Ao longo da história, o ser humano sempre procurou manter os recursos que lhe proporcionavam diferenciais competitivos fora do alcance de grupos rivais.
Com a evolução da espécie veio a percepção de que os principais diferenciais são gerados a partir do acúmulo de experiências e da busca por inovações, condensadas sob a forma de informações.
Desde o início tentou-se proteger as informações privilegiadas, e conseqüentemente os diferenciais competitivos, de caírem em mãos erradas. O problema é que sempre foi necessário um grau elevado de confiança de que as pessoas que possuíam acesso legítimo a essas informações não as revelariam indevidamente.
Como a alma humana é fraca, desde então acontecem casos de espionagem, por meio de ameaças ou propina, ou ainda por simples negligência das pessoas as quais os segredos são confiados.
Com o advento dos computadores, a quantidade de informações disponibilizadas em um único local cresceu, e continua crescendo, de maneira exponencial.
Some-se o encurtamento de distância trazido pela Internet, possibilitando ao mundo que se conecte e compartilhe informações instantaneamente e temos um ambiente em que o vazamento de informações pode prejudicar a reputação e os negócios de uma empresa de maneira irremediável, ocasionando perdas financeiras e de imagem que lhe impossibilitam sua própria sobrevivência.
Isso tornou necessária a definição de controles de acesso às informações, de forma a garantir que apenas o pessoal autorizado tenha acesso às mesmas. Nesse campo, com as atuais tecnologias de autenticação, autorização e auditoria, comumente agrupadas em soluções de gerenciamento de identidade, que mantém organizado todo o ciclo de vida de cada usuário, garantindo que o mesmo terá acesso apenas aos recursos necessários para a execução de suas funções, podemos afirmar tranqüilamente que a aplicação da tecnologia aos processos existentes nos dá um estágio adequado de conforto. Ou seja, já podemos afirmar que controlamos exatamente quem tem acesso aos recursos nos ambientes de tecnologia da informação atuais.
Infelizmente, apesar desse conforto, uma questão permanece aberta e cada vez mais premente nos pensamentos dos executivos: O que essas pessoas que tem permissão de acesso às informações da empresa estão fazendo com esse direito? Estarão elas utilizando as informações apenas para os fins destinados ou, por ganância, insatisfação, pressão, negligência ou quaisquer outras razões, estarão quebrando a confidencialidade esperada e vazando as informações para terceiros?
Esta é uma questão extremamente relevante a partir do momento em que pesquisas de grupos independentes mostram que de 70% a 80% dos incidentes de segurança são perpetuados por pessoal interno a organização.
Até hoje, o único meio de minimizar os problemas causados por este tipo de ação eram os programas de conscientização, apoiados em uma sólida política de segurança e classificação da informação, o que reduz apenas os casos provocados por negligência.
Felizmente as noites mal dormidas dos executivos, relativas a este problema, terão um fim em breve, com a adoção de tecnologias de prevenção de vazamento de informações, ou DLP (Data Loss Prevention) na sigla em inglês, que expandem o conceito de controle de acesso, permitindo que, baseado na política de classificação da informação, o tipo de acesso do usuário seja controlado. Isso traz possibilidades como:
- Evitar que o texto de um documento seja “copiado” e “colado” em outro documento.
- Evitar que um documento seja enviado por e-mail, ou impresso.
- Evitar que determinados documentos sejam gravados em dispositivos de mídia removível.
- Evitar que determinados programas, como o bloco de notas, sejam abertos quando outros, como o CRM, estiverem abertos.
- Evitar que determinados conteúdos sejam enviados por formulários web.
Esse tipo de controle garante que mesmo funcionários descontentes não consigam vazar informações confidenciais, a menos que tirem fotografias da tela, ou copiem os dados em cadernos. Mas aí, por enquanto, só com muito programa de conscientização.
Cristiano Silvério é security officer da Dimension Data
Com a evolução da espécie veio a percepção de que os principais diferenciais são gerados a partir do acúmulo de experiências e da busca por inovações, condensadas sob a forma de informações.
Desde o início tentou-se proteger as informações privilegiadas, e conseqüentemente os diferenciais competitivos, de caírem em mãos erradas. O problema é que sempre foi necessário um grau elevado de confiança de que as pessoas que possuíam acesso legítimo a essas informações não as revelariam indevidamente.
Como a alma humana é fraca, desde então acontecem casos de espionagem, por meio de ameaças ou propina, ou ainda por simples negligência das pessoas as quais os segredos são confiados.
Com o advento dos computadores, a quantidade de informações disponibilizadas em um único local cresceu, e continua crescendo, de maneira exponencial.
Some-se o encurtamento de distância trazido pela Internet, possibilitando ao mundo que se conecte e compartilhe informações instantaneamente e temos um ambiente em que o vazamento de informações pode prejudicar a reputação e os negócios de uma empresa de maneira irremediável, ocasionando perdas financeiras e de imagem que lhe impossibilitam sua própria sobrevivência.
Isso tornou necessária a definição de controles de acesso às informações, de forma a garantir que apenas o pessoal autorizado tenha acesso às mesmas. Nesse campo, com as atuais tecnologias de autenticação, autorização e auditoria, comumente agrupadas em soluções de gerenciamento de identidade, que mantém organizado todo o ciclo de vida de cada usuário, garantindo que o mesmo terá acesso apenas aos recursos necessários para a execução de suas funções, podemos afirmar tranqüilamente que a aplicação da tecnologia aos processos existentes nos dá um estágio adequado de conforto. Ou seja, já podemos afirmar que controlamos exatamente quem tem acesso aos recursos nos ambientes de tecnologia da informação atuais.
Infelizmente, apesar desse conforto, uma questão permanece aberta e cada vez mais premente nos pensamentos dos executivos: O que essas pessoas que tem permissão de acesso às informações da empresa estão fazendo com esse direito? Estarão elas utilizando as informações apenas para os fins destinados ou, por ganância, insatisfação, pressão, negligência ou quaisquer outras razões, estarão quebrando a confidencialidade esperada e vazando as informações para terceiros?
Esta é uma questão extremamente relevante a partir do momento em que pesquisas de grupos independentes mostram que de 70% a 80% dos incidentes de segurança são perpetuados por pessoal interno a organização.
Até hoje, o único meio de minimizar os problemas causados por este tipo de ação eram os programas de conscientização, apoiados em uma sólida política de segurança e classificação da informação, o que reduz apenas os casos provocados por negligência.
Felizmente as noites mal dormidas dos executivos, relativas a este problema, terão um fim em breve, com a adoção de tecnologias de prevenção de vazamento de informações, ou DLP (Data Loss Prevention) na sigla em inglês, que expandem o conceito de controle de acesso, permitindo que, baseado na política de classificação da informação, o tipo de acesso do usuário seja controlado. Isso traz possibilidades como:
- Evitar que o texto de um documento seja “copiado” e “colado” em outro documento.
- Evitar que um documento seja enviado por e-mail, ou impresso.
- Evitar que determinados documentos sejam gravados em dispositivos de mídia removível.
- Evitar que determinados programas, como o bloco de notas, sejam abertos quando outros, como o CRM, estiverem abertos.
- Evitar que determinados conteúdos sejam enviados por formulários web.
Esse tipo de controle garante que mesmo funcionários descontentes não consigam vazar informações confidenciais, a menos que tirem fotografias da tela, ou copiem os dados em cadernos. Mas aí, por enquanto, só com muito programa de conscientização.
Cristiano Silvério é security officer da Dimension Data