proteção de dados - Future Technologies

5 junho 2018

adm.future

0

Categories: Blog, Segurança

6 métodos organizacionais para proteger as informações da sua empresa

Segundo o Gartner, os gastos mundiais com segurança da informação superaram os US$ 86 bilhões. E em um ano, as empresas gastarão pelo menos US$ 93 bilhões para proteger seus dados. Os fabricantes têm oferecido aos seus clientes as tecnologias mais modernas com elementos de inteligência artificial e treinamento computadorizado, e os provedores de serviços estão cada vez mais personalizados. Enquanto isso, os métodos básicos de segurança da informação permanecem os mesmos. Vamos descobrir quais são esses métodos e quando sua implantação exige apenas simples ferramentas integradas ao sistema operacional.

1 – Proteção contra riscos “humanos”

Do ponto de vista da segurança da informação, a causa mais provável de vazamento interno é o usuário que acessa regularmente os recursos e dados da rede corporativa. De acordo com uma pesquisa da IBM e do Ponemon Institute, em 74% dos incidentes, a falha do usuário desempenhou um papel decisivo. Portanto, deixaremos fora da análise recusas e avarias de equipamentos, epidemias de vírus, proteção contra ataques de hackers, inspeção de tráfego, análise de registros e outros métodos de combate contra ameaças tecnológicas. Vamos nos concentrar no usuário como o ponto fraco da segurança da informação.

2 – Aumento da capacitação de usuários

Por que os usuários cometem erros? Na maioria das vezes – por falta de conhecimento e imprudência. A estabilidade do sistema de proteção da informação é diretamente proporcional à capacitação e responsabilidade dos usuários. Treine seus funcionários, faça com que eles – literalmente – decorem o regulamento de trabalho com informações confidenciais, exclua a possibilidade de obtenção “não oficial” de privilégios, burlando as regras de segurança. Explique a gravidade das perdas em caso de negligência ou não conhecimento, consolide a responsabilidade pessoal e financeira de cada funcionário.

3 – Monitoramento dos direitos de acesso

Antes de tudo é necessário realizar uma auditoria para determinar os níveis de acesso e o contexto de trabalho dos usuários com documentos e arquivos.

Em pequenas empresas, a compreensão sobre a hierarquia dos usuários e níveis de acesso sempre está ao alcance do administrador de sistemas experiente. Para o qual, ferramentas padrão já serão suficientes para monitorar privilégios e gerenciar os direitos de acesso a todos os recursos e programas.

Para monitorar os direitos em empresas de médio porte, é preferível a utilização de ferramentas centralizadas, que analisam a rede corporativa e determinam automaticamente o excesso de autoridade ou ações potencialmente perigosas do usuário com relação às informações. Essa função pode ser desempenhada, por exemplo, pelos sistemas SIEM.

Em grandes empresas, recomenda-se uma automação da auditoria mais profunda sobre os direitos, com o auxílio de ferramentas especializadas da classe IDM. A implantação e o acompanhamento das soluções IDM é quase sempre, um processo exclusivo que leva em conta as especificidades de um setor em particular e de cada cliente.

O princípio mais importante do monitoramento, seja em um modo “manual” ou automatizado, é a auditoria diária de todos os objetos de acesso. A intenção é limitar a possibilidade de os usuários criarem novos objetos por conta própria e monitorar cuidadosamente a alteração dos privilégios de acesso a objetos já criados. Caso contrário, a qualquer momento aparecerá no computador da secretária uma pasta com acesso público, contendo um relatório financeiro anual.

4 – Limitação dos direitos de acesso

O próximo passo é o “corte” de direitos: quanto menos possibilidades de realizar violações intencionais ou acidentais o usuário tiver, maior o nível de proteção da informação. Dois procedimentos importantes precedem a limitação de direitos.

Primeiro, é necessário fazer uma lista das pessoas com direitos legítimos de posse de informações críticas na empresa. Em segundo lugar – regulamentar claramente as obrigações dos funcionários, definir os recursos e os documentos necessários para um processo de trabalho ininterrupto. Por exemplo, se um contador ficar sem acesso ao gerenciamento de tarefas do departamento de desenvolvimento e não tomar conhecimento sobre quais tarefas estão na lista do departamento de suporte técnico, o trabalho do departamento de contabilidade não será paralisado. Da mesma forma, se tirarmos de um engenheiro o acesso ao site corporativo para edição de notícias, o processo de desenvolvimento dos produtos também não será afetado.

A escolha das ferramentas para a limitação dos direitos de acesso é uma “questão de gosto”. Para isso, também podem ser usadas ferramentas Active Directory, os serviços Web e opções integradas de aplicativos – qualquer produto de TI dos dias de hoje oferece a possibilidade de organizar os níveis de acesso de uma forma ou de outra.

Sendo importante apenas que a limitação dos direitos do usuário no ecossistema corporativo tenha adquirido as qualidades de uma operação cíclica. À medida que a empresa se desenvolve, ocorrem mudanças nos processos empresariais ou nas escalas de pessoal, inevitavelmente surgirão usuários com direitos insuficientes ou o contrário. Portanto, a auditoria e a distribuição de funções devem ser realizadas regularmente.

5 – Criptografia

Em qualquer rede corporativa, sempre existem informações críticas, que não poderão ser protegidas apenas limitando o acesso a elas. Um exemplo simples e óbvio – os dados pessoais de funcionários. Uma proteção adicional para dados vulneráveis é fornecida por meio de criptografia.

A criptografia é um método simples e acessível de proteção de informações, garantindo o movimento seguro dos dados dentro da empresa e através da Internet, quando os funcionários enviam informações pela rede, por exemplo, na troca de documentos através do servidor de arquivos ou quando enviam e-mails. Além disso, a criptografia protege contra ameaças físicas, incluindo roubo ou perda de laptops, de dispositivos conectados e mídias de armazenamento externo. Em qualquer uma dessas situações, os dados criptografados serão inúteis aos invasores.

A linha de ferramentas criptográficas varia desde ferramentas integradas do sistema operacional e dispositivos de rede de hardware para criptografia de tráfego até gateways de criptografia dos canais de comunicação e recursos de criptografia especializados, por exemplo, a criptografia de banco de dados.

Praticamente todos os algoritmos de criptografia usados em produtos de TI são confiáveis e capazes de proteger os dados. Com certeza há diferenças, mas na prática, isso não importa. Os dados, criptografados até pelos meios mais simples de criptografia, na grande maioria dos casos, permanecerão inacessíveis a qualquer intruso.

Outra característica do uso do método de criptografia está relacionada à influência sobre a velocidade dos processos de trabalho. O uso excessivo da criptografia atrasa o trabalho, por exemplo, durante a transmissão de informações para uma unidade flash USB, o uso de algoritmos excessivamente criptografados pode exigir do usuário de 2 a 3 vezes mais tempo do que os algoritmos clássicos.

A medida adequada de criptografia significa optar por um algoritmo rápido e imperceptível, sem riscos objetivos de exposição. Do ponto de vista dos negócios, é absurdo diminuir o ritmo de trabalho da empresa com algoritmos criptográficos complexos, apenas para garantir que invasores não gastem dezenas, mas centenas de anos para decifrá-los. Por isso, as informações nos pontos de extremidade são mais frequentemente criptografadas por um software especializado não muito sofisticado ou por ferramentas integradas do Windows.

Mesmo com todas as vantagens, a criptografia não protege contra o fator humano. Os usuários têm acesso a recursos e “chaves” de arquivos criptografados. Para proteger as informações corporativas das atividades de agentes internos, é preciso ir além – para a análise de conteúdo.

6 – Análise de conteúdo

A análise de conteúdo responde a perguntas como, com quais informações o usuário está trabalhando e se essa informação é (um documento ou arquivo específico) crítica para a empresa.
Para isso, é necessário levantar o “inventário” de arquivos e documentos, que estão armazenados em pastas compartilhadas e nos discos rígidos dos computadores de usuários, em bancos de dados, NAS corporativos (armazenamento em rede), SharePoint, servidores Web e outros objetos do sistema TI. É necessária uma ferramenta que detecte informações de acesso restrito em qualquer “canto negligenciado” da infraestrutura corporativa.

Resultado

A proteção de informações confidenciais é um processo cíclico, que depende em grande parte de métodos organizacionais e não técnicos. O treinamento de usuários quanto às regras de segurança da informação, o monitoramento e a limitação dos direitos de acesso, a criptografia de dados, e a implantação de sistemas de segurança todos estes métodos fornecem proteção confiável apenas diante de uma abordagem lógica e integrada. A combinação correta dos métodos básicos pode aumentar significativamente a segurança dos dados corporativos e impedir a possibilidade de vazamentos acidentais de dados ou a divulgação deliberada de informações confidenciais.

A Future possui Soluções que podem deixar seus dados e de sua empresa mais seguros. Clique aqui e conheça nossas Soluções de Segurança!

Fonte: CIO.

Vamos pensar em privacidade?

Ainda que a sua empresa não esteja baseada em território Europeu, o Regulamento Geral de Proteção de Dados (GDPR), que entra em vigor nesta sexta-feira (25/5), influenciará em algum nível a forma como lidar com as questões de privacidade. De maneira mais direta, se a sua empresa tem operação naquele continente ou se processa dados de cidadãos europeus, o regulamento já se aplica. Com a globalização, não é um cenário improvável que um de seus clientes tenha origem estrangeira. Portanto, não se preparar para lidar com essa nova realidade, pode causar perdas financeiras e, o que parece ainda mais prejudicial, perda da confiança dos clientes.

Outro nível de influência é o debate que o GDPR suscita. Quais razões levaram este grupo de países a aderirem? Como os indivíduos passarão a se comportar após a vigência e resultados do regulamento? E, mais importante, como se preparar para atender às regras e estar em conformidade com o regulamento? Todas essas perguntas orientarão mudanças nas políticas de segurança e compliance das empresas.

A despeito do GDPR, o tema do cuidado com a privacidade não é novo. No entanto, diversos casos recentes de vazamentos de dados apontam para um ultimato. Não é apenas o prazo de vigor do GDPR que se aproxima: é o alerta para as empresas de que é hora de considerar com detalhes quais práticas ajudarão a elevar o nível da segurança da informação. O regulamento europeu é apenas consequência do contexto atual da cibersegurança.

E esse tema também não é inteiramente novo em terras brasileiras. O Marco Civil da Internet prevê uma série de deveres relativos a proteção de dados pessoais e comunicações privadas, além do armazenamento seguro e sigilo dos registros. Mas, o regulamento europeu já versa sobre aquilo que o Marco Civil brasileiro ainda pode avançar: transparência.

Com esta demanda no escopo, toda empresa precisará implementar novos procedimentos administrativos, políticas e controles de segurança que assistam na necessidade de gerir corretamente os dados de clientes. Porque não há privacidade e transparência sem segurança. A notificação obrigatória de falhas, que facilitará o mapeamento de responsabilidades, também oportunizará a adoção de tecnologia para previsão de vulnerabilidades, correção e mitigação de riscos. Por outro lado, a governança de dados, que é crucial para proteger clientes, também envolve segurança desde o escopo. A partir destes requerimentos, emergirá um novo conceito corporativo de qualidade e confiabilidade.

Para endereçar os requisitos de conformidade, muitas empresas deverão passar por uma revolução em termos de quais tecnologias deverão ser adotadas. O desafio vai além da coleta e do armazenamento dos dados. Como e onde armazenar, quais controles de segurança serão implementados, qual a abrangência de cenários de ameaça e de risco são endereçados por estes controles, quais critérios orientarão a gestão dos dados. E ainda mais importante, que tecnologia a empresa pode adotar para desempenhar duas missões: gerir a aderência de todo o ecossistema às regras de conformidade da norma em questão; e a capacidade de reportar os registros armazenados.

Em todo caso, o mindset corporativo precisará respeitar a segurança da informação. Essa será a grande transformação promovida pelo regulamento. Para prover privacidade de dados e ser transparente, será finalmente mandatório encarar a tecnologia de cibersegurança como uma grande aliada capaz de proteger infraestruturas, dispositivos, usuários e dados corporativos de forma mais abrangente.

A Future pode ajudar a sua empresa e ficar em conformidade com o GDPR. Clique aqui e entre em contato conosco!

Fonte: ComputerWorld.

O futuro da proteção de dados é desafiador

O segmento de TI sempre teve como base a transformação. Isto é, de todas as áreas virtuais e relacionadas, a Tecnologia da Informação está à frente nas mudanças que o mercado e a tecnologia como um todo passam. E agora, mais uma vez, ela muda de uma forma relativamente abrupta, com a proteção de dados como seu carro-chefe, por mais contraditório que isso possa parecer…

Nas últimas semanas, presenciamos uma mudança imutável na maneira como utilizamos a internet. Com a controverso caso do vazamento de dados do Facebook pela Cambridge Analytica, não apenas o governo, as empresas, mas o público, certamente estarão mais atentos às formas com que compartilham seus dados.

Com esse detalhe pertinente, é um ótimo momento para analisar nosso cenário atual, as possibilidades e os inevitáveis desafios que teremos pela frente. A Era da Informação começa a ter nuances de um novo estágio, e cabe aos mais sábios e atentos se anteciparem a ele.

O Caso “Cambridge Analytica” e a proteção de dados

Antes de entrarmos no tópico que reacendeu a discussão sobre a privacidade e a proteção de informações para um escopo maior, cabe lembrar que a questão sobre a proteção de dados já existe há alguns anos, tanto nos Estados Unidos e na União Europeia, como aqui no Brasil.

Enquanto por aqui a inclusão do Marco Civil, que mudou de maneira sensível o avanço e a maneira como usamos a internet, as discussões no exterior quanto a neutralidade da web, encontraram seu ápice quanto a votação da mesma no congresso americano, que votou a favor do fim desta neutralidade.

Este panorama é importante, pois o caso envolvendo a Cambridge Analytica trouxe de volta esta e outras questões envolvendo a privacidade dos usuários.

Em um breve resumo, a empresa captava e analisava dados advindos de diversas ferramentas terceirizadas, utilizando como base tanto a API do Facebook, o que por sua vez integrava o Instagram, rede social específica para imagens, bem como ferramentas específicas para rastreamento de dados.

Essas resoluções e automações repercutiram em nada menos do que 87 milhões de contas do Facebook violadas, destas cerca de 447 mil no Brasil. Isso, sem contar o envolvimento ainda que indireto da rede social em casos políticos de peso, como a eleição do atual presidente americano, Donald Trump, e do Brexit, o movimento de separação da Grã-Bretanha da União Europeia. Ambos teriam manipulado pesquisas de opinião pública, baseadas nos dados online.

Enquanto o próprio Mark Zuckerberg responde ao escândalo na corte americana, a rede social já havia mudado muitas de suas diretrizes quanto ao uso de sua API, bem como suas regras de proteção de dados. Entre elas, podemos destacar algumas como:

a classificação de ferramentas terceirizadas que não utilizam a APIs nativas do Facebook e Instagram como irregulares. Em outras palavras, seu uso será considerado “proibido”;
informações de usuário, como fotos de perfil, não mais aparecerão em fluxos de dados;
Impossibilidade de acompanhar informações de usuários sem as devidas autorizações dos mesmos;
não será possível receber ou enviar mensagens por ferramentas terceirizadas.

Como é possível perceber em algumas das alterações acima, uma das mudanças mais diretas em tudo que discutimos aqui é praticamente o encerramento dos processos automatizados nas redes sociais, utilizando outras ferramentas que não as de automação das próprias redes sociais.

Este aspecto impacta diretamente o setor não apenas de TI, como profissionais de marketing digital, programação, e todos aqueles que, de alguma forma, precisam lidar com um grande volume de dados, e captação de público para seus negócios.

Como se antecipar e adaptar às mudanças?

Não se engane: estas mudanças não são paliativas ou temporárias. Com os processos judiciais em andamento, bem como as repercussões que ainda estão por vir, na verdade são esperadas ainda mais alterações no Facebook e outras plataformas, a exemplo do próprio Google Analytics 360 (versão paga da solução de análise do Google), que já está alterando seus protocolos de retenção e coleta de dados afim de atender a GDPR (General Data Protection Regulation) para as normativas do EEA (European Economic Area).

É natural que, em um primeiro momento, a precipitação e a preocupação com modelos antes funcionais e eficientes, tenham de ser adaptados “às pressas”. Contudo, manter-se a essa perspectiva é condenar sua posição no mercado. Sobretudo em um período que, restrições à parte, permite inovações com mais facilidade.

A primeira nuance a ser observada é quanto a maneira que os usuários lidam com estas mudanças. De maneira geral, para o grande público, existe uma maior preocupação em proteger seus dados pessoais, o que implica em estarem mais atentos aos meios nos quais empresas buscam saber sobre eles.

Assim, cabe aos profissionais buscarem meios mais diretos, que incentivam o engajamento do público de forma consciente, a entregar tais informações, ou apenas as mais relevantes, e à partir delas trazer novas soluções.

Outra alternativa, igualmente relacionada a questão da proteção de dados, é o desenvolvimento de ferramentas específicas para a segurança dos usuários. Até então, este aspecto era mais comum no segmento de e-commerce, e que agora pode ganhar ainda mais relevância para outros segmentos.

Navegadores cuja função é ser um “intermediário” entre o usuário e as ferramentas de busca, aplicativos que restrinjam buscadores quais os tipos de informações disponíveis, e softwares que bloqueiam diretamente a ação de sites específicos, são apenas algumas ideias e sugestões.

Perceber estas e outras nuances dos meios virtuais é de vital importância para desenvolver novas estratégias para o mercado. quanto menos tempo perdido em questionamentos infundados, melhor para o seu negócio. Contudo, um aspecto de grande importância não pode ser ignorado em qualquer iniciativa para acompanhar o novo momento.

O ponto primordial

Ao acompanhar de perto os escândalos envolvendo a Cambridge Analytica, e outros dos últimos anos, fica bem claro que a proteção de dados, do ponto de vista do usuário, pode ser amenizada e bem restrita. Digamos que é muito difícil esconder completamente os seus dados da web. Para não dizer impossível…

E mesmo tal consciência, embora amarga para os mais céticos, pode ser trabalhada e até mesmo inovada pelo novo mercado.

Se por um lado a restrição de dados podem tornar mais difícil o alcance entre empresas e público de um ponto de vista mais automatizado, por outro, significa uma nova corrida pela inovação e por novos meios de integração virtual. Aproveite esta nova oportunidade!

A Future possui Soluções que podem ajuda-lo a tornar seus dados mais seguros. Clique aqui para conhecer!

Fonte: CIO.