Por Check Point Software Technologies

 Conforme o ditado popular, o Rei Canuto decidiu-se por colocar seu trono no litoral e fazia a maré para demonstrar seu poder contra as forças da natureza. Defrontados com a sempre crescente maré de violações de dados, vários membros do staff de TI sabem como é essa sensação.

A maioria das violações reportadas deve-se a laptops perdidos ou roubados, assim como à armazenagem de dispositivos ou smartphones – uma situação que tem piorado pelo boom de Bring Your Own Device (BYOD) (Traga Seu Próprio Dispositivo) dos últimos três anos. Empregados tem utilizado seus próprios laptops e smartphones para criar emails dos seus trabalhos, guardar arquivos relativos à organização e, ainda mais, o que tem resultado num enorme aumento de risco de violações.

Acidentes acontecem

Em termos de dispositivos perdidos e erros cometidos com emails, qualquer membro de uma organização tem poder para causar uma violação de dados em questão de segundos. As equipes costumam falhar, percebendo o que foi feito tarde demais, quando o dano já ocorreu. Sendo assim, como podem as organizações evitar a ocorrência dessas perdas, e proteger-se contra falhas humanas em colocar os dispositivos nos lugares errados ou de cometer erros com endereços de email?

Acreditamos que para isso é necessária uma solução em duas etapas: educando os usuários a respeito de suas ações em tempo real, e fortalecendo a segurança sem que o usuário seja capaz de afetá-la ou de desligar os recursos de segurança.

Faça o oceano ferver

Tradicionais soluções de Prevenção de Perda de Dados (DLP) têm tentado fazer frente às questões relativas a email, mas têm tido sucesso limitado. Elas normalmente levam tempo para serem configuradas, e semanas ou mesmo meses de ‘treinamento’ intensivo são necessárias para contribuírem para a solução de classificar dados e arquivos que são únicos para cada organização. Mais ainda, emails que o sistema identifica como uma potencial violação de dados são normalmente orientadas ao departamento de TI, que tem então de checar com quem enviou o email antes de permitir ou bloquear o email.

Ambos os fatores envolvem um escoamento significativo dos recursos da equipe de TI. O fato é que quando combinados com o grande volume de emails que saem a partir de qualquer organização, a tradicional abordagem de rapidamente recorrer às DLP torna-se impraticável na hora de tentar identificar um ou dois emails nocivos. Isso equivale a tentar ferver o oceano para achar submarinos inimigos.

Prevenção é a cura

Envolver empregados individuais no processo de segurança corporativa é a única abordagem viável para evitar incidentes de perda de dados. Ela é também a única forma de tornar uma solução de DLP numa ferramenta verdadeiramente preventiva – oposta a uma ferramenta reativa.

Antes de mais nada, de forma a aumentar a conscientização do usuário, uma solução de DLP efetiva o alertará antes que ele possa enviar um email que possa causar um incidente de perda.

Se a solução DLP detecta uma potencial violação com base nesta análise, ela invalida a instrução ‘enviar” e apresentará aos usuários um alerta pop-up para informá-los da potencial perda de dados e lhes perguntará como eles desejam proceder.

O usuário terá então de decidir se ele: a) quer enviar o email e seus anexos como estão; ou b) percebe que ele pode ter cometido um erro, corrigindo o corpo do texto ou removendo os arquivos anexos suspeitos. Há também a opção, ao usuário, de deixar uma breve explicação de por que ele invalidou o alerta da solução de DLP.

Os usuários escolhem

Essa metodologia cria também um ponto de decisão ao usuário, encorajando-o a rever o que ele planeja enviar e para quem. Isso aumenta a responsabilidade dos usuários, e ajuda a corrigir qualquer potencial ocorrência de segurança antes que o incidente aconteça. O que é mais, engajar os usuários no processo de DLP reduzirá o peso do gerenciamento de segurança diário para a equipe de TI

Apenas para os seus olhos

Se por um lado aplicar criptografia a um dispositivo completo é uma abordagem para proteger dados, isso não é sempre prático ou mesmo possível – especialmente no caso de um laptop pessoal de usuário ou de um smartphone. Ademais, mesmo documentos sensíveis rapidamente espalham-se por caixas de entrada de email (também frequentemente replicadas em smartphones), em laptops, em webmail ou outras aplicações de nuvem, além de em sistemas de armazenagem removíveis. Isso multiplica as possibilidades de que um documento inseguro se perca.

A tradicional segurança de documentos significa proteção de senha: mas isso frequentemente proporciona nenhuma defesa a ferramentas online livremente disponíveis que são projetadas para craquear senhas de arquivos.

Os usuários podem então acessar ou ver documentos sempre que eles tenham as permissões relevantes que são configuradas pelo autor ou pela organização. Por exemplo, somente funcionários de RH ou finanças devem ser capazes de acessar e de editar certos documentos, sendo suas credenciais asseguradas pelo uso do correto cliente em seu dispositivo, junto com o nome do usuário e a senha.

Documentos podem também ser compartilhados de fora da organização, com certas restrições quanto a uso, e vistos tanto numa nuvem (após o usuário ter acessado o serviço de nuvem por meio das credenciais relevantes) ou com o uso de um cliente seguro no PC ou dispositivo do usuário.