Arquivo de Tag | DLP
maio 22, 2012  

O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerabilidade das corporações

Fabio Luiz Zanin[1]

 Resumo: Apresenta-se neste artigo – após uma centena de reuniões junto aos CSOs (Chief Security Officer) do mercado corporativo – a preocupação em manter seguras as informações estratégicas dos negócios corporativos, em razão do crescente volume de dados e da variedade das formas de acessa-los, manipula-los e compartilha-los. A questão apresentada foi a possibilidade do vazamento das informações, colocando em risco o capital intelectual das empresas e consequentemente o capital financeiro. Neste cenário está o colaborador que tem em si o duplo papel de viabilizar a vida das corporações e a manipulação dos dados corporativos. Foram analisadas a expansão dos dados não estruturados que carregam informações essenciais das organizações e as possibilidades de soluções de software que pudessem atender à classificação destes dados de modo a proteger as empresas de vulnerabilidades quanto à exposição destas informações, preservando o capital intelectual e financeiro das empresas e ainda minimizando os desgastes pessoais e sociais. 

Palavras Chaves: Classificação da Informação. Controle de Acesso. Governança de Dados. Políticas de Segurança da Informação. Tecnologia da Informação. 

1.    Introdução 

No universo da física sabe-se, desde o século XVII, que o movimento dos corpos estão relacionados a três Leis: Inércia (na ausência de forças externas, um objeto em repouso permanece em repouso); Força (a mudança do movimento é proporcional à força motriz impressa sobre o corpo); e Ação e Reação (se um corpo exerce uma força sobre outro corpo, este outro exerce uma força igual e contrária) (NEWTON, 1846: 83).

No sentindo da ação e reação, localizados no tempo e espaço contemporâneos, e no que se refere à informação presente no cenário da Tecnologia da Informação, podemos observar que o crescente volume de dados, entendido aqui como ação, na melhor das hipóteses, exerce uma força igual e contrária ao gerenciamento e controle destes dados. Embora aqui não se trate de corpos do universo da física, onde os resultados são instantâneos quando colocados em prática, o princípio da ação e reação devem ser observados, principalmente nas especificidades de seu ambiente não palpável e de seus agentes humanos. Ambos, ambiente e agentes, não são estanques, estão em constante movimento e interagem entre si, assim, a ação e a reação demandam um maior período de maturação para serem avaliadas, no entanto a velocidade da informação não comporta períodos longos, as palavras de ordem da contemporaneidade são velocidade e segurança. A força do volume de dados se intensifica a cada dia, assim os esforços da TI devem exercer uma antecipação a esta força de modo a controla-la. 

1.1.  Objetivos Gerais

A tecnologia da informação nos proporciona inúmeras novas oportunidades, diferentes tipos de negócios, mercados, conectando colaboradores internos e externos ao redor do mundo. Mas os mesmos sistemas que nos conectam também aumentam a complexidade e o risco, as informações corporativas, sensíveis aos negócios de cada corporação, em muitas vezes, estão superexpostas, seja pela tecnologia utilizada que não se aplica eficazmente ao controle das informações, seja pela quantidade de colaboradores que têm acesso às informações.

O que torna possível a dinâmica das corporações são as pessoas que dela fazem parte, entretanto as pessoas, em sua essência, são autônomas, móveis e livres, assim é possível afirmar que as corporações pouco podem fazer para controlar as suas ações quanto à manipulação de seu maior Patrimônio: As Informações, os Dados Corporativos, o Capital Intelectual. A questão que se coloca é como manter a dinâmica corporativa preservando suas Informações, seus Dados e seu Capital Intelectual. 

1.1.1.   Objetivos Específicos

Não seria possível mensurar financeiramente o valor exato do referido patrimônio. Qual seria o valor financeiro de uma fórmula química, de um projeto automobilístico, de uma carteira de clientes, de uma campanha publicitária, de uma investigação? São infinitos os tipos de Capital Intelectual, eles são o coração do negócio das corporações, estão espalhados em Dados Não-Estruturados[2] – arquivos de textos, planilhas, apresentações, e-mails -, e acessados por diversas áreas, áreas compostas por pessoas. Temos de um lado informações preciosas inseridas nos mais variados tipos de arquivos e de outro, também uma variedade de pessoas que manipulam estas informações. Assim, quais medidas se fazem necessárias para que ambos os lados dialoguem em suas áreas afins de modo a preservar o patrimônio intelectual das corporações e quais forças são solicitadas para controlar as ações individuais e manter o movimento dos negócios? 

2.    História da Segurança da Informação 

A necessidade de proteger os canais de comunicação entre pessoas de uma mesma comunidade vem desde os primórdios da civilização, a ideia de não só proteger os meios de comunicação mais também de proteger o próprio conteúdo da mensagem, através de sua cifração, é também muito antiga.[3].

Em 1845, um ano depois da invenção do telégrafo, foi desenvolvido um código de encriptação para manter secretas as mensagens transmitidas. Durante os anos de 1970, equipes formadas por elementos do governo e da indústria – crackers – tentavam ultrapassar as defesas de sistemas de computadores num esforço de descobrir e corrigir as falhas de segurança[4].

Foram décadas de acontecimentos[5]:

  • 1946: Criação do primeiro computador eletrônico, o ENIAC, pelo exército americano.
  • 1964: Lançamento do MAINFRAME S/390, pela IBM.
  • 1969: Criação da ARPANET, com a finalidade de interligar centros de computação militares e acadêmicos.
  • 1980: Início da onda de popularização dos computadores pessoais.
  • 1982: O primeiro programa com características de vírus que se tem notícia, chamado de ELK CLONER criado para a plataforma Apple II.
  • 1983: É Lançado o Windows 1.0.
  • 1984: Criada a ISSA – Information Systems Security Association, primeira associação para profissionais de Segurança de Sistemas.
  • 1986: Criação da Computer Fraud and Abuse Act, sendo a primeira lei que tipifica crimes de computador.

Em 2002, foi aprovada nos EUA a Lei Sarbanes-Oxley[6], que visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas. Também em 2002, no Brasil, tivemos a criação do Decreto 4.553 que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal[7]

2.1.  A Segurança da Informação

A segurança da informação está relacionada com a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Seus atributos básicos são confidencialidade, integridade, disponibilidade e autenticidade, e não estão restritos aos sistemas computacionais, informações eletrônicas ou sistemas de armazenamento, o conceito de segurança da informação se aplica a todos os aspectos de proteção de informações e dados[8]

2.1.1.   Norma ABNT NBR ISO/IEC 17799:2005

Segundo a norma NBR 17999, segurança da informação é proteger a informação de vários tipos de ameaças das corporações para garantir a continuidade do negócio, minimizar seus riscos, maximizar o retorno sobre seus investimentos e suas oportunidades (ABNT, 2005).

Existem três pilares da segurança da informação:

  • Confidencialidade: visa manter informações sigilosas longe de pessoas não autorizadas para terem acesso a elas. Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo;
  • Integridade: visa proteger a informação de modificações não autorizadas, imprevistas ou não intencionais. Assim, toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário
  • Disponibilidade: toda informação gerada ou adquirida deve estar disponível aos seus usuários no momento em que eles necessitem dela.

Esta norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação, os objetivos de controle têm como finalidade atender aos requisitos identificados por meio da análise/avaliação de riscos, de modo a contribuir para a confiança nas atividades interorganizacionais (ABNT, 2005). 

A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. Confidencialidade, integridade e disponibilidade da informação podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organização no mercado. Cada vez mais as organizações, seus sistemas de informação e redes de computadores são colocados à prova por diversos tipos de ameaças à segurança da informação de uma variedade de fontes, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo ou inundação. Problemas causados por vírus, hackers e ataques de denial of services estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados (ABNT, 2001).

A dependência nos sistemas de informação e serviços significa que as organizações estão mais vulneráveis às ameaças de segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso (BELITARDO e CHAMON, 2004).

A tendência da computação distribuída dificulta a implementação de um controle de acesso centralizado realmente eficiente. Muitos sistemas de informação não foram projetados para serem seguros. A segurança que pode ser alcançada por meios técnicos é limitada e convém que seja apoiada por gestão e procedimentos apropriados. A identificação de quais controles convém que sejam implantados requer planejamento cuidadoso e atenção aos detalhes. A gestão da segurança da informação necessita, pelo menos, da participação de todos os funcionários da organização. Pode ser que seja necessária também a participação de fornecedores, clientes e acionistas. Consultoria externa especializada pode ser também necessária. Os controles de segurança da informação são consideravelmente mais baratos e mais eficientes se forem incorporados nos estágios do projeto e da especificação dos requisitos (ABNT, 2005). 

3.    Governança de Dados: Pré-requisito para as Empresas 

Estudo realizado pelo Conselho de Governança de Dados da IBM identificou importantes desafios na área de gerenciamento de informações, que poderão redefinir o comportamento das empresas e a capacidade do mercado de confiar em seus dados. Entre as principais questões apontadas como possíveis tendências estão: em alguns países, a governança de dados se tornará um requisito regulatório e as empresas terão que demonstrar suas práticas de governança aos órgãos fiscais como parte de auditorias regulares; o valor dos dados será tratado como um ativo no balanço, ao mesmo tempo em que a qualidade dessas informações se tornará uma métrica de relatório técnico e um indicador-chave de desempenho da área de TI; o papel do CIO mudará; calcular o risco se tornará uma função da área de TI; os indivíduos deverão assumir maior responsabilidade no sentido de reconhecer problemas e participar do processo de governança[9].

Em 2005, através de uma rede de especialistas em armazenamento (Faitelson Yaki e Ohad Korkus), após um longo período na concepção, desenvolvimento e implementação de redes de grande escala e de infraestruturas de gerenciamento de dados (NetVision e Network Appliance – Netapp), chegaram a uma constatação: Os processos para monitorar quem tem acesso a dados confidenciais, encontrando seus proprietários e controlar o acesso a esses dados, foram fundamentalmente falhos, uma vez que eram manuais e raramente garantiam que o acesso a tais dados de direito fossem consistentemente mantidos. Analisando e implementando os métodos principais para a proteção de dados, entenderam que as abordagens disponíveis não eram apenas ineficazes, mas não poderiam ser modificadas com sucesso para garantir o acesso legítimo.

A questão central que se colocou foi o controle de dados ou a governança como um processo de negócio e que era necessária uma metodologia baseada em contexto de negócios. As tecnologias existentes eram concentradas demais no gerenciamento de usuários ou na compreensão de dados (VARONIS, 2005). 

3.1.  Fundamentos para Governança de Dados[10]

  • Quem tem acesso aos Dados?
  • Quem tem acessado os Dados?
  • Quais Dados são Sensíveis?
  • Como gerenciar Dados Sensíveis superexpostos?
  • Quem é o proprietário da informação?

 3.1.1.   Desafios do Gerenciamento de Dados[11]

Encontrar e classificar dados sensíveis:

  • Complexidade na busca de Dados em constante crescimento.
  • Dificuldade em manter a classificação atualizada.
  • Os resultados, quando atingidos, fornecem apenas o primeiro passo para proteção.

Identificar os proprietários dos dados da corporação:

  • Nome da pasta ou caminho não identifica o proprietário real.
  • Processo de identificação muito demorado.
  • Quantidade significativa de Dados “Órfãos” sem proprietário, sem relevância e desperdiçando espaço em discos e storages.

Entender quem está acessando e como:

  • Auditoria nativa impacta na performance dos servidores, gerando um grande volume de dados difíceis de decifrar.
  • Trilha de auditoria é comumente acionada depois do fato ocorrido.

Encontrar proprietários dos Dados: Arquivo, pasta, nome e local, identificando quem e quando criou ou acessou.

Garantir que as permissões sejam baseadas nas necessidades do negócio:

  • Os colaboradores mudam e as autorizações crescem.
  • Permissões quase nunca são retiradas.
  • Ao longo do tempo os usuários acumulam autorizações de acesso.
  • Ferramentas são manuais, demoradas e sujeitas a erros.

4.    Como Atender às Demandas da Classificação de Dados 

A complexidade gerada pelo grande volume de dados e a forma pela qual são compartilhados e armazenados, solicita uma tecnologia que determine e efetue autorizações a estes dados, encontrando as confidencialidades e seus proprietários, uma solução pela qual os colaboradores das corporações alinhassem seus acessos e manipulações de acordo com a necessidade do negócio. Tal solução deve oferecer total visibilidade e controle sobre seus dados, garantindo que os colaboradores tenham acesso aos dados relativos ao contexto intrínseco de seu trabalho. 

4.1.  O Controle de Acesso

Limpeza de permissão de acesso aos Dados:

  • Grupos globais.
  • Grupos obsoletos.
  • Listas de controle de acesso a arquivos do sistema corrompidos.

Identificação dos Proprietários dos Dados

Otimização da Eficiência do dia-a-dia na Operação dos Dados:

  • Testar permissões e mudanças de grupos.
  • Implementar permissões e mudanças de grupos.
  • Facilita a migração dos Dados.
  • Recupera arquivos perdidos.

Melhoria na Segurança dos Dados:

  • Escalabilidade coerente para a auditoria dos sistemas de arquivos.
  • Comportamento anômalo.
  • Continuidade dos negócios.
  • Detenção de permissionamento e troca de grupos.

Envolvimento automático do proprietário dos dados na proteção de seus Bens e Documentos:

  • Provas de segurança.
  • Autorização.
  • Relatórios.

 5.        Conclusões Preliminares 

A segurança da informação, conforme apresentado, sempre permeou o pensamento humano. A contemporaneidade, tendo como campo delimitado a Tecnologia da Informação e sua respectiva responsabilidade por gerenciar dados e informações, apresenta uma dinâmica jamais imaginada, a explosão do volume de informações em Dados Não-Estruturados. Este cenário demanda um reposicionamento das tecnologias, pois está em cena um ator fundamental: o colaborador.

Manter a disponibilidade dos dados, através de virtualização de servidores, backup eficientes, firewalls e/ou antivírus é apenas uma parte do problema dos gestores de TI e talvez não seja a mais complexa, pois há no mercado uma série de soluções que dão conta destas questões. É provável que a maior complexidade seja o controle dos acessos e a identificação da manipulação do que é acessado. O referido ator tem de um lado uma identidade construída dentro da organização, tem relações pessoais, adquiriu algum nível de status e tem o seu quantum de poder, e de outro lado tem acessos correspondentes a estes atributos, entretanto tais acessos não correspondem necessariamente à especificidade de suas funções e aos interesses produtivos das corporações. Temos aqui um cenário delicado e paradoxo. Uma corporação não é um fim em si mesma, os dados, informações e colaboradores são a própria corporação, no entanto a abertura de novas formas de compartilhamento colocam estes elementos constituintes em oposição, no entanto um depende do outro.

Em busca de maior competitividade e produtividade, cada vez mais, as corporações compartilham digitalmente suas informações, formam equipes multifuncionais e multidisciplinares, aumentando a fluidez do acesso a diversos tipos de dados e consequentemente a necessidade de protegê-los, pois nestas informações estão clientes, produtos, funcionários, parceiros comerciais e investidores. As corporações de um modo geral não possuem soluções de tecnologia que tragam uma gestão eficiente das informações acessadas por seus colaboradores. As empresas dependem cada vez mais dos sistemas da Tecnologia da Informação, os atuais CSO (Chief Security Officer) possuem a árdua tarefa de criar processos para gerenciar e controlar os acessos, mantendo suas informações dentro de normas e políticas de auditoria e conformidade, buscando evitar possíveis vazamentos das informações estratégicas da empresa.

No nosso entendimento e em uma breve pesquisa de software ligados a esta temática, a solução Varonis DatAdvantage apresentou funcionalidades que atendem satisfatoriamente à Classificação da Informação e seu respectivo controle de Dados Não Estruturados, e ainda dialoga com as legislações e normatizações vigentes. Esta solução atua na inteligência de negócio permitindo o controle de acesso e auditoria, identificação de dados não utilizados (economia de disco), identificação do proprietário da informação, migração e consolidação de dados, auditoria e relatórios de compliance, controle de acesso e revogação de permissões.

A solução pode ser utilizada por diferentes grupos/times dentro da organização. Os Administradores Windows Server, Domínio, Rede, Helpdesk, Operações de TI, Responsáveis pela Segurança da Informação, Compliance e Auditoria, podem ser treinados e designados para utilização da solução que responde às questões chaves da Classificação da Informação: Quem são os proprietários de seus dados corporativos? Quem está acessando estes dados? Quem tem permissão para acessar esses dados? Quem deveria ter suas permissões revogadas? As respostas correspondentes possibilitam que os dados estejam protegidos adequadamente e ainda sejam implementadas as mudanças necessárias.

Descobrir quais são as pastas mais acessadas em vários servidores de arquivos apresenta-se como uma tarefa difícil e trabalhosa considerando que haverá servidores nem sempre em um mesmo local físico e com plataformas diferentes. Com a referida solução é possível identificar variações de padrão de acesso aos arquivos e pastas dos servidores e automatizar o processo de revisão dos direitos de acesso. Os proprietários de dados e grupos de segurança poderão obter automaticamente formulários de revisão programada que podem ser revisados e assinados digitalmente, implementando workflows de controle de acesso automatizados que permitem aos proprietários dos dados a participação direta no processo de governança.

Em TI a inércia não é uma opção, bem como o gerenciamento da ação e reação, aqui é solicitada a força caracterizada pela utilização de tecnologias capazes de determinar políticas e normas de segurança de acesso e manipulação de dados em seu contexto de uso, criando uma trilha de auditoria de todo arquivo acessado, por cada usuário em todos seus servidores de arquivos e storages, a fim de fortalecer sua competitividade e produtividade, atendendo aos padrões nacionais e internacionais de segurança, preservando o seu capital intelectual e minimizando os desgastes pessoais e sociais.

 

Referências Bibliográficas 

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 17799:2000.

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 17799:2005.

Belitardo, Cristiane e Chamon, Marco Antonio. Um Modelo Organizacional para Segurança da Informação. In: 1ºCONTECSI Congresso Internacional de Gestão de Tecnologia e Sistemas de Informação, 2004, São Paulo SP.

BRASIL. Presidência da República, Casa Civil, Subchefia para Assuntos Jurídicos. Decreto nº 4.553, 27/12/2002. Disponível em http://www.planalto.gov.br/ccivil_03/decreto/2002/D4553.htm. Acesso em 07/04/2012.

NEWTON, Sir Isaac. Mathematical Principles of Natural Philosophy (translated into English by Andrew Motte). New York: Daniel Adee, 1846.

QUARESMA, Pedro. Criptografia. Universidade de Coimbra, Departamento de Matemática. Disponível em <http://www.mat.uc.pt/~pedro/lectivos/CodigosCriptografia1011/artigo-gazeta08.pdf>. Acesso em 07/04/2012.

SANTOS, André Horacio Guimarães. A História da Segurança da Informação, 2008. Disponível em <http://pt.scribd.com/doc/13503511/A-Historia-Da-Seguranca-Da-Informacao>. Acesso em 07/04/2012.

VANACOR, Adriane. A História da Computação e da Segurança de Informação – Parte 1. O Arquivo, 15/04/2012. Disponível em <http://www.oarquivo.com.br/index.php?option=com_content&view=article&id=2048:a-historia-da-computacao-e-da-seguranca-de-informacao-parte-1&catid=88:colaboradores&Itemid=57>. Acesso em 07/04/2012.

Governança de dados será pré-requisito para empresas. Meta Análise – Inteligência de Mercado para os melhores negócios, 12/08/2008. Disponível em <http://www.metaanalise.com.br/inteligenciademercado/index.php?option=com_content&view=article&id=734:governande-dados-serrequisito-para-empresas&catid=9:pesquisas&Itemid=359>. Acesso em 07/04/2012.

Mastering the Information Explosion. Varonis Systems, 2011. Disponível em <http://www.varonis.com/metadata/mastering-information-explosion/>. Acesso em 16/04/2012.

Mundo criará quase 1 Zettabyte em dados no ano 2010. Jornal O Estado de São Paulo On-Line, 18/04/2007. Disponível em <http://www.estadao.com.br/arquivo/tecnologia/2007/not20070418p13878.htm> Acesso em 16/04/2012.

Unstructured Data Protection and Management. Varonis Systems, 2005. Disponível em http://www.varonis.com/company/index.html. Acesso em 16/04/2012.

[1] Sócio fundador da Virtù Tecnológica (www.virtutecnologica.com.br). Atua há 22 anos na área comercial, sendo 16 anos comercializando solução em Tecnologia da Informação para ambientes corporativos. Graduado em Marketing e Vendas, pós-graduado em Gestão de Negócios e concluinte (Jul/2012) do MBA Gestão Empresarial pela BSP – Business School SP.

[2] Estima-se que mais de 80% dos dados de uma empresa estão em forma não estruturada – em pastas compartilhadas em servidores de arquivos ou Network Attached Storage (NAS) espalhados pela empresa. Fonte: IDC. Disponível em http://www.estadao.com.br/arquivo/tecnologia/2007/not20070418p13878.htm. Acesso em 16/04/2012.

[3] O Imperador Romano Julio Cesar (100 – 44 a.C.) desenvolveu uma cifra simples para poder se comunicar com os seus Generais. Disponível em http://www.mat.uc.pt/~pedro/lectivos/CodigosCriptografia1011/artigo-gazeta08.pdf. Acesso em 07/04/2012.

[6] Disponível em http://www.fraudes.org/showpage1.asp?pg=312. Acesso em 07/04/2012.

[8] Disponível em http://info.abril.com.br/forum/viewtopic.php?f=122&t=371. Acesso em 07/04/2012.