Segundo estatísticas do Ponemon Institute (www.ponemon.org), o custo de cada registro de dado perdido nos EUA vem aumentando a cada ano e, em 2008, teve custo médio de US$ 202, sendo que quase 70% desse valor representam a perda de novas oportunidades de negócio. O Identity Theft Resource Center (ITRC - www.idtheftcenter.org) publicou que mais de 35 milhões de registros de dados foram vazados no ano passado só nos EUA. São bilhões em perdas financeiras. É realmente a “patologia corporativa” das mais incômodas atualmente, capaz de deixar em xeque a competitividade e a credibilidade de empresas perante clientes, parceiros, acionistas e investidores.
Mas o que fazer para evitar ou, pelo menos, minimizar os riscos? Podemos partir do princípio de que informações possuem um ciclo de vida que vai desde a criação, passando por manipulações, até o descarte. Também vamos considerar que durante todo esse ciclo, a informação terá que ser armazenada em algum lugar e terá também que trafegar por vários meios distintos, podendo ser de forma eletrônica ou não. Pronto! Então, basta fazer uma boa gerência desse ciclo de vida e controlar os meios em que a informação deve existir, seja meio de armazenamento ou de tráfego. Em outras palavras, é necessário ter conhecimento e controle de onde os dados sigilosos se encontram e de como estão sendo usados. Muito simples, certo? Errado! Isso envolve uma série de ações que permeiam pelos mais variados campos da Gestão da Segurança da Informação. Para ser mais específico, em todos aqueles onde o princípio da Confidencialidade (CID, lembra?) possui maior relevância. É um grande desafio!
O desafio torna-se maior ainda quando nos damos conta de que vivemos em uma época onde o compartilhamento de arquivos está extremamente facilitado em um cenário de total mobilidade computacional. Exatamente por isso, é quase que inexequível controlar a utilização de gadgets armazenadores de dados, até porque começaríamos a adentrar em uma paranóia pouco saudável (sim, existe paranóia saudável!) e comprometer o grande benefício desse mundo portátil e em rede: a praticidade.
Quer dizer que não precisamos nos preocupar em proibir o uso de pen-drives, celulares, câmeras digitais, CDs/DVDs e Cia? Exato! Esse bloqueio seria uma boa maneira de mitigar os riscos dos quais estamos falando. Porém, hoje em dia, na maioria dos casos precisaremos esquecer isso. É aí que se lança mão da tecnologia, utilizando soluções de DLP (Data Loss Prevention), por exemplo, que sejam capazes de proteger a informação em seus repositórios e controlar o seu uso direto na ponta (usuário), evitando e rastreando qualquer vazamento intencional ou não. Isso inclui proteger as informações confidenciais determinando se certo dado, ou parte dele, pode ser acessado, copiado, impresso, transmitido via rede ou enviado para qualquer meio de entrada e saída.
No entanto, como sabemos, tecnologia não é panacéia e, além disso, o ser humano torna-se extremamente criativo, sobretudo quando munido de intenções maquiavélicas. Por isso, contra o vazamento de informações, é INDISPENSÁVEL considerar todas as boas práticas de segurança relacionadas à gestão de pessoas, como, por exemplo, o estabelecimento de NDAs (Non-Disclosure Agreement) em contratos, desenvolvimento de programas de conscientização e educação, implantação e divulgação das políticas e normas vigentes, sem esquecer de outros detalhes importantíssimos como processos de segurança física, patrimonial e a (polêmica) classificação da informação. Ainda assim, é impossível garantir risco zero, portanto é fundamental que se tenha um processo reativo, a qualquer detecção de incidente, totalmente respaldado para evitar problemas legais e possibilitar, quando possível, a recuperação de perdas.
Nesse contexto, percebe-se que os controles para minimizar os riscos de vazamento de informações giram sempre em torno das duas fases desse tipo de incidente: o acesso ao dado e a transmissão dele para um ambiente fora de controle. Em cima disso, sendo intencional ou não, o vazamento possui uma enormidade de ramificações e pode ocorrer através de complexas ações de espionagem até simples conversas inocentes por e-mail, instant messengers, elevadores ou no café da esquina.
Fonte: http://www.websense.com/global/en/resourcecenter/leaksolutions/Portanto, antes de adoecer dessa pandemia, perder dados sensíveis e ter que amargar graves prejuízos, a melhor saída é agir proativamente e com foco em prevenção, vislumbrando controles de segurança adequadamente viáveis para cada contexto de negócio e aliados a cultura organizacional, fazendo valer aquela velha máxima: “antes prevenir, do que remediar”. De fato, não é uma constatação nova, mas você está preparado para isso?
