Conforme cresce o uso de mobilidade e de redes sociais, volta à tona a questão do monitoramento. Principalmente devido ao crescimento dos incidentes de vazamento de informação, cada vez mais recorrentes. Atualmente não basta monitorar  ambientes e equipamentos internos, a grande questão é monitorar os ambientes e equipamentos externos.

Sendo assim, o desafio dos gestores responsáveis por contratar ou realizar monitoramento corporativo tem sido o de delimitar claramente: o que monitorar, como e qual o limite (perímetro físico e temporal). A melhor prática não é monitorar pessoas, e sim monitorar informações. Isso contribui inclusive para evitar riscos de questionamento de invasão de privacidade, pois está sendo “vigiada” a informação e não a pessoa. Em todo plano estratégico de Segurança da Informação isso deve ficar muito claro.

Com o foco nos dados então se pode implementar soluções que envolvam uso de DLP (Data Loss Prevention), softwares que fazem varredura em equipamentos espetados na rede (de terceiros), em equipamentos que venham a acessar a VPN (quando conecta é feita a verificação do fluxo de informação para fora e para dentro e se o equipamento tem vírus, por exemplo), bem como também as próprias redes sociais.

A mobilidade passou a exigir também este acompanhamento maior, ainda mais com a disseminação barata de smartphones (em geral os profissionais possuem o próprio, mesmo que a empresa não os forneça e estão portando e acessando dados que necessitam ser protegidos). Mas também temos visto o crescimento de informações confidenciais em dispositivos de eReaders e ultimamente no iPad. Se aprendemos a ter pasta segura e senha no notebook, depois no celular, imagina então no iPad!

Na questão das redes sociais é essencial que a empresa realize um monitoramento permanente, até pela necessidade de saber quais informações estão lá (e não que pessoas estão lá). O foco nas pessoas tem a ver com conscientização de usuários, com educação no hábito da segurança, e não com vigiar as mesmas. O que deve ser monitorado são os dados, onde quer que eles estejam e independente de quem os acesse.

Também tem sido importante aplicar uma metodologia de segregação de funções, dedicando recursos específicos, mais bem treinados, quando o monitoramento dos dados envolve as informações geradas na alta-direção. Com toda certeza não é um colaborador comum, muitas vezes iniciante ou até terceirizado que deveria monitorar o email do presidente, por exemplo. Assim como a equipe de segurança responsável pela proteção de alto-escalão é uma equipe especial, treinada para tanto, o mesmo deve ocorrer com o time de segurança da informação que protege os dados mais sensíveis, confidencias e restritos da empresa ou instituição, principalmente se ela for aberta em bolsa ou estiver relacionada com segurança nacional.

Finalmente, continua fundamental o aviso prévio de ambiente monitorado, não apenas em documentos, como em um NDA (Termo de Confidencialidade) ou cláusula de segurança da informação inserida em contratos de trabalho e prestação de serviços, como Políticas, Normas, Procedimentos e principalmente no meio de uso da tecnologia. Precisa inserir as vacinas legais nas interfaces gráficas, ou seja, quando acessar de qualquer dispositivo ou qualquer lugar, quem quer que seja, lerá o aviso de “ambiente monitorado” e então está feita a blindagem legal e assim há segurança jurídica da segurança da informação.