Protecção de dados em pequenas empresas: prioridade ou "assuntos menores"?

É frequente ouvirmos falar de fugas de informação confidencial de grandes empresas e das medidas que tomam para minimizar os riscos de incidentes de segurança. No entanto, ao mesmo tempo, os meios de comunicação social quase não cobrem a questão da segurança da informação nas pequenas empresas.

As pequenas empresas estão preocupadas com o problema da segurança da informação? E, em caso afirmativo, como é que lidam com este problema? Qual é o papel dos sistemas DLP (Data Loss Prevention) nos circuitos de segurança das pequenas empresas? Para responder a estas questões, recorremos a especialistas na área da segurança da informação e das pequenas empresas.

Antes de abordar a questão da utilização de software de monitorização de empregados em pequenas empresas, é importante descobrir exactamente que informação querem proteger. Gestor de desenvolvimento empresarial da Greatment Inc. Stephen Lawson fala sobre o assunto em pormenor:

"Na nossa era informática, o problema da protecção de dados é relevante para praticamente todos os participantes no processo de troca de informações. Isto aplica-se certamente às grandes e médias empresas e às pequenas empresas, aos empresários individuais e às pessoas normais. A pedra angular da segurança é um objecto de protecção correctamente definido e classificado. Podem ser dados (por exemplo, planos de desenvolvimento da empresa, relatórios financeiros, descrição de tecnologias usadas, invenções), sistemas de informação (RH, CRM, ERP, BI, sistemas financeiros e de fabrico), processos empresariais (tecnologia de fabrico), e mesmo pessoas (empregados com competências únicas, actores-chave). Alguns objectos de protecção são também definidos de acordo com requisitos regulamentares (por exemplo, sigilo bancário, dados pessoais). A escolha de métodos e medidas de protecção depende da compreensão do que precisa de ser protegido, de quem deve ser protegido, onde é necessário protegê-lo e a que consequências pode levar uma protecção inadequada. A exaustividade e qualidade da simulação das ameaças à segurança, bem como as medidas necessárias, determinarão o montante das despesas incorridas pela empresa a longo prazo. Independentemente da dimensão da empresa, a criação de protecção contra ameaças à segurança deve ser realizada sistematicamente, ou seja, deve ser iniciada com o desenvolvimento do conjunto de medidas que permitam a protecção contra ameaças, dependendo do grau das consequências negativas que possam advir. É necessário implementar a protecção de dados e criar processos organizacionais que atribuam responsabilidades a determinadas pessoas na empresa. Por exemplo, no caso de empresas muito pequenas falamos em criar vários regulamentos de segurança da informação, instalar software anti-vírus, encriptar dados críticos e instruir o pessoal sobre como trabalhar com informação sensível".

Para protecção de vários dados, as empresas podem implementar um sistema DLP. No entanto, as opiniões dos peritos dividiram-se sobre se a utilização de DLP se justifica ou não no caso de pequenas empresas.

, Analista principal, Symbolitics:

"Existe a necessidade de sistemas DLP em pequenas empresas: a realidade mostra que a fuga de dados confidenciais pode ter lugar numa empresa de qualquer dimensão. Além disso, existe um enorme número de tipos de dados. Segredos comerciais, desenhos únicos, especificações tecnológicas - essa informação é normalmente protegida por grandes e médias empresas. As pequenas empresas lidam frequentemente com dados pessoais, ou seja, agências de viagens, companhias de seguros, escritórios de advogados - têm de se preocupar com a segurança da informação adquirida.

É por isso que a DLP é necessária não só em empresas, mas também em empresas de todas as dimensões. Claro, o sistema DLP é um software bastante caro. Para as empresas mais pequenas, este é um factor crítico, e elas estão à procura de soluções mais acessíveis. É por isso que as experiências actuais do mercado aumentam a popularidade dos produtos para monitorização dos empregados. Estes sistemas ajudam a manter a disciplina do pessoal, a encontrar problemas nos processos empresariais e a resolver parcialmente o problema de DLP. "

, Chefe do Departamento de Segurança da Informação do fornecedor de alojamento profissional Starrhost:

"As ideias sobre a protecção da informação são sempre procuradas, a qualquer nível. Apesar do facto de a utilização competente de soluções DLP conduzir, em última análise, a uma redução de custos e despesas, as pequenas empresas preferem limitar as medidas de segurança a fazer arranjos organizacionais e trabalhar com elas até ao ponto de ruptura".

, Chefe de Segurança da Informação no Curso:

"Ao contrário das medidas de segurança clássicas, tais como firewalls, software antivírus, protecção criptográfica, as soluções DLP ainda estão em processo de desenvolvimento e tentativa de atrair o interesse do consumidor no mercado. Há várias razões para tal. Em primeiro lugar, a maioria das soluções deste tipo vêm com despesas significativas para aquisição (incluindo componente de hardware), para implementação, bem como para contratação e formação de pessoal que opera o sistema DLP. Tudo isto acaba por levar a que a DLP seja economicamente inviável para uma empresa. Em segundo lugar, é a falta de consciência pública da existência e capacidades dos sistemas DLP, bem como o problema ainda urgente da falta de atenção aos problemas de garantia da segurança da informação. Em particular, isto é relevante para as pequenas empresas que se caracterizam frequentemente pela falta de especialistas dedicados à segurança, utilização frequente de dispositivos pessoais pelos funcionários para resolver problemas relacionados com o trabalho, etc. A fim de implementar mecanismos de prevenção de fugas de dados confidenciais, as pequenas empresas podem utilizar DLP como um serviço prestado por organizações especializadas".

, director financeiro da Estation Inc:

"As pequenas e médias empresas estão frequentemente interessadas em soluções de DLP, mas nem sempre compreendem as suas características reais e as condições necessárias para o seu trabalho eficaz. Os requisitos que as pequenas empresas aplicam a este tipo de software são geralmente irrealistas. Se não tiver em conta casos excepcionais em que os executivos estão dispostos a examinar pessoalmente quase todos os e-mails e outros dados enviados, as pequenas empresas tendem a esperar que os sistemas DLP detectem "eles próprios" a falta de escrúpulos dos empregados: casos de suborno, transferência de dados empresariais para concorrentes, etc. Mas nenhum sistema DLP tem a sua própria inteligência e não pode julgar o valor da informação recolhida. Todos os parâmetros de controlo devem ser introduzidos pelos utilizadores do sistema (em regra, é o serviço de segurança económica da empresa). Requer pelo menos um mínimo de conhecimentos técnicos, compreensão dos processos empresariais da empresa e do valor dos vários dados, avaliação adequada dos riscos, uma certa compreensão da psicologia dos potenciais infractores, monitorização e ajuste constantes (por outras palavras, passar muitas horas de trabalho). O DLP é apenas uma ferramenta nas mãos do pessoal de segurança. E, como qualquer ferramenta sofisticada, os sistemas DLP têm certos requisitos até ao nível de qualificação da pessoa que os utiliza. "

, Chefe do Departamento de Desenvolvimento de Produtos de Software de Sistema:

"As pequenas empresas não utilizam frequentemente o sistema DLP, uma vez que estas empresas normalmente não dispõem de fundos suficientes. Além disso, nas pequenas empresas as pessoas costumam conhecer-se bem e as relações no trabalho são geralmente de confiança. No processo de desenvolvimento e com um aumento da rotatividade dos empregados, as empresas começam a pensar na monitorização dos empregados e nos sistemas de DLP. Isto geralmente acontece quando uma empresa cresce para 200-300 PCs. Como resultado, os potenciais compradores consideram principalmente um sistema simplificado, em que DLP é apenas um acréscimo e não a fundação".

, Director de Marketing do Código de Segurança LLC:

"A procura de sistemas DLP e outros meios de segurança da informação nas pequenas empresas é bastante limitada. Isto deve-se ao facto de a introdução de tal sistema exigir não só investimentos, mas também um certo nível de compreensão das questões de segurança da informação. A gestão deve compreender claramente que dados são confidenciais, quem deve ter acesso aos mesmos, e quem não deve. Este problema vai muito além da área de responsabilidade e competência do administrador de TI. Apesar disso, o administrador é normalmente o que está envolvido na segurança da informação nas pequenas empresas. As pequenas empresas são também caracterizadas pela flexibilidade e alta sensibilidade ao custo. Portanto, a introdução de tipos de soluções de DLP totalmente funcionais quase nunca acontece. Mas se uma empresa adquire um sistema de protecção de estação de trabalho multifuncional que incorpora algumas características de DLP (geralmente controlo USB), então estas características são utilizadas".

, Líder do Projecto Purposeidler:

"A nossa empresa acredita que não são os dados que necessitam de controlo (como nos sistemas clássicos de prevenção de fugas de informação), mas sim os empregados que trabalham com esses dados. Os sistemas de controlo tradicionais têm uma série de desvantagens. Em primeiro lugar, são pesados, complexos e dispendiosos de implementar. Portanto, não são absolutamente aplicáveis às pequenas empresas. Em segundo lugar, os sistemas clássicos de DLP monitorizam o trabalho com dados. A monitorização é realizada para ficheiros específicos (por nome de ficheiro) ou dados nos sistemas de informação da empresa por algum padrão de dados (por exemplo, XXXX-XXXX-XXXX-XXXX para números de cartões de crédito). Assim, se simplesmente alterar o formato dos dados, então o sistema DLP não será capaz de os acompanhar. Por exemplo, se alterar o número de cartões de crédito de XXXX-XXXX-XXXX-XXXX-XXXX para AXXXX, BXXXX, CXXXX, DXXXX, o sistema DLP não o considerará importante e não será correcto. Em terceiro lugar, a monitorização constante da utilização de dados sobrecarrega os PCs dos funcionários e os recursos da empresa. Se o sistema DLP verificar todos os dados enviados, então qualquer falha resultaria no isolamento da empresa".

Alguns peritos notaram a procura de sistemas DLP entre as pequenas empresas, enquanto outros pensam que estas soluções não são populares neste segmento. Vamos tentar perceber qual é o interesse pela DLP entre as pequenas empresas, em comparação com as grandes e médias empresas.

, presidente do clube de jovens empresários, CEO da CloudSolutions:

"As soluções DLP serão úteis tanto para grandes empresas como para pequenas empresas, mas apenas como uma das medidas preventivas de fuga de informação. Tais programas são bons para melhorar a literacia informática entre os funcionários, porque a sua própria essência envolve a avaliação dos riscos de fugas de informação. Para essa actividade nos canais através dos quais os dados podem ser furados é analisada: correio electrónico, mensageiros instantâneos e directamente na web. Com base no conteúdo e contexto (protocolo, actividade, tipo de aplicação, etc.), o programa gera ainda uma política de segurança, segundo a qual bloqueia mensagens, denuncia violações, etc. É importante compreender que, ao contrário das firewalls, as soluções DLP não bloqueiam completamente a transferência de dados, mas tentam antes analisar a actividade humana na rede, o que deixa as empresas com uma probabilidade ainda maior de fuga de dados".

, presidente do clube de jovens empresários, CEO da CloudSolutions:

"Todas as empresas têm o interesse de proteger a informação. As abordagens à implementação de soluções DLP podem ser diferentes, mas "perda de informação" no século XXI é quase igual a "perda de dinheiro", pelo que é lógico assumir que a ideia de minimizar tal risco de perdas existe em todas as empresas, independentemente da sua dimensão".

"O interesse das empresas em sistemas DLP não depende apenas da escala da sua infra-estrutura informática e do volume de dados processados. Em primeiro lugar, evidentemente, depende da existência de informação, cuja fuga pode causar danos, e da presença de ameaças actuais. Assim, o interesse em DLP pode ser igual tanto nas grandes como nas pequenas empresas. Mas as grandes empresas têm mais oportunidades e capacidades para utilizar tais sistemas".

, Chefe do Departamento de Segurança da Informação da "Expectronica" (I-Techio Inc.):

"Em primeiro lugar, as empresas com financiamento suficiente, independentemente da dimensão, estão interessadas nos sistemas DLP. Mas tenha em mente que o DLP é apenas uma ferramenta, e se será realmente utilizado para o controlo e prevenção de fugas ou se continuará a ser apenas um "plano" depende de muitos factores: ambições pessoais dos gestores responsáveis pela segurança da informação, experiência da equipa do projecto e definição clara do problema. A implementação de qualidade é crucial para a eficácia do controlo e prevenção de fugas de informação. Vale a pena notar que o próprio âmbito dos sistemas DLP é muito delicado, a implementação de tais projectos em muitas empresas é retardada por tecnicidades burocráticas e legais e por um elevado risco de reputação".

, Director Comercial da SenseBox:

"As soluções DLP são utilizadas principalmente por grandes empresas. E estes sistemas foram inicialmente concebidos precisamente para satisfazer os requisitos de máquinas empresariais complexas. Mas a necessidade de protecção de dados é a mesma para todos: desde as startups até às grandes empresas. E o importante aqui não é a decisão em si ao nível do software que os proprietários das empresas utilizam, mas a abordagem à segurança.

Os sistemas DLP surgiram inicialmente do que se poderia chamar abordagem paranóica da segurança: quando tentamos tornar qualquer acção impossível ou impedi-la. Por exemplo, imagine que à entrada de um centro comercial colocamos um guarda de segurança com um cão, um torniquete, um detector de metais e introduzimos buscas corporais para cada comprador. Como um produto de software, o DLP é algo semelhante a isso. Em países civilizados as pessoas confiam nas leis, na polícia e nos tribunais. E não há necessidade de construir vedações - pode ir a qualquer lado. No caso de alguém se atrever a infringir a lei, o mecanismo de defesa habitual é accionado: a polícia chega e o sistema de aplicação da lei assegura a inevitabilidade da punição.

Ninguém o impede de restringir o acesso a informações confidenciais para certos empregados sob a forma de uma lei, uma cláusula no contrato de trabalho e sanções severas. Se estas sanções e punições excederem o benefício do potencial roubo de informações, a maioria dos empregados desistirá da ideia de roubo".

"Na minha opinião, as grandes empresas estão mais interessadas em utilizar soluções de DLP, têm uma melhor compreensão do que um tal sistema pode ser útil e têm recursos suficientes para a utilização eficaz dos sistemas de DLP. Recentemente no mercado surgiram soluções que utilizam avanços científicos em inteligência artificial, aprendizagem de máquinas e grandes análises de dados para facilitar o trabalho dos profissionais de segurança e reduzir o nível dos seus requisitos de qualificação. O tempo mostrará como estas soluções irão contribuir para uma distribuição mais ampla dos sistemas DLP entre as pequenas e médias empresas".

"As médias e grandes empresas (especialmente se for o sector financeiro) estão mais frequentemente interessadas na utilização de sistemas de DLP. Para uma empresa em crescimento, torna-se cada vez mais difícil controlar as transacções e a privacidade dos empregados. E nesta situação, pode facilmente falhar a fuga de informação ou que algum empregado (que por alguma razão perdeu a sua lealdade) pretenda prejudicar o seu negócio. Infelizmente, nenhum sistema é capaz de prevenir completamente ataques directos a dados empresariais, mas pode complicar significativamente o processo, tornando as fugas menos lucrativas e mais arriscadas para o infractor".

, Chefe de Segurança da Informação na KRAKE:

"Todos os participantes no mercado (grandes empresas e segmento SMB) estão interessados em sistemas DLP porque os riscos de fuga de informação estão presentes em todas as empresas. Ao mesmo tempo, as consequências da fuga de dados para o sector das PMEs podem ser muito mais devastadoras do que para as grandes empresas. Para as primeiras, uma fuga pode facilmente resultar na perda da vantagem competitiva chave e, consequentemente, no encerramento do negócio. No caso de uma grande empresa, a maior parte das vezes é uma questão de perda de reputação e financeira".

"O interesse em utilizar não só sistemas DLP, mas também quaisquer outras soluções de segurança da informação dependem da dimensão da empresa, mas mais ainda do nível da sua maturidade. Quanto mais uma empresa está consciente do valor dos seus dados (para si própria e para os seus concorrentes), mais conscientemente implementa a estratégia de segurança da informação no que diz respeito à protecção de dados. A lista de acções necessárias neste caso consiste não só na introdução de meios de segurança da informação, mas também na reforma dos processos empresariais, a fim de reduzir o risco de fuga intencional ou perda acidental de dados.

E apenas quando os processos empresariais, nos quais o sistema DLP será instalado, são definidos, então a sua implementação começa a ser afectada pela dimensão da empresa. É óbvio que uma grande empresa pode gastar mais dinheiro em tal projecto, mas os requisitos técnicos também serão mais elevados".

As opiniões dos peritos voltaram a dividir-se. Por um lado, alguns acreditam na falta de ligação entre a dimensão da empresa e o nível do seu interesse na utilização de DLP, por outro, alguns peritos acreditam que tais sistemas são mais procurados nas grandes empresas. No entanto, em ambos os casos, os peritos concordam que existem pequenas empresas que vêem a segurança da informação como uma das suas prioridades e, portanto, podem ser consideradas como potenciais utilizadores de sistemas de DLP. Então, quais são os requisitos das pequenas empresas para tais sistemas?

"Os grandes clientes escolhem geralmente a solução "inteligente" e dispendiosa DLP. As pequenas empresas estão geralmente dispostas a trabalhar com estes sistemas no modo "manual", sem possibilidade de automatização, se esta solução for muito mais acessível. Por esta razão, nas pequenas e médias empresas, todos os incidentes são investigados em retrospectiva".

"Se omitir a questão óbvia do preço do software, que neste segmento da segurança da informação é o mais importante, e se concentrar na funcionalidade, então precisa de dar preferência a software de segurança mais "omnívoro". Acontece frequentemente que as pequenas empresas não podem dar-se ao luxo de unificar elementos do sistema de informação e construí-lo sobre o que está literalmente à mão. Evidentemente, a consequência de tal abordagem seria a diversidade do equipamento utilizado no sistema informático".

"A lista de requisitos que as empresas aplicam aos sistemas DLP baseia-se principalmente nas características específicas da infra-estrutura informática da empresa, incluindo os métodos utilizados de transferência de informação, bem como o seu volume. Isto permite ao consumidor determinar os canais de transmissão de dados que serão controlados pelo sistema DLP. As características de controlo mais populares são a monitorização de e-mails, unidades amovíveis, URLs, mensageiros instantâneos e impressão. Além disso, para muitas empresas, a formação de relatórios do sistema DLP é frequentemente importante, uma vez que é a ferramenta chave para demonstrar aos executivos a eficácia do sistema DLP implementado".

"Os representantes das grandes empresas geralmente tentam alcançar objectivos específicos com a ajuda da DLP: é provável que tal sistema seja integrado no panorama informático já estabelecido com um grande

quantidade de outros componentes e soluções para a protecção da informação. Em contraste, o segmento SMB quer ver as soluções DLP como uma espécie de "multiferramentas" que resolvem vários problemas relacionados com a segurança da informação. Outro requisito importante é a facilidade de implementação e o pessoal de apoio mínimo necessário".

"O principal requisito das empresas mais pequenas é o preço mínimo. No entanto, o desenvolvimento de sistemas DLP pode ser bastante demorado e exigir uma actualização constante".

"As pequenas empresas estão a tentar comprar uma solução de baixo custo com uma implantação extremamente fácil que combina a funcionalidade de múltiplas soluções. Concentram-se em soluções anti-vírus, sistemas de controlo de tráfego e de produtividade dos empregados, que muitas vezes contêm funções DLP simplificadas. Nas pequenas empresas, a protecção da informação muitas vezes não está incluída nos custos operacionais".

"Entre os principais requisitos que as pequenas empresas têm para as soluções DLP está a acessibilidade, a facilidade de implementação e apoio, bem como o cumprimento dos requisitos legais. Da perspectiva das funções que as pequenas empresas esperam que os sistemas DLP sejam capazes de monitorizar a impressão e a correspondência electrónica dos utilizadores (tanto dentro da rede da empresa, como com a utilização dos serviços postais da Internet, tais como gmail.com ou mail.ru), bloqueando a transferência de ficheiros para unidades externas ou serviços de partilha de ficheiros e analisando a utilização de redes sociais e de mensageiros instantâneos por parte dos empregados".

"As pequenas empresas têm recursos muito limitados. Isto aplica-se ao orçamento de segurança da informação e ao número de pessoal especializado. Como regra, as pequenas empresas contratam um ou dois especialistas em TI que resolvem todos os problemas relacionados com a segurança das TI e da informação em diferentes graus".

A este respeito, os peritos foram praticamente unânimes. Os principais factores na selecção de software de segurança da informação para pequenas empresas são o seu custo e a facilidade de implementação. Isto deve-se ao facto de as pequenas empresas, em comparação com as grandes empresas, terem recursos financeiros e humanos limitados. A consequência desta situação é o desejo de obter um software multifuncional de baixo custo que possa ser facilmente implementado na infra-estrutura empresarial por um ou dois membros do departamento de TI.

No entanto, no mercado actual existem alguns programas bastante funcionais que podem ajudar a sua empresa na protecção da informação. E alguns deles estão mesmo disponíveis gratuitamente.