Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


FALSIDADE DOCUMENTAL NOS PROCESSOS ELETRÔNICOS

Veja aqui a programação deste inédito treinamento programado para o dia 20/12 em São Paulo

Acompanhe nosso Twitter

27/05/2011 - Convergência Digital Escrever Comentário Enviar Notícia por e-mail Feed RSS

Como evitar o roubo das informações?

Por: Leonardo Borba


Muito se fala sobre perda e roubo de informações, mas afinal o que é isso? Como isso pode afetar os negócios da sua empresa? E o mais importante: Como se prevenir? A perda ou roubo de informações consiste nas ações de desvio de dados sensíveis das organizações em geral, seja por funcionários ou por intrusos em suas redes corporativas. A fuga da informação pode ocorrer por meio de um funcionário que desvia as informações confidenciais de uma empresa, por um intruso ("Hacker" ou "Cracker") que invade os sistemas corporativos e copia e ou indisponibiliza as informações corporativas ou simplesmente por incidentes como o furto de equipamentos empresariais, com informações confidenciais como laptops e smartphones.

Como isso pode afetar sua empresa?

De forma geral é sempre ruim para as empresas ter o desvio de suas informações, afinal existem várias formas de afetar os negócios caso informações sigilosas parem em mãos erradas. Agora vamos imaginar alguns cenários:

Uma empresa de projetos industriais gasta cerca de dois anos em pesquisa e desenvolvimento de um projeto. Assim que o projeto está pronto para ser apresentado para um potencial cliente, ele se depara com um concorrente com um projeto idêntico ao dele, com alterações realizadas a poucas horas daquele momento, no entanto com custo 50% menor. Como pode isso ter acontecido? Simples! Tal concorrente não gastou tempo, nem dinheiro desenvolvendo o projeto, apenas se apoderou de informações confidenciais da pesquisa realizada e “desenvolveu” seu próprio projeto.

Outro exemplo:

Uma empresa de cosméticos estruturou um projeto de marketing durante meses. Realizou pesquisas, fez testes e depois de muito esforço e trabalho duro está na hora de colocar seu projeto no ar: Gravar comerciais, realizar eventos e tudo mais. No dia da gravação de seu comercial para televisão, a empresa vê seu principal concorrente com um anúncio comercial já publicado idêntico ao seu, anunciando eventos que batem com as datas estratégicas escolhidas por sua equipe de marketing. Todo o trabalho foi de alguma forma parar nas mãos de seus concorrentes.

Mais um:

Um diretor técnico de uma empresa procura imagens em um site de buscas na web para realizar a apresentação final de um projeto para diretoria da empresa aprová-lo. Durante a pesquisa, ele se depara com a imagem de seu projeto, recém-formatado nas páginas de busca da web! Como isso é possível? Um projeto totalmente confidencial foi parar em um site de buscas e com todas as informações confidenciais da empresa abertas ao público?

Último exemplo:

Certos documentos, fotos e vídeos secretos do exército de um país são divulgados abertamente em um site especializado na publicação de informação confidencial de empresas e governos. Tais informações mostravam atos de abuso de poder, corrupção, crimes de guerra e abusos dos direitos humanos. Com o vazamento destas informações, a credibilidade do governo do país em questão foi abalada, a estrutura militar foi questionada, assim como as ações de guerra e a capacidade de reter informações confidenciais. Este caso também é conhecido como o caso Wikileaks.

Resumindo, o roubo ou a perda de informações pode afetar organizações de forma geral, podendo até levá-las à falência. Se acharem que é exagero, imaginem se no primeiro caso, a empresa tenha sido constituída para atender especificamente o projeto que lhe foi roubado e o mesmo não deu certo. Depois do investimento por anos e todos os recursos da empresa terem sido esgotados, o que aconteceria?

Assim como “Hackers” podem invadir sistemas de lojas virtuais e roubar os números de cartões de crédito dos clientes desta loja, pessoas mal intencionadas podem apoderar-se de equipamentos empresariais com informações confidenciais ou funcionários podem realizar cópias não autorizadas de documentos empresariais e vendê-los aos concorrentes ou publicá-los ao mundo de forma a expor a empresa. Esses exemplos mostram que todos nós estamos vulneráveis aos malefícios da perda ou roubo de informações.

Como se prevenir?

Primeiramente devemos direcionar o foco da proteção que queremos utilizar. Devemos identificar os pontos críticos da empresa e mapear todos os pontos de vulnerabilidade, definir as prioridades de cada um destes pontos críticos e aplicar as devidas proteções. Eu poderia citar inúmeras formas de proteção, mas basicamente vejo três pilares para uma boa proteção: Proteção dos dados sensíveis; Proteção da rede e sistemas empresariais e Educação ou Instrução de usuários.

Proteção dos dados sensíveis

Para a proteção contra a perda ou roubo de informações vejo soluções de mercado como Data Loss Prevention (DLP) que consiste em um software baseado em rede ou host (estação de trabalho) que realiza a verificação das mais diversas formas de fuga de informações.Uma solução de DLP irá proteger contra o envio de informações classificadas como sensíveis, para fora de seu contexto original, como por exemplo, anexos de e-mails, upload para webmails ou discos virtuais/FTP, impedir impressões indevidas, acessos não permitidos a arquivos, cópia ou digitação de documentos sensíveis, captura de telas e cópia para mídia externa (CD/DVD/PenDrive) ou locais em notebook/smartphones. Desta forma torna-se quase impossível a saída indevida das informações de uma empresa.

Mesmo que um usuário ou intruso tente realizar a cópia de informações confidenciais da empresa por qualquer meio (e-mail, web, mídia externa) terá o conteúdo destas informações identificadas e a operação cancelada pelas tecnologias do DLP.

Para casos de equipamentos que possuem direito de arquivos confidencias, armazenados localmente ou em seus e-mails e são passíveis de roubo ou extravio, (laptops, notebooks, smartphones, etc.) e necessidade de transmissão de arquivos confidenciais – via e-mail, portais, etc. - indico soluções de criptografia, parcial (pastas e arquivos) ou completa (para todo o disco local). Desta forma, mesmo que um usuário malicioso tenha acesso aos dispositivos/arquivos, ele não poderá ter as informações que estarão criptografadas.

Proteção de rede e sistemas empresariais

Além da proteção da informação é vital manter uma rede segura através de proteções como Anti-Malware (Anti-Virus, Anti-Spyware, etc.), Firewalls, IPS de rede e host, gateways de e-mail e web (filtragem dos e-mails e acessos à internet - Vírus, Spams, Phishing, etc.), políticas internas de segurança (Senhas, acessos indevidos, etc.) é necessário manter os sistemas empresariais seguros. Geralmente estes sistemas encontram-se baseados em uma aplicação e suas informações em um banco de dados.

Para a proteção dos dados presentes nos bancos de dados da empresa – de forma a impedir que consultas não autorizadas, ataques por vulnerabilidades de plataforma de banco de dados (patches de segurança, vulnerabilidade do banco de dados ou sistema operacional, etc.) e ou de programação (SQL Injection) – e realizar auditoria de todo acesso ou modificação nestas informações sigilosas, recomendo soluções como Data Base Monitor - DBM ou Data Base Firewall – DBF, ou seja, soluções que irão proteger as informações sensíveis presentes no banco de dados de acessos indevidos, internos (usuários da empresa) ou externos (invasores).

Porém, não basta apenas proteger os bancos de dados, afinal estas informações são acessadas pelas aplicações da empresa. Para aplicações baseadas em Web recomendo soluções como Web Application Firewall – WAF. Consiste num tipo de proteção que tem se popularizado no Brasil, que realiza o reconhecimento das aplicações Web, protege contra códigos maliciosos inseridos nas páginas corporativas da empresa como Cross Site Script – XSS e SQL Injection. Este tipo de proteção está se popularizando por suas características que, além de proteger, ajuda a diminuir o encargo extra de segurança sobre os programadores das aplicações web das empresas.

Educação ou Instrução de usuários

É muito importante lembrar que apesar das mais avançadas ferramentas de proteção e prevenção contra fuga ou perda de dados, a educação dos usuários, principalmente com maiores privilégios administrativos, é um fator crucial. Para que qualquer solução seja efetiva é necessário que a empresa possua políticas e normas internas, assim como uma postura de educação de seus usuários para prevenir que tais atos aconteçam. Afinal, uma das formas mais eficazes de intrusão a uma rede é pela “engenharia social”, ou seja, a forma que uma pessoa mal intencionada encontra através da enganação ou exploração da confiança de pessoas ligadas à empresa em questão, para obter acesso a sistemas ou informações sigilosas.

Resumidamente, estamos todos vulneráveis aos grandes problemas que podem trazer a perda ou fuga de informações empresariais. No entanto, existem várias formas de proteção e em vários níveis.Espero ter ajudado a esclarecer algumas dúvidas sobre a fuga e a perda de informações e como se prevenir e se proteger contra este mal que assombra tantas organizações.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 562 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2017 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal