Académique Documents
Professionnel Documents
Culture Documents
Websense Brasil
Morumbi, So Paulo Brasil
tel +55 11 3568 2050
fax +55 11 3568 2200
www.websense.com/brasil
Introduo
Os vazamentos e perdas de dados podem custar sua organizao somas significativas de dinheiro em
aspectos jurdicos, relaes pblicas e reputao de marca. E isso ainda antes de comearmos a falar
sobre o possvel efeito a longo prazo no preo das aes de sua empresa.
Cada vez que uma organizao perde uma unidade USB ou um CD-ROM, ou sofre uma violao de dados,
as mesmas perguntas antigas aparecem nos meios de comunicao: Por que no havia sistemas de TI
implementados para exigir a aplicao das polticas de segurana da empresa? Por que os dados estavam
sendo transportados em um formato sem criptografia e/ou inseguro?
Ouvimos com frequncia que acesso remoto autenticado, criptografado e com registro de auditoria aos
dados podee deveriater sido fornecido aos funcionrios envolvidos, que ento s poderiam obter
acesso aos registros de dados especficos sobre os quais seu trabalho requeria que tivessem detalhes.
Ser que os administradores de segurana de TI dominam a proteo contra vazamentos de dados e
desenvolveram sistemas e estratgias para prevenir vazamentos e perdas de dados?
Uma avaliao rpida das notcias sobre desastres de dados do mundo inteiro revela que isso no ocorreu,
embora muitas organizaes agora estejam adotando mais medidas para aprimorar a segurana dos
dados.
Vamos analisar alguns dos incidentes de perda de dados com os quais os profissionais de segurana de TI
podem aprender.
Este documento contm uma declarao geral sobre alguns problemas de proteo de dados que surgiram no domnio pblico e
no um resumo de todas as questes, porque os ambientes de TI e organizacionais so exclusivos em cada empresa. Voc deve
buscar orientao especfica sobre qualquer questo especfica. Embora as informaes contidas neste documento tenham sido
elaboradas de boa f, nenhuma declarao ou garantia, expressa ou implcita, ou ser apresentada, e nenhuma responsabilidade
ou ser aceita pela Websense ou por qualquer de suas afiliadas, e os respectivos executivos, funcionrios ou agentes em relao
preciso ou completude dessas informaes ou quaisquer outras informaes orais ou por escrito disponibilizadas a qualquer
parte interessada, e qualquer responsabilidade desse tipo expressamente negada.
Email acidental
Em junho de 2011, um conselho local no Reino Unido recebeu a multa
mais elevada do rgo regulador de dados do Reino Unido at a
data ( 120.000), por enviar repetidamente emails confidenciais
para diversos terceiros. Alm de os endereos estarem errados, os
arquivos de dados no estavam criptografados. No primeiro incidente,
um funcionrio da Equipe de Cuidados Sociais para Adultos enviou
por email um arquivo contendo dados confidenciais sobre 241
pessoas para endereos de email de grupo que incluam empresas
de contratao de taxi, van e micronibus. No segundo incidente, mais de 100 destinatrios
receberam dados confidenciais semelhantes. O terceiro incidente envolveu o Departamento
de Servios para Crianas e o conselho enviou dados confidenciais, incluindo informaes de
sade, para o email de grupo interno errado.
Oito meses antes, em agosto de 2009, uma empresa de hipotecas (tambm no Reino Unido)
enviou um arquivo que inclua dados pessoais sobre dvidas ou processos de restituio de
possepara sua sede e diversos outros destinatrios, como parte de um relatrio de anlise
mensal. O arquivo no estava criptografado ou protegido por senha e o destinatrio original
seria um consultor, que usava um endereo de email particular. Em vez disso, as informaes
foram enviadas para um desconhecido que tinha um endereo de email semelhante.
No incio do segundo semestre de 2011, dois pesquisadores dos EUA revelaram que
haviam configurado domnios da Web que imitavam domnios legtimos pertencentes a
empresas Fortune 500. Incrivelmente, conseguiram reunir 20 gigabytes de emails enviados
incorretamente em seis meses. Os dados obtidos incluam nomes de usurio e senhas de
funcionrios, informaes de segurana confidenciais sobre a configurao de sistemas
de redes corporativas, e tambm declaraes juradas e outros documentos relacionados a
processos judiciais.
Lies aprendidas: No mundo conectado atual, muito fcil enviar um email com pressa
para a pessoa errada. Todos esses casos destacam diversas falhas de procedimentos e
polticas, que foram originadas ou agravadas por aes acidentais de funcionrios. Se
sistemas de segurana melhores estivessem implementados para atuar como uma rede
de segurana, essas brechas no teriam ocorrido ou seus efeitos teriam sido mitigados. Os
sistemas de segurana poderiam, por exemplo, ter verificado os endereos de email do
destinatrio, reconhecido que o contedo era confidencial, e aplicado a poltica da empresa
com bloqueio do email ou criptografia automtica. Isso especialmente relevante para as
revelaes de domnios falsificados nos EUA em 2011.
Concluses
Todos os incidentes mencionados podem ser atribudos a fraqueza humana e erros, mas
esperar um bom entendimento da segurana da informao por todos os funcionrios no
uma estratgia de defesa vivel. Talvez tenha sido h uma dcada, mas no atualmente.
Bons sistemas de segurana de TI com aplicao proativa das polticas de segurana da
organizao, que so revisadas em todos os nveis periodicamente, teriam prevenido todos
esses incidentes. Esses sistemas esto disponveis atualmente e so fornecidos por empresas
especializadas.
No caso da empresa de hipotecas dos EUA, um sistema de preveno contra perda
de dados provavelmente teria identificado a atividade peridica incomum na estao
de trabalho, permitindo que a administrao investigasse oportunamente. Tecnologia
semelhante tambm poderia ter ajudado no incidente na Hungria. E a lista continua.
No existe uma soluo milagrosa para a segurana. Porm, com uma abordagem holstica e
integral do sistema para revisar as polticas de segurana e sistemas de aplicao, qualquer
falha secundria pode ser identificada e corrigida antes de se transformar em grandes
problemas para a organizao envolvida.
Este documento contm uma declarao geral sobre alguns problemas de proteo de dados que surgiram no domnio pblico e
no um resumo de todas as questes, porque os ambientes de TI e organizacionais so exclusivos em cada empresa. Voc deve
buscar orientao especfica sobre qualquer questo especfica. Embora as informaes contidas neste documento tenham sido
elaboradas de boa f, nenhuma declarao ou garantia, expressa ou implcita, ou ser apresentada, e nenhuma responsabilidade
ou ser aceita pela Websense ou por qualquer de suas afiliadas, e os respectivos executivos, funcionrios ou agentes em relao
preciso ou completude dessas informaes ou quaisquer outras informaes orais ou por escrito disponibilizadas a qualquer
parte interessada, e qualquer responsabilidade desse tipo expressamente negada.
2012 Websense, Inc. Todos os direitos reservados. Websense, e logotipo Websense so marcas comerciais da Websense, Inc.
nos Estados Unidos e/ou em outros pases. Todas as outras marcas registradas pertencem s respectivas empresas. 10.01.12