Prevenção de fugas de dados

A solução parece ser tão simples como a fast food; obtenha uma aplicação DLP ou de prevenção de perda de dados de uma das empresas de renome como a HP ou a Symantec. Será realmente assim tão simples? O problema é que os empregados podem ser os ladrões silenciosos. Afinal de contas, copiar dados tornou-se um sonho hoje em dia como com a unidade de polegar via USB. Já não é preciso lutar com cópias impressas volumosas. Um pequeno gadget poderia conter uma biblioteca de informação. E depois tem e-mails, e anexos poderiam ser utilizados para enviar informação sensível às pessoas erradas.

Tal como as guerras publicitárias amargamente travadas entre rivais no ramo, como nos smartphones, a guerra da informação é muito real. A informação custa muito dinheiro, como testemunhamos todos os dias nos meios de comunicação social. Alguns segundos de publicidade da marca de chocolate e a empresa paga uma fortuna. Basta imaginar quanto as pessoas pagariam em termos de patentes e designs relativos a produtos avançados que estão a ser pesquisados 24 horas por dia, 7 dias por semana.

Não admira, então, que 19 mega-empresas disputem as melhores posições no mercado de DLP. Espera-se que a procura aumente em quase 2 mil milhões de dólares até 2019. Podemos imaginar porquê. A cibercriminalidade aumenta dez vezes por ano e só podemos trabalhar com estimativas. Prevenir o acesso não autorizado é o que mantém tantas pessoas ocupadas. Muitos dos meios de comunicação social trabalham com estimativas, mas nós tratamos os números como muito reais. Ninguém sabe realmente toda a verdade.

A verificação dos antecedentes do pessoal pode ajudar a verificar a fiabilidade e os acordos assinados para manter o sigilo podem trazer confiança ao empregador. Se o pessoal estiver realmente satisfeito com a organização, talvez existam menos hipóteses de roubo de dados. No entanto, a formação é essencial para garantir que os trabalhadores compreendem o problema e sabem como controlar o fluxo de informação. Cada computador pode estar ligado a vinte outros computadores e a informação viaja entre eles a toda a hora. A monitorização da rede assegura sistematicamente a passagem sem problemas da informação. Os hackers utilizam a mesma tecnologia para violar a fortaleza e roubar dados por uma variedade de razões como negócios, espionagem, terror e simples malícia.

A fuga de informação privilegiada parece ser em miniatura, de acordo com o relatório da Verizon em 2012, foi de apenas 4%. O problema assustador é que os executivos da empresa possuem uma mina de ouro de informação no escritório e poderiam facilmente copiá-la. Um Banco da América divulgou informações de clientes a ladrões de identidade e a perda financeira ascendeu a 10 milhões de dólares para além das questões de relações públicas. Difícil de acreditar? Não, é tudo verdade. O velho software antivírus com suporte de firewall está constantemente a ser recomendado para garantir a segurança. Forma um muro poderoso que não é facilmente quebrado, pelo menos as empresas de topo prometem um tal escudo. Os DLPs monitorizam a circulação de dados com base no perfil de propriedade intelectual da empresa. O software examina cada pedaço de informação que sai nos portos e protocolos e responde de forma apropriada.

Assim, a informação poderia ser impedida de sair para além de certos limiares fixos. A encriptação e o bloqueio USB parecem ser estratégias sólidas para preservar a informação valiosa e impedir o acesso ilegal e a adulteração. Os bancos utilizam constantemente esta encriptação e o sistema parece estar a funcionar bem. Considerando as enormes quantidades de dinheiro que mudam de mãos legalmente todos os dias através da banca pela Internet, parece não haver nada de muito alarmante. Os serviços de gateway de segurança Web como uma alternativa aos DLPs protegem de websites e software maléficos. Eles digitalizam ficheiros em todas as vias de comunicação em busca de potenciais perdas de dados, de acordo com os termos linguísticos contidos nos mesmos. Se alguém se estiver a comportar de forma irresponsável, o software apanha e faz soar um alarme.

Não só a informação está por todo o lado em tantas encarnações como DVDs, IM, smartphones e blogs, unidades de e-mail e polegar, como a privacidade está constantemente a ser comprometida pelos smartphones com câmaras e gravação de vídeo que atingem as zonas mais sensíveis. Nada parece estar fora do seu alcance, nem mesmo nas salas de ensaio das empresas. Além disso, ser autorizado a trazer o seu próprio equipamento para o local de trabalho também tem riscos potenciais, como um convite aberto para roubar informação. Felizes foram os dias com a máquina de escrever manual, telefone e fax apenas.

A perda acidental ou má utilização de informação ocorre por vezes quando se envia a informação à pessoa errada por acaso. O problema muitas vezes não é o que está para além do perímetro, mas o que acontece no seu interior. Uma vez que a informação está constantemente a ser enviada e ressentida, existem muitas oportunidades no interior para manipular ou roubar. O anti-malware e a encriptação, para além de outros controlos de segurança, desempenham os seus importantes papéis. Estão a ser utilizados três níveis de defesa que mantêm efectivamente as coisas no seu lugar. Imagine o grau de segurança que os números dos cartões de crédito e da segurança social exigiriam.

Um sistema de classificação de ficheiros asseguraria que a informação sensível não passasse por um protocolo ou porta de entrada, fazendo disparar um alarme se o fizessem. Tal sistema poderia também ser implementado em meios de comunicação social onde o acesso a conteúdos ou imagens censuráveis seja impedido. As disposições poderiam também ser baseadas de acordo com o tamanho do ficheiro e ficheiros anormalmente grandes levantariam dúvidas e impediriam o processo. O comportamento anormal dos funcionários poderia também ser supervisionado desta forma.

O caso do roubo da base de dados da DuPont durante vários meses, no valor de 400 milhões de dólares, é um despertador de olhos. A pessoa tinha estado a aceder a 15 vezes o número de ficheiros com que os outros no escritório tinham estado a trabalhar. Um funcionário da Duracell vendeu informações sobre pilhas, primeiro enviando-as para casa e mais tarde para uma empresa rival. A obtenção de um controlo sobre os dados internos é crucial, mas seria necessário um software separado para cada categoria de informação. Evitar colocar todos os ovos no mesmo cesto.