Como o efeito Snowden está a paralisar os CIOs

Se até mesmo a NSA pode ser vítima de um mago informático, como defender os seus dados?

Pouco importa se Edward Snowden – o especialista em computação agora infame que roubou informações secretas da Agência de Segurança Nacional (NSA) e as entregou ao jornal The Guardian no início deste Verão – é um herói ou um criminoso. Não há como negar o impacto que este técnico em computação está a ter nos líderes de TI. No rescaldo da iniciativa de Snowden, os CIOs estão a sentir-se um pouco impotentes.

“Se isto acontece com a NSA, que deve ter ferramentas incríveis para impedir a divulgação de dados por colaboradores ou em grande escala, é melhor ter muito cuidado”, diz Jeff Rubin, vice-presidente de estratégia e desenvolvimento de negócio da Beachhead, uma empresa de segurança móvel.

Uma nova geração de funcionários desonestos
Há poucas dúvidas de que os CIOs estão a sofrer com o efeito Snowden.

Snowden representa um novo tipo de funcionário não autorizado ou terceirizado: o “milennial tech-savvy” armado com computadores pessoais que pode ter acesso a  dados altamente sensíveis. Os CIOs terão de lidar com esta ameaça, mais cedo ou mais tarde. O velho pensamento de depender da criptografia para proteger os dados não será suficiente no actual ambiente de computação corporativo.

Snowden traçou um plano para o furto de dados numa das organizações mais seguras do planeta, sem dúvida. A sua idade é um factor importante. Ele é um típico “milennial“, profissionais de tecnologia de 20 e poucos anos que estão inundando as corporações em todo o mundo. Os “millennials” estão prestes a  tornarem-se o maior segmento da força de trabalho, de acordo com o Bureau of Labor Statistics dos EUA. Em 2015, eles serão a maioria.

Dois terços dos “millennials” avaliam o seu talento em tecnologia como de “vanguarda” ou de “nível superior”, de acordo com a CompTIA. Snowden, que uma vez se descreveu a si mesmo como um “mago do computador”, não apenas ganhou acesso a dados sensíveis, como se comunicava com os meios de comunicação usando um e-mail criptografado sob o nome de código Verax.

Para os CIOs, o aviso é claro: o seu próximo funcionário pode ser bom a encontrar maneiras de contornar os seus planos de segurança mais bem elaborados.

Jeff Rubin duvida que Snowden tenha contado só com as suas capacidades técnicas para fazer o que fez. Em vez disso, Rubin acredita que Snowden tenha empregado tácticas de engenharia social para obter acesso a computadores e fazer o download de dados para “pen drives” e, eventualmente, para os seus computadores pessoais.

“Meu palpite é que ele teve o acesso facilitado por funcionários da NSA, já  que ele estava lá para trabalhar nos seus computadores. Bastou ganhar a confiança deles”, diz Rubin. “Ele pode ter ido tão longe quanto dizer-lhes: ‘você pode receber um aviso no ecrã de que há algum tipo de intrusão, mas isso é só comigo, não se assuste”.

A ideia de que Snowden provavelmente usou os seus computadores pessoais e “pen drives” também deve ser alarmante para os CIOs, especialmente diante da massificação dos programas de BYOD, diz Rubin. Com BYOD, mobilidade e serviços de armazenamento na nuvem, como o Dropbox, as chances de divulgação de dados corporativos são maiores do que nunca.

De facto, um dos clientes da Beachhead reverteu recentemente a sua política de BYOD por causa dos riscos de segurança. Se um funcionário desta empresa agora quer um iPad, por exemplo, a empresa vai comprá-lo e geri-lo em vez de permitir que o iPad faça parte de um programa de BYOD.

Criptografia não é suficiente
Outra lição que os CIOs podem aprender com Snowden é a necessidade de segurança multicamada, ou gatilhos automáticos para limpar dados. Muitas empresas dependem de criptografia para manterem os seus dados seguros. Mas, uma vez que um funcionário tenha a password, a criptografia passa a ser inútil.

Rubin diz que o caso Snowden destaca a necessidade de gatilhos que eliminem os dados para lá de uma geobarreira, após um determinado número de logins ou periodicamente, sem um intervalo de tempo determinado.

Além disso, as empresas podem querer olhar para a autenticação multifactor de dados e controlos de acesso para evitar que trabalhadores desonestos como Snowden vejam os dados, em primeiro lugar, diz Rubin.

Dada a capacidade de Snowden furtar da NSA, junto com o crescimento dos “tech-savvy millennial” e do BYOD, os CIO estão a sentir a perda de controlo sobre os dados corporativos.

“Está a acontecer a muito depressa”, diz Rubin. “Acho que as empresas estão um pouco paralisadas”.
(Tom Kaneshige, CIO/IDG Now!)




Deixe um comentário

O seu email não será publicado