Embora a Segurança de Dados e Informação seja um dos temas mais frequentemente discutidos nos tempos que correm, continua infelizmente a ser muitas vezes negligenciado. Aliás, o número de empresas que afirma ter perdido dados importantes, ou até confidenciais, devido a ameaças de segurança, não pára de aumentar.
Sem um conhecimento profundo das nefastas e arrasadoras consequências que a perda de dados pode ter sobre o normal funcionamento de uma qualquer organização, Empresários, Gestores de TI e Utilizadores pisam frequentemente a ténue linha que pode conduzir ao desastre, tantas vezes anunciado.
Numa sociedade cada vez mais globalizada, onde a produção de informação digital atinge recordes a cada dia que passa, a segurança de dados não significa apenas a utilização de um qualquer mecanismo de backup ou um simples antivírus. Nos dias de hoje, os tradicionais planos de segurança per si são manifestamente insuficientes, sobretudo se tivermos em conta que a questão de fundo é transversal a utilizadores e decisores, pois é essencialmente comportamental.
Sintomático desta atitude, é a conclusão que se pode extrair de um inquérito recentemente publicado pela Cisco. Junto de um painel abrangente e heterogéneo de inquiridos, esta tecnológica colocou a seguinte questão: “Quando está a planear investir em segurança?”. O resultado não poderia ser mais esclarecedor: nos próximos 3 meses – 27%; dentro de 6 meses – 8%; dentro de 12 meses – 32%; não estou a pensar – 32%. Daqui se conclui, que mais de 60% dos inquiridos não leva a segurança muito a sério, não planeando qualquer investimento a curto prazo.
Mas quando estamos afinal perante uma perda de dados? Convencionalmente, poder-se-á definir uma perda de dados como uma situação em que o acesso aos dados armazenados digitalmente, seja qual for o suporte, é impedido de uma forma permanente. As causas para esta situação são as mais díspares e passam por avarias electrónicas ou mecânicas; erros humanos; formatação dos dispositivos de armazenamento; incêndios; desastres naturais; pirataria e hacking; ou o agora tão falado Phishing.
De acordo com alguns dos estudos que têm vindo a ser publicados, aproximadamente metade das perdas de dados são devidas a erros de hardware. No caso de particulares, resultam essencialmente de falhas nos discos rígidos e memórias flash, sendo que ao nível empresarial, haverá ainda que incluir problemas com os sistemas RAID ou acções desenvolvidas por técnicos não qualificados. Ao erro humano é atribuído o segundo lugar do ranking das principais causas de perda de informação, e curiosamente os tão temidos vírus não representam uma percentagem superior a 7%.
Ainda relacionado com a perda de informação, está a proliferação de equipamentos portáteis, que embora redefinam o conceito de mobilidade e tenham um contributo decisivo na produtividade, são também responsáveis pelo aumento da vulnerabilidade face a acidentes ou roubos. Outro dos elementos interessantes que se tem trazido para a discussão da segurança de dados está ligado ao facto de, nos dias de hoje, as ameaças provenientes do interior da própria organização surgirem num patamar superior ao dos ataques com origem externa.
A colaboração online entre os funcionários de uma empresa, bem como as acções que possam desenvolver como gestão de contas bancárias, interacção em redes sociais, falta de capacidade critica sob os emails que lhe são endereçados etc, não só se pode traduzir numa má prática generalizada, como ser o suficiente para tornar um sistema vulnerável, elevar significativamente o risco e até manchar a imagem corporativa de uma organização.
A análise dos riscos de segurança, ou tão-somente do risco, é pois essencial na avaliação dos custos directos e indirectos aos quais a organização é exposta, bem como ao nível a que se pode aceitar expor o negócio. Uma das metodologias com que se pode avaliar o risco, traduz-se pela equação.
A Ameaça afigura o tipo de acção com potencial para danificar ou causar grande impacto, sendo que a Vulnerabilidade representa o nível de exposição à ameaça num âmbito em particular. Já as Contra-medidas, ou também denominadas medidas defensivas, caracteriza o conjunto de acções desenvolvidas no sentido de prevenir a Ameaça.
O conceito de Contra-medidas não passa exclusivamente por um conjunto de medidas de carácter técnico. Passa também pela formação, pelo compromisso dos utilizadores e pela precisão com que as regras estão definidas e são divulgadas no seio das Empresas e Organizações.
É no seguimento desta ideia, que a segurança informática de uma empresa e, em particular dos seus dados, resultam obrigatoriamente de um conhecimento claro por parte dos colaboradores das normas em vigor e das obrigações de cada um.
Este conhecimento não deve no entanto passar exclusivamente pela publicação de documentos com procedimentos ou avisos. Será pois necessário dar passos determinados na implementação de uma política que facilite transmissão de conhecimento e a chegada de informação às pessoas: onde claramente o binómio sensibilização e formação seja enfrentado como uma prioridade.
Indiferentemente da orientação a seguir, existe um conjunto de pontos que deverão fazer parte de um plano. São eles:
- Disponibilização de Dispositivos de segurança físicos e lógicos, adaptados às necessidades de cada empresa e aos usos dos seus colaboradores;
- Regras e Politicas de segurança da rede, com destaque para as que podem expor a organização a ameaças externas, como a utilização do email ou Internet;
- Formação de colaboradores e consciencialização para comportamentos a evitar;
- Plano de recuperação após incidente;
- Estratégias de salvaguarda, correctamente planificadas;
- Procedimentos para uma correcta gestão de actualizações;
- Documentação actualizada sobre os sistemas (sejam de hardware ou software) e quais as interacções entre cada um e eventuais dependências.
De um ponto de vista técnico, e tendo em atenção as várias soluções não tradicionais, uma das abordagens passa pela DLP (Data Lost Prevention), que tem demonstrado um grau de eficiência e protecção elevados. A tecnologia DLP é utilizada para proteger informações sensíveis, tais como: dados financeiros, informação médica, detalhes de contas bancárias ou informação de carácter privado. Os dados são bloqueados sempre que não seja autorizada a sua difusão ou onde não estejam a ser cumpridas regras para a sua transmissão, como por exemplo, o recurso a encriptação. Embora a DLP conte ainda com algumas lacunas, nomeadamente a incapacidade em filtrar imagens, é uma tecnologia que eleva a fasquia na prevenção da perca de dados, ou da propriedade intelectual de um Indivíduo ou da sua Organização.
Em suma, o importante a reter é a necessidade inequívoca numa aposta em segurança dos dispositivos informáticos, nas redes de dados, assim como na formação dos recursos humanos. Para além de demonstrar clarividência, é uma aposta na robustez da organização e sobretudo no que é Core ao seu funcionamento: os Dados e a Informação.