Twitter
Linkedin
Instagram
WhatsApp

» Blog

Vazamento de dados: quatro formas de prevenção

30/12/2010
Categoria: Segurança
Conheça as maiores falhas de segurança interna e saiba como se defender quando o assunto são seus preciosos dados. Pesquisa recente da consultoria Ernst & Young, realizado em 61 países com 1800 participantes, revela que garantir a segurança dos dados é a principal preocupação (45%) das empresas para os próximos 18 meses. No Brasil, a pesquisa consultou 35 empresas e profissionais de segurança dentro das companhias. Quase 90% das empresas planejam aumentar ou manter investimentos em Gestão de Riscos (SI). As tecnologias que se destacam são a de contenção de vazamento de dados (DLP) e virtualização. O treinamento e conscientização dos funcionários também vão receber aumento de investimentos de 39% das companhias que responderam à pesquisa. Outro foco de problemas são os ex-funcionários: 75% das empresas demonstraram grande preocupação com eles, mas 42% não entendem todos os potenciais riscos associados – apenas 26% estão tomando medidas em relação à questão. Além disso, Mais de 70% das empresas realizam programas de conscientização em Segurança da Informação, mas menos de 50% usam tendências atuais. Se você é responsável por gerir a área de segurança, sabe das dificuldades intrínsecas a essa atribuição. Consultamos especialista e profissionais do setor para levantar quais os maiores riscos de segurança, hoje, e como se prevenir deles. Registrar e monitorar Levantamento recente realizado pela Verizon informa que 87% dos casos de vazamento de informação estavam registrados nos logs do servidor. Ainda assim, 60% dessas ocorrências foram descobertas externamente. Os logs costumam gerar uma falsa sensação de segurança. Isso se dá em função da interpretação errônea da equipe de TI sobre as funções de registro e de monitoramento oferecidas pelos arquivos, normalmente, em formato texto. “Tudo que essa função faz é registrar as ocorrências”, diz o engenheiro de segurança da EnerNex Corporation, Slade Griffin.  “Os profissionais de TI dizem que registram tudo, mas, não respondem quem lê esses logs?” Em empresas menores é possível verificar os logs de forma manual. É o que acontece na empresa de automação elétrica ENE Systems, sediada no estado norte-americano de Massachusetts. Um dia por semana, determinado funcionário passa o dia revisando os registros – antes de qualquer suspeita de vazamento de dados. Barry Thompson, gerente dos serviços de rede da empresa, avaliada em 30 milhões de dólares, comanda uma equipe de 140 funcionários. Apesar de concentrar as verificações em saídas irregulares de informações do sistema, também monitora atividades que possam caracterizar pornografia, jogatina ou homofobia na rede corporativa. Em organizações maiores, porém, essa verificação manual é impraticável, deixando apenas duas opções abertas. Leitura sistemática ou a aquisição de softwares para realizar esse trabalho de forma minuciosa. Esses programas não são muito populares, diz o estudo da Verizon. Às vezes, os departamentos de TI não têm conhecimento pleno acerca das capacidades de seus softwares, e não é necessário ter programas de última geração, e, sim, questão de usar essas soluções. Por exemplo: existem casos em que empresas compram os programas que verificam os logs somente para atender aos requisitos de auditorias ou de um grande cliente. Aprovadas no teste de políticas de segurança, as organizações esquecem da existência dos programas. Na perspectiva de Nick Leavy, gerente de operações e de segurança das informações na instituição Center for American Progress, sediada em Washington, nos EUA, as empresas fariam um grande favor a si mesas se usassem  os recursos que têm em mãos de forma otimizada. Uma maneira de fazer isso é ler o manual de operações dos softwares fornecidos. Treinamentos e tutorias em vídeo são alguns dos serviços que os provedores das soluções oferecem comumente e passam despercebidos nas equipes de TI. As ferramentas de verificação de log são muito boas em detectar anomalias, ao passo que determinados sistemas podem agir de forma inconveniente e gerar um volume alto de alertas, muitas vezes desnecessários. O relatório da Verizon sugere que, em vez de procurar por uma agulha no palheiro (referindo-se a verificação manual), as empresas devam optar por um híbrido que una a tecnologia às leituras realizadas por pessoas. “Fiquem atentos às grandes alterações nos logs”, diz o relatório. Normalmente, esses sinais são linhas muito longas ou um salto/uma queda abrupta no volume de arquivos. Configuração do ambiente de rede Com a expansão do ambiente de rede vem o enfraquecimento da segurança. Aplicativos novos trazem configurações padrão que merecem ser verificadas com a finalidade de eliminar exposições desnecessárias. Um exemplo disso são softwares SQL que, de forma automática, conferem ao usuário poderes de administrador da base de dados. Quem dá o alerta é o fundador da Graves Security Chad Graves. Limitar o acesso à internet é outra maneira de incrementar a segurança. Ao configurar um servidor, determine se necessita de acesso ininterrupto à web. “Alguns serviços, por exemplo, precisam se conectar apenas momentaneamente para atualizar seus arquivos”, diz Levay. Levay informa que ele costuma dividir a rede de sua empresa em várias subredes, assim pode manter melhor o controle sobre as atividades entre clientes e servidores e detectar tráfego suspeito. Existe, ainda, a questão de redes com sistemas de segurança pouco robustos. Thompson diz que redes sem criptografia são as mais vulneráveis e, infelizmente, comuns em empresa de pequeno e de médio porte. “Grandes organizações se protegem, na maioria das vezes, usando WEP. Um tipo de criptografia considerado por Thompson e por outros como fraco demais. Educação Educar de maneira contínua seus funcionários é a maneira mais rápida para se tornar impopular  em uma empresa. “Os usuários finais veem cada vez mais fazendo parte do sistema de segurança interno da corporação, um tipo de rede de confiança mútua”, afirma Larry Ponemon, fundador e presidente do conselho do Ponemon Institute LLC. Para muitos chefes de TI, os usuários tendem esquecer rapidamente o que lhes é ensinado. Ainda assim a importância desses treinamentos não pode ser ignorada. Um líder de TI do Ponemon, por exemplo, tomou o tempo necessário para explicar aos funcionários porque não deveriam instalar determinados aplicativos para smartphone. Mais precisamente aqueles baseados na internet, como o TripIt, Twitter e aplicativos do Google. Todos podem ser usados por hackers para invadir a rede de celulares e de PCs. Com a medida, 80% dos funcionários deixaram de baixar tais aplicativos. Levay concorda:  “A educação dos usuários é uma das grandes ferramentas de que dispomos atualmente”. “Senhas fracas”, inclui Levay, “são outra ameaça enorme em todos os departamentos de TI”. Por ocasião de uma reunião semanal com empregados, Levay explicou por dez minutos a importância de senhas robustas na próxima vez que os colaboradores forem solicitados a criar novos códigos de acesso. E jamais, mas, jamais, ignore o poder do monitoramento. Funcionário ciente do fato de ser observado funciona bem como maneira a prevenir qualquer operação de má fé por parte dos colaboradores. “Descobrimos que o melhor jeito de manter a segurança dos dados é lembrar a todos que são alvo de constante vigilância”, diz Graves. Direitos de acesso Criar rotinas que verificam o acesso privilegiado de usuários a determinados dados é crucial. Thompson usa o serviço Active Directory, da Microsft, para criar grupos de usuários com direitos de acesso privilegiado e monitorar o uso desses direitos. Cada grupo tem diretrizes de acesso diferentes. “Se eu quiser ver a lista de usuários com acesso a determinados dados basta eu gerar um relatório. Assim também sei que tipo de direitos esses usuário têm sobre os dados”, diz. Apesar da praticidade que esses recursos oferecem, eles são limitados. A ocorrência mais comum é um usuário ter seus direitos de acesso sequestrados por algum hacker, que passa a assumir a identidade desse participante. Levay adotou um esquema de verificação das atividades de cada usuário. Eles recebem um relatório de seus últimos acessos e são solicitados a confirmar que realmente realizaram tais ligações. “Essa rotina, que ocupa poucos minutos por semana, é a solução para o eterno pesadelo do seqüestro de identidade por parte de um hacker”, afirma Levay. É claro que nem esse tipo de verificação é um antídoto contra colaboradores que tenham vendido as almas para a concorrência. Mas existem sinais que evidenciam tais perigos. Um desses sinais é o fato de empregados que têm algum risco de fazer isso, terem também em suas fichas profissionais uma citação, por menor que seja. Uma empresa cliente da Ponemon, por exemplo, teve em seu departamento de TI uma administradora de sistemas que, ao suspeitar que seria demitida, corrompeu a base de dados do empregador. Uma análise mais detalhada no histórico dessa funcionária revelou que em apenas três anos ela havia “perdido” 11 laptops. Possivelmente as pessoas responsáveis pela liberação de novos laptops não registravam a emissão do equipamento ou achavam tratar-se de uma informação pouco útil. Esse exemplo evidencia bem a miopia presente nos esquemas ou na avaliação das informações de segurança das empresas e de seus departamentos de TI. FONTE: http://computerworld.uol.com.br

Novidades

Cadastre-se na Newsletter Brasp

Localização

Matriz - Travessa Expedicionário Aquino Araújo, 744
Edif. Vila Park - Sala 703 - Centro de Vila Velha
Vila Velha - ES

CEP: 29100-032

Filiais - Rio de Janeiro | São Paulo | Campinas | Ribeirão Preto | Bauru | São José do Rio Preto | Piracicaba | Uberlândia
Brasp nas redes sociais
4007-2707 (Toll Free)
ou 27 2122-2700
Brasp
Brasp © 2024 - Todos os direitos reservados

Desenvolvimento e Hospedagem

Brasp © 2024 - Todos os direitos reservados

Desenvolvimento e Hospedagem