White Paper da Websense

ENTENDA OS MOTIVOS POR

TRS DOS DESASTRES DE
PERDA DE DADOS
E COMO EVITAR QUE ATINJAM A SUA
EMPRESA E CAUSEM DANOS

Websense Brasil
Morumbi, So Paulo Brasil
tel +55 11 3568 2050
fax +55 11 3568 2200
www.websense.com/brasil

ENTENDA OS MOTIVOS POR TRS DOS DESASTRES DE PERDA DE DADOS

Introduo
Os vazamentos e perdas de dados podem custar sua organizao somas significativas de dinheiro em
aspectos jurdicos, relaes pblicas e reputao de marca. E isso ainda antes de comearmos a falar
sobre o possvel efeito a longo prazo no preo das aes de sua empresa.
Cada vez que uma organizao perde uma unidade USB ou um CD-ROM, ou sofre uma violao de dados,
as mesmas perguntas antigas aparecem nos meios de comunicao: Por que no havia sistemas de TI
implementados para exigir a aplicao das polticas de segurana da empresa? Por que os dados estavam
sendo transportados em um formato sem criptografia e/ou inseguro?
Ouvimos com frequncia que acesso remoto autenticado, criptografado e com registro de auditoria aos
dados podee deveriater sido fornecido aos funcionrios envolvidos, que ento s poderiam obter
acesso aos registros de dados especficos sobre os quais seu trabalho requeria que tivessem detalhes.
Ser que os administradores de segurana de TI dominam a proteo contra vazamentos de dados e
desenvolveram sistemas e estratgias para prevenir vazamentos e perdas de dados?
Uma avaliao rpida das notcias sobre desastres de dados do mundo inteiro revela que isso no ocorreu,
embora muitas organizaes agora estejam adotando mais medidas para aprimorar a segurana dos
dados.
Vamos analisar alguns dos incidentes de perda de dados com os quais os profissionais de segurana de TI
podem aprender.

Este documento contm uma declarao geral sobre alguns problemas de proteo de dados que surgiram no domnio pblico e
no um resumo de todas as questes, porque os ambientes de TI e organizacionais so exclusivos em cada empresa. Voc deve
buscar orientao especfica sobre qualquer questo especfica. Embora as informaes contidas neste documento tenham sido
elaboradas de boa f, nenhuma declarao ou garantia, expressa ou implcita, ou ser apresentada, e nenhuma responsabilidade
ou ser aceita pela Websense ou por qualquer de suas afiliadas, e os respectivos executivos, funcionrios ou agentes em relao
preciso ou completude dessas informaes ou quaisquer outras informaes orais ou por escrito disponibilizadas a qualquer
parte interessada, e qualquer responsabilidade desse tipo expressamente negada.

ENTENDA OS MOTIVOS POR TRS DOS DESASTRES DE PERDA DE DADOS

Email acidental
Em junho de 2011, um conselho local no Reino Unido recebeu a multa
mais elevada do rgo regulador de dados do Reino Unido at a
data ( 120.000), por enviar repetidamente emails confidenciais
para diversos terceiros. Alm de os endereos estarem errados, os
arquivos de dados no estavam criptografados. No primeiro incidente,
um funcionrio da Equipe de Cuidados Sociais para Adultos enviou
por email um arquivo contendo dados confidenciais sobre 241
pessoas para endereos de email de grupo que incluam empresas
de contratao de taxi, van e micronibus. No segundo incidente, mais de 100 destinatrios
receberam dados confidenciais semelhantes. O terceiro incidente envolveu o Departamento
de Servios para Crianas e o conselho enviou dados confidenciais, incluindo informaes de
sade, para o email de grupo interno errado.
Oito meses antes, em agosto de 2009, uma empresa de hipotecas (tambm no Reino Unido)
enviou um arquivo que inclua dados pessoais sobre dvidas ou processos de restituio de
possepara sua sede e diversos outros destinatrios, como parte de um relatrio de anlise
mensal. O arquivo no estava criptografado ou protegido por senha e o destinatrio original
seria um consultor, que usava um endereo de email particular. Em vez disso, as informaes
foram enviadas para um desconhecido que tinha um endereo de email semelhante.
No incio do segundo semestre de 2011, dois pesquisadores dos EUA revelaram que
haviam configurado domnios da Web que imitavam domnios legtimos pertencentes a
empresas Fortune 500. Incrivelmente, conseguiram reunir 20 gigabytes de emails enviados
incorretamente em seis meses. Os dados obtidos incluam nomes de usurio e senhas de
funcionrios, informaes de segurana confidenciais sobre a configurao de sistemas
de redes corporativas, e tambm declaraes juradas e outros documentos relacionados a
processos judiciais.
Lies aprendidas: No mundo conectado atual, muito fcil enviar um email com pressa
para a pessoa errada. Todos esses casos destacam diversas falhas de procedimentos e
polticas, que foram originadas ou agravadas por aes acidentais de funcionrios. Se
sistemas de segurana melhores estivessem implementados para atuar como uma rede
de segurana, essas brechas no teriam ocorrido ou seus efeitos teriam sido mitigados. Os
sistemas de segurana poderiam, por exemplo, ter verificado os endereos de email do
destinatrio, reconhecido que o contedo era confidencial, e aplicado a poltica da empresa
com bloqueio do email ou criptografia automtica. Isso especialmente relevante para as
revelaes de domnios falsificados nos EUA em 2011.

ENTENDA OS MOTIVOS POR TRS DOS DESASTRES DE PERDA DE DADOS

A unidade USB perdida

Muitos funcionrios optam por trabalhar em casa de vez em quando e
talvez levem trabalho para casa em uma unidade USB, se no possuem
um computador porttil da empresa. Como muitas unidades USB no so
seguras, os dados podem aparecer em qualquer lugar se as unidades forem
perdidase isso ocorre com frequncia.
Em um incidente, um consultrio particular de um mdico no Tennessee
(EUA) revelou que havia esperado durante um ms antes de avisar para 1.711
pacientes que seus dados pessoais haviam sido perdidos em uma unidade
USB que estava sendo usada para fazer backup de dados de pacientes em
caso de falha de computador. A unidade USB no foi recuperada. Acreditase que tenha sido jogada fora, junto com o lixo do consultrio.
Um ms antes, um hospital foi advertido pelo rgo regulador do Reino Unido porque um
mdico levou para casa uma unidade USB sem criptografia contendo dados de pacientes.
O plano era enviar os dados por email para um colega, mas a unidade USB foi perdida no
trem. O rgo regulador determinou que o hospital deveria assinar um compromisso de
implementar salvaguardas em setembro de 2010.
Lies aprendidas: Unidades USB segurase apoiadas com tecnologia de auditoria
e aplicao de polticasdeveriam ter sido usadas nos dois casos. Cada vez mais, as
unidades USB seguras sozinhas podem no ser a resposta. Um sistema de preveno de
perda de dados que possa identificar a natureza sensvel dos dados e aplicar a poltica da
empresa poderia ter prevenido este tipo de perda. Esses sistemas poderiam ter aplicado
a poltica, por exemplo, prevenindo a transferncia dos dados para uma unidade USB ou
criptografando automaticamente os dados na unidade.

ENTENDA OS MOTIVOS POR TRS DOS DESASTRES DE PERDA DE DADOS

Impresses e fitas perdidas

Em 2010, fitas de back-up que continham dados sobre 800.000
pacientes em um hospital em Massachusetts (EUA) foram perdidos.
O hospital admitiu que as fitascobrindo o perodo de janeiro de
1996 a janeiro de 2010haviam sido perdidas por um prestador
de servios que o hospital contratou para destruir trs caixas
que continham fitas de computador no marcadas. Uma caixa foi
destruda, mas duas caixas nunca chegaram a seu destino no Texas.
Tambm em 2010, uma loja de varejo no Reino Unidoparte de uma
cadeia nacionaldescartou impresses em papel em um contentor
que estava sendo usado durante a reforma de parte da loja. As oito impresses continham
informaes de cartes de crdito de clientes e outros dados identificveis pessoalmente, e
o rgo regulador determinou que o presidente da empresa assinasse um compromisso de
que o problema no ocorreria novamente.
Lies aprendidas: No primeiro caso, os dados de pacientes deveriam ter sido
criptografados em um alto nvel e acessados apenas pelo pessoal do hospital. No segundo
caso, o pessoal nunca deveria ter tido a opo de imprimir essas informaes confidenciais.
A aplicao automtica de polticas usando uma soluo de preveno contra perda de
dados abrangente poderia ter evitado que essa situao ocorresse.

O funcionrio desonesto furta dados

do empregador
Neste incidente, dois homens que trabalhavam para uma empresa de
hipotecas residenciais nos EUA tramaram para furtar os detalhes pessoais
de cerca de 2 milhes de clientesmuitos dos quais sub-primedurante
um perodo de 2 anos. Um dos homens copiou 20.000 solicitaes de
hipoteca em cada noite de domingo, usando uma estao de trabalho
insegura.
Lies aprendidas: Este incidente demonstra o que pode ocorrer quando
um funcionrio recebe acesso sem controle a novos dados durante um
perodo de tempo longo e o potencial para perda de negcios. Embora
em geral houvesse sistemas de segurana de dados implementados, havia uma brecha clara,
pela qual grandes quantidades de dados confidenciais foram acessados e copiados em
uma nica estao de trabalho em um horrio especfico todas as semanas. Um sistema de
auditoria e reviso de segurana de TI teria identificado esse loophole de procedimentos, se
os sistemas de segurana no tivessem sido implementados com base em ajuste e esquea
(fit-and-forget).

ENTENDA OS MOTIVOS POR TRS DOS DESASTRES DE PERDA DE DADOS

Mdias sociais e responsabilidade

corporativa
Um funcionrio que trabalhava para uma operadora de
telefonia celular na Hungria, comeou a publicar relatrios
sobre a rede no Twitter, achando que seriam teis, e um
funcionrio em uma empresa concorrente decidiu aproveitar
as mensagens, retuitando com comentrios humorsticos.
Como resultado previsvel, ocorreram crticas rigorosas dos
meios de comunicao e danos marca. O funcionrio foi
demitido por suas indiscries.
Lies aprendidas: Se a empresa tivesse controles de segurana para mdias sociais
implementadoscom treinamento dos funcionrios e procedimentos que definissem as
responsabilidades dos funcionriosesta situao no teria ocorrido, porque os funcionrios
no teriam sido capazes de acessar servios de mdias sociais, exceto onde expressamente
permitido pelos sistemas de segurana de TI relevantes.

Concluses
Todos os incidentes mencionados podem ser atribudos a fraqueza humana e erros, mas
esperar um bom entendimento da segurana da informao por todos os funcionrios no
uma estratgia de defesa vivel. Talvez tenha sido h uma dcada, mas no atualmente.
Bons sistemas de segurana de TI com aplicao proativa das polticas de segurana da
organizao, que so revisadas em todos os nveis periodicamente, teriam prevenido todos
esses incidentes. Esses sistemas esto disponveis atualmente e so fornecidos por empresas
especializadas.
No caso da empresa de hipotecas dos EUA, um sistema de preveno contra perda
de dados provavelmente teria identificado a atividade peridica incomum na estao
de trabalho, permitindo que a administrao investigasse oportunamente. Tecnologia
semelhante tambm poderia ter ajudado no incidente na Hungria. E a lista continua.
No existe uma soluo milagrosa para a segurana. Porm, com uma abordagem holstica e
integral do sistema para revisar as polticas de segurana e sistemas de aplicao, qualquer
falha secundria pode ser identificada e corrigida antes de se transformar em grandes
problemas para a organizao envolvida.
Este documento contm uma declarao geral sobre alguns problemas de proteo de dados que surgiram no domnio pblico e
no um resumo de todas as questes, porque os ambientes de TI e organizacionais so exclusivos em cada empresa. Voc deve
buscar orientao especfica sobre qualquer questo especfica. Embora as informaes contidas neste documento tenham sido
elaboradas de boa f, nenhuma declarao ou garantia, expressa ou implcita, ou ser apresentada, e nenhuma responsabilidade
ou ser aceita pela Websense ou por qualquer de suas afiliadas, e os respectivos executivos, funcionrios ou agentes em relao
preciso ou completude dessas informaes ou quaisquer outras informaes orais ou por escrito disponibilizadas a qualquer
parte interessada, e qualquer responsabilidade desse tipo expressamente negada.

2012 Websense, Inc. Todos os direitos reservados. Websense, e logotipo Websense so marcas comerciais da Websense, Inc.
nos Estados Unidos e/ou em outros pases. Todas as outras marcas registradas pertencem s respectivas empresas. 10.01.12