hacking, o resultado final acaba por ser sempre o mesmo – um grande embaraço para os clientes e para a empresa, que pode resultar em danos para uma marca ou, em casos graves, em pesadas multas, em potencial falência e até mesmo em prisão.
Em alguns sectores existem regulamentos, tais como o Basel_II e o PCI DSS, no sector financeiro, ou a Directiva Europeia de Protecção de Dados, que exigem um controlo sobre as informações das empresas. No entanto, apesar destes regulamentos, as contínuas manchetes dos media sobre perdas de dados ainda alertam que pode ser feito mais no sentido da protecção do maior activo das empresas.
Com isso em mente, não é surpreendente que a Prevenção de Perda de Dados (Information Data Loss Prevention ou IDLP) continue a preocupar os profissionais de segurança da informação, que têm inúmeras soluções disponíveis para travar a perda de dados nas suas organizações. Estas soluções empresariais normalmente utilizam técnicas para classificar dados estáticos (armazenados), em utilização (operacionais) ou em movimento (rede). De seguida, são aplicadas políticas por forma a permitir ao sistema decidir se permite que as informações sejam processadas, se alerta o utilizador ou, simplesmente, regista a actividade. Este processo pode ser baseado em factores como a classificação ou em solicitações de utilização por parte dos utilizadores.
No entanto, apesar do maior foco em IDLP, ainda existem lacunas nos processos de segurança de dados que podem ter consequências significativas. No ano passado, agências de notícias nos Estados Unidos e no Reino Unido alertaram que os equipamentos multifunções (EMF) em rede podem constituir um risco oculto, na medida em que a informação guardada nos seus discos rígidos pode, potencialmente, conter dados valiosos e confidenciais.
Enquanto que as soluções IDLP gerem a segurança da informação nas estações de trabalho, os equipamentos multifuncionais são muitas vezes ignorados e não são considerados como potencial ameaça. Esta situação é evidenciada porque a implementação e a administração dos EMF está, muitas vezes, fora do controlo das equipas de TI e de Segurança de Informação, o que significa que os mesmos procedimentos e políticas vigentes na empresa nem sempre são mantidos. Se considerarmos que quase um quarto das violações de segurança ocorre através de “registos em papel” (Ponemon Institute, Fevereiro de 2008), poderemos então compreender o nível de risco a que as organizações se estão a expor!
Estes equipamentos multifuncionais são frequentemente partilhados entre departamentos, equipas, projectos (e mesmo entre empresas), pelo que os riscos são extremamente elevados. Eles podem enviar e-mails, transferir arquivos (ftp), funcionar como servidores Web e de eFax mas, a maior parte das vezes, não são controlados com o mesmo grau de exigência dos servidores de e-mail ou Internet da empresa.
Para destacar uma potencial ameaça, imagine este cenário. Qualquer pessoa com acesso a um equipamento desse tipo poderá copiar um documento abandonado e enviá-lo para fora da empresa (por eFax), sem com isso utilizar um PC ou um servidor de rede, ultrapassando completamente, deliberadamente ou acidentalmente, todas as soluções de IDLP existentes. Sempre que se ouve falar que uma organização, privada ou pública, partilhou inadvertidamente registos confidenciais de clientes ou de negócios – seja por e-mail ou através de computador portátil extraviado – compreendemos a necessidade de implementar sistemas adequados para proteger os dados sensíveis. Por exemplo, os sistemas de eFax podem reconhecer informações sensíveis contidas dentro de um documento e pedir ao remetente a sua confirmação. Esta tecnologia inteligente pode garantir que sejam evitados incidentes, embaraçosos e danosos, de perda de dados. Também deixam claro que a protecção de dados deve estender-se a todos os pontos em que exista informação – muitas vezes, nos equipamentos multifuncionais.
Felizmente, existem actualmente sistemas que ajudam as organizações a proteger os dados do negócio e as informações que se encontram armazenadas nos EMF e que, assim, complementam a infra-estrutura de DLP. Por exemplo, a solução uniFLOW v5 da Canon utiliza tecnologia de reconhecimento através de palavras-chave para classificar automaticamente os dados nos documentos processados e decidir como eles devem ser tratados, com base num mecanismo flexível de fluxo de trabalho. Esta solução fornece às organizações uma ferramenta eficaz para aplicar as suas políticas e controlo de IDLP nos equipamentos multifuncionais, que podem ser a origem de fugas de informação.
Não há dúvida que as redes de TI estão-se a tornar mais seguras, visto que elas são um foco importante da segurança corporativa. Os equipamentos multifuncionais, em contraste, não recebem a mesma atenção e parecem ser mais vulneráveis a ataques. De facto, em muitos casos, estes equipamentos ficam completamente desprotegidos, pelo que têm de ser implementadas soluções para proteger os dados e melhorar a política de IDLP das organizações.
Proteger o principal activo da sua organização significa olhar para o fluxo de informação completo na empresa. Isso inclui os EMF, que tradicionalmente têm sido ignorados como ameaça potencial de segurança mas que podem ser facilmente protegidos, através da implementação de tecnologias que protegem dados corporativos e informações em todos os equipamentos multifuncionais.
O IDLP pode ser difícil de implementar, especialmente onde não exista nenhuma norma regulamentar, mas pense nele como uma apólice de seguro contra o pior cenário… Hoje, um armário trancado já não é suficientemente sofisticado para proteger o seu negócio contra a perda de dados importantes e suas graves consequências!