Esqueceram de citar, que o Denunciado recebe atravez de e-mail, copias das referidas denuncias contra sua pessoa......
Para entender melhor um incidente de vazamento de informações, podemos dividi-los em duas etapas:
O Acesso à Informação e o Envio para fora do domínio de controle. O vazamento de informações só pode acontecer se essas duas etapas puderem ser concretizadas.
Ao analisarmos os incidentes sob a ótica da primeira etapa vamos perceber que os processos de controle de acesso não são suficientes para manter a informação protegida. Entre os pontos de falha estão:
· Mínimo privilégio: As pessoas têm acesso a muito mais informações do que seria necessário para o desempenho de suas funções.
· Auditoria: Mecanismos de acesso às informações não contam com registros detalhados dos acessos.
· Infra-estrutura: Pessoal responsável por componentes de infra-estrutura, como Bancos de Dados, Sistemas Operacionais, Backup, etc, não passam por controles tão restritos quanto aqueles que acessam as informações pelas vias normais (aplicações).
· Segurança física: Dispositivos ou mídia contendo informações confidenciais não são devidamente protegidos quando fora ou até mesmo dentro do domínio de segurança.
· Armazenamento descentralizado: Informação confidencial armazenada em estações de trabalho, longe dos principais controles físicos e lógicos.
· Proximidade com o perímetro: Informações são armazenadas em pontos da rede muito próximos a redes inseguras, como a Internet.
· Senhas: Falta de cultura referente à proteção das senhas individuais pelos usuários, indo da proteção contra roubo à escolha de senhas fortes.
· Detecção: A maior parte dos acessos ilícitos não é detectada pelos sistemas de detecção de intrusos existentes.
A segunda etapa é de certa forma mais nova quanto às suas características. Quando o acesso à informação acontece por conta de sua saída do domínio de segurança essa etapa acaba sendo extremamente simples. Uma vez acessada, já não há mais como evitar que a informação escape.
Quando a informação é acessada dentro da empresa, porém, existe ainda a “missão” de tirá-la de lá. A forma como isso será feito depende não só de como foi atingida a primeira etapa, mas também de quem é o responsável pelo roubo das informações. Usuários autênticos, como funcionários mal intencionados, costumam ter uma estação de trabalho a disposição, e-mail e acesso à Internet, o que facilita muito a retirada da informação. Já ataques externos, como o de “hackers” acessando as informações pela Internet, costumam ter desafios adicionais, como o acesso limitado por firewalls e a existência de sistemas de detecção de intrusos no seu caminho. Os pontos mais comuns que permitem a conclusão dessa etapa são:
· E-mail: Falta de controle sobre o uso do e-mail pelos usuários permite que grandes volumes de informação sejam enviados para fora da empresa por este meio.
· Acesso à Internet: Falta de controle quanto aos protocolos e sites acessados pelos usuários também facilitam o vazamento de informações, como através da utilização de sistema de webmail, por exemplo.
· Mídia removível não oficial: O uso indiscriminado e sem controle de pendrives, gravadores de CD, MP3 players e outros dispositivos com alto poder de armazenamento e portabilidade também permite que grandes volumes de informação sejam retirados da empresa.
· Mídia removível oficial: Laptops e fitas de backup são exemplos freqüentes nos incidentes de vazamento de meios de armazenamento de informações usados de maneira oficial pela empresa, pois trazem um grande risco de vazamento ao serem extraviados.
· Impressão: Mesmo com grandes controles sobre os meios eletrônicos, ainda é possível retirar um volume considerável de informação em formato impresso.
· Acesso Remoto: Sistemas que permitem o acesso remoto à rede da empresa, como VPNs e acessos discados, carecem do mesmo nível de proteção e vigilância dedicado à Internet, e podem servir como canais de escoamento da informação acessada.
Uma vez identificados as principais formas de acesso e escoamento de informações, é necessário formular uma estratégia para evitar que os vazamentos aconteçam. Como podemos notar nos itens acima, há uma grande diversidade na natureza dos pontos identificados. Com isso já é possível perceber que combater vazamentos de informação não se resume a atacar apenas um deles, pois o problema pode acontecer por diversos caminhos. Algumas empresas adotam como estratégia criptografar todos os dados armazenados, porém falham na aplicação do conceito de mínimo privilégio no acesso dos usuários. O vazamento acabará por acontecer em uma camada superior, quando os dados serão utilizados, onde, é claro, não podem estar criptografados.
Seria correto, então, dizer que a única forma de evitar que os vazamentos aconteçam é através do tratamento de todos os pontos mencionados? Em parte, pois nem todos eles são pertinentes ao ambiente de todas as empresas. Logo, a definição de uma estratégia anti-vazamento passa pela análise do contexto da empresa, onde devem ser identificadas as informações que se deseja proteger, onde elas estão, por onde elas passam e quem as acessa. Com isso é possível focar esforços nos pontos que trazem maior risco, uma vez que eliminar totalmente a possibilidade de vazamentos é um objetivo que dificilmente será alcançado por um custo justificável.
A grande quantidade de incidentes têm feito com que as empresas rapidamente tomem medidas para evitá-los, baseando-se nas falhas das vítimas e nas últimas novidades do mercado. Assim, o foco das compras está em ferramentas para controle de portas USB (mirando no uso de mídias removíveis) ou de criptografia de dados armazenados. Aparentemente, poucos destes compradores estão analisando suas vulnerabilidades para definir as aquisições, mas baseando-as nas vulnerabilidades daqueles que falharam. Outro sintoma de histeria coletiva é o investimento em diversos tipos de “caixas milagrosas”, talvez em uma tentativa desesperada de mostrar um comprometimento com o assunto que até pouco tempo atrás era negligenciado. Como um dos maiores apelos de venda desses produtos é a facilidade de implementação, costumam ser voltados para a etapa de saída da informação.
De fato, focar na etapa de saída da informação tende a ser a forma mais cara de defesa contra os vazamentos de informação. Mesmo em redes muito restritas existem diversos canais de saída da informação, entre eles as mídias removíveis, protocolos não monitorados, VPNs e outros sistemas com criptografia, impressões ou redes wi-fi clandestinas. O custo das medidas de proteção contra a saída da informação, se comparado ao seu nível de eficácia, é extremamente alto.
Sendo assim, é muito importante pensarmos na etapa de acesso à informação. Não é preciso muito esforço para identificar que este é o melhor ponto de combate ao vazamento. A segunda etapa não acontece sem que a primeira tenha acontecido. Além disso, para cada primeira etapa bem sucedida há diversas formas de se obter sucesso na segunda etapa. Atuar na primeira etapa nos permite focar em menos situações e trabalhar com menos variáveis.
Outra consideração importante é que os dados resultantes da monitoração de acessos às informações permitem a tomada de ações preventivas, ao contrário da monitoração da segunda etapa, que seria útil apenas em processo posterior de identificação de culpados. A detecção de uma mudança no padrão de acesso a informações de um usuário pode levar a identificação de uma ação de coleta de informações, que posteriormente serão enviadas para fora da empresa. O estudo dos acessos concedidos pode apontar grandes exposições de informações a uma única entidade. Diversos processos de controle trarão benefícios concretos por um custo muito menor do que aquele das ferramentas que tentam evitar a saída da informação.
Não devemos concluir que investir em proteção contra a saída da informação é errado, mas é importante, ao definirmos a estratégia de defesa contra vazamentos, sabermos que o controle visando esse ponto é mais caro e menos efetivo que aquele que visa o acesso à informação. Controlar ou mesmo restringir o uso de mídia removível traz outros benefícios além de evitar vazamentos, e a soma dos benefícios pode fazer com que esta medida tenha um bom retorno.
Um outro fator constantemente ignorado é o fator humano. Quase todos os incidentes de vazamento tem um componente de negligência humana. Uma das medidas mais eficazes para deter vazamentos é fazer com que as pessoas tenham noção do valor da informação com que estão trabalhando. São raras, por exemplo, as situações onde o envio de informações confidenciais por e-mail é mal intencionado. O usuário, na grande maioria das vezes, só está tentando fazer o seu trabalho. Se não houver ferramentas disponíveis para o usuário desempenhar seu trabalho de forma segura, ele fará de forma insegura. Segurança da Informação é um objetivo secundário para o usuário comum. Se não for simples de atendê-lo, ele não o fará.
Tendo em vista todos esses aspectos, uma estratégia de prevenção contra vazamentos de informação deve ser composta por:
· Mapeamento: Quais são e onde estão as informações confidenciais. Por onde e como elas trafegam? Quem as acessa? O nível de acesso dado é realmente necessário?
· Controle de Acesso: Baseado no processo de mapeamento, definição dos acessos permitidos por cada grupo de usuários, assim como os processo para solicitação, revisão e revogação. O mínimo privilégio deve ser o norte das decisões tomadas nesta etapa.
· Controle de acessos alternativos: Definição de processos e formas de controle dos acessos alternativos à informação, como o acesso direto às bases de dados, arquivos, etc. A segregação de funções e auditoria de atividades são fundamentais para evitar problemas com esses acessos.
· Treinamento: As pessoas devem conhecer o perigo do vazamento de informações. Muitos responsáveis por vazamentos o fazem inadvertidamente, sem saber a importância da informação com que lidam e os reais perigos de suas ações, como redirecionar o e-mail corporativo para o e-mail pessoal durante períodos de férias, por exemplo.
· Controle de meios de saída: Apesar de mais caros, os controles sobre os meios de saída da informação tem seu valor e podem desencorajar tentativas de vazamento, pois trazem uma maior sensação de controle sobre o ambiente para as pessoas que o utilizam.
· Detecção: Muitas situações de vazamento podem ser detectadas antes de consumadas. Mesmo aquelas com sucesso podem ter os impactos minimizados por conta de uma detecção prematura seguida de ações imediatas. Como muitos casos são provenientes de usuários com acessos legítimos às informações, convém utilizar métodos estatísticos e que visem a identificação de desvios de comportamento (mais de um determinado número de consultas a dados de clientes por dia, por exemplo).
· Resposta: No caso do pior acontecer, a empresa deve ter procedimentos definidos de resposta, que vão desde a comunicação com os prejudicados pelo vazamento até o acionamento das autoridades e coleta de evidências.
É muito importante que o combate aos vazamentos não fique restrito a apenas uma das ações acima. Como vimos, o vazamento pode ser resultado da deficiência em uma série de controles, e a concentração em apenas um deles provavelmente não trará os resultados desejados. Não é possível reunir todas as ações necessárias para evitá-los em um único produto tecnológico. Além disso, uma ação diversificada tem maior visibilidade, podendo ser ainda melhor para demonstrar o comprometimento da empresa do que através do uso de caixinhas mágicas. Como quase todo problema de TI (se é que podemos dizer que isso é um problema de TI), existem muitas promessas de solução simples e única, mas apenas com a tríade de Pessoas, Processos e Tecnologia é possível obter bons resultados enquanto se maximiza a relação de custo/benefício.
Ao analisarmos os incidentes sob a ótica da primeira etapa vamos perceber que os processos de controle de acesso não são suficientes para manter a informação protegida. Entre os pontos de falha estão:
· Mínimo privilégio: As pessoas têm acesso a muito mais informações do que seria necessário para o desempenho de suas funções.
· Auditoria: Mecanismos de acesso às informações não contam com registros detalhados dos acessos.
· Infra-estrutura: Pessoal responsável por componentes de infra-estrutura, como Bancos de Dados, Sistemas Operacionais, Backup, etc, não passam por controles tão restritos quanto aqueles que acessam as informações pelas vias normais (aplicações).
· Segurança física: Dispositivos ou mídia contendo informações confidenciais não são devidamente protegidos quando fora ou até mesmo dentro do domínio de segurança.
· Armazenamento descentralizado: Informação confidencial armazenada em estações de trabalho, longe dos principais controles físicos e lógicos.
· Proximidade com o perímetro: Informações são armazenadas em pontos da rede muito próximos a redes inseguras, como a Internet.
· Senhas: Falta de cultura referente à proteção das senhas individuais pelos usuários, indo da proteção contra roubo à escolha de senhas fortes.
· Detecção: A maior parte dos acessos ilícitos não é detectada pelos sistemas de detecção de intrusos existentes.
A segunda etapa é de certa forma mais nova quanto às suas características. Quando o acesso à informação acontece por conta de sua saída do domínio de segurança essa etapa acaba sendo extremamente simples. Uma vez acessada, já não há mais como evitar que a informação escape.
Quando a informação é acessada dentro da empresa, porém, existe ainda a “missão” de tirá-la de lá. A forma como isso será feito depende não só de como foi atingida a primeira etapa, mas também de quem é o responsável pelo roubo das informações. Usuários autênticos, como funcionários mal intencionados, costumam ter uma estação de trabalho a disposição, e-mail e acesso à Internet, o que facilita muito a retirada da informação. Já ataques externos, como o de “hackers” acessando as informações pela Internet, costumam ter desafios adicionais, como o acesso limitado por firewalls e a existência de sistemas de detecção de intrusos no seu caminho. Os pontos mais comuns que permitem a conclusão dessa etapa são:
· E-mail: Falta de controle sobre o uso do e-mail pelos usuários permite que grandes volumes de informação sejam enviados para fora da empresa por este meio.
· Acesso à Internet: Falta de controle quanto aos protocolos e sites acessados pelos usuários também facilitam o vazamento de informações, como através da utilização de sistema de webmail, por exemplo.
· Mídia removível não oficial: O uso indiscriminado e sem controle de pendrives, gravadores de CD, MP3 players e outros dispositivos com alto poder de armazenamento e portabilidade também permite que grandes volumes de informação sejam retirados da empresa.
· Mídia removível oficial: Laptops e fitas de backup são exemplos freqüentes nos incidentes de vazamento de meios de armazenamento de informações usados de maneira oficial pela empresa, pois trazem um grande risco de vazamento ao serem extraviados.
· Impressão: Mesmo com grandes controles sobre os meios eletrônicos, ainda é possível retirar um volume considerável de informação em formato impresso.
· Acesso Remoto: Sistemas que permitem o acesso remoto à rede da empresa, como VPNs e acessos discados, carecem do mesmo nível de proteção e vigilância dedicado à Internet, e podem servir como canais de escoamento da informação acessada.
Uma vez identificados as principais formas de acesso e escoamento de informações, é necessário formular uma estratégia para evitar que os vazamentos aconteçam. Como podemos notar nos itens acima, há uma grande diversidade na natureza dos pontos identificados. Com isso já é possível perceber que combater vazamentos de informação não se resume a atacar apenas um deles, pois o problema pode acontecer por diversos caminhos. Algumas empresas adotam como estratégia criptografar todos os dados armazenados, porém falham na aplicação do conceito de mínimo privilégio no acesso dos usuários. O vazamento acabará por acontecer em uma camada superior, quando os dados serão utilizados, onde, é claro, não podem estar criptografados.
Seria correto, então, dizer que a única forma de evitar que os vazamentos aconteçam é através do tratamento de todos os pontos mencionados? Em parte, pois nem todos eles são pertinentes ao ambiente de todas as empresas. Logo, a definição de uma estratégia anti-vazamento passa pela análise do contexto da empresa, onde devem ser identificadas as informações que se deseja proteger, onde elas estão, por onde elas passam e quem as acessa. Com isso é possível focar esforços nos pontos que trazem maior risco, uma vez que eliminar totalmente a possibilidade de vazamentos é um objetivo que dificilmente será alcançado por um custo justificável.
A grande quantidade de incidentes têm feito com que as empresas rapidamente tomem medidas para evitá-los, baseando-se nas falhas das vítimas e nas últimas novidades do mercado. Assim, o foco das compras está em ferramentas para controle de portas USB (mirando no uso de mídias removíveis) ou de criptografia de dados armazenados. Aparentemente, poucos destes compradores estão analisando suas vulnerabilidades para definir as aquisições, mas baseando-as nas vulnerabilidades daqueles que falharam. Outro sintoma de histeria coletiva é o investimento em diversos tipos de “caixas milagrosas”, talvez em uma tentativa desesperada de mostrar um comprometimento com o assunto que até pouco tempo atrás era negligenciado. Como um dos maiores apelos de venda desses produtos é a facilidade de implementação, costumam ser voltados para a etapa de saída da informação.
De fato, focar na etapa de saída da informação tende a ser a forma mais cara de defesa contra os vazamentos de informação. Mesmo em redes muito restritas existem diversos canais de saída da informação, entre eles as mídias removíveis, protocolos não monitorados, VPNs e outros sistemas com criptografia, impressões ou redes wi-fi clandestinas. O custo das medidas de proteção contra a saída da informação, se comparado ao seu nível de eficácia, é extremamente alto.
Sendo assim, é muito importante pensarmos na etapa de acesso à informação. Não é preciso muito esforço para identificar que este é o melhor ponto de combate ao vazamento. A segunda etapa não acontece sem que a primeira tenha acontecido. Além disso, para cada primeira etapa bem sucedida há diversas formas de se obter sucesso na segunda etapa. Atuar na primeira etapa nos permite focar em menos situações e trabalhar com menos variáveis.
Outra consideração importante é que os dados resultantes da monitoração de acessos às informações permitem a tomada de ações preventivas, ao contrário da monitoração da segunda etapa, que seria útil apenas em processo posterior de identificação de culpados. A detecção de uma mudança no padrão de acesso a informações de um usuário pode levar a identificação de uma ação de coleta de informações, que posteriormente serão enviadas para fora da empresa. O estudo dos acessos concedidos pode apontar grandes exposições de informações a uma única entidade. Diversos processos de controle trarão benefícios concretos por um custo muito menor do que aquele das ferramentas que tentam evitar a saída da informação.
Não devemos concluir que investir em proteção contra a saída da informação é errado, mas é importante, ao definirmos a estratégia de defesa contra vazamentos, sabermos que o controle visando esse ponto é mais caro e menos efetivo que aquele que visa o acesso à informação. Controlar ou mesmo restringir o uso de mídia removível traz outros benefícios além de evitar vazamentos, e a soma dos benefícios pode fazer com que esta medida tenha um bom retorno.
Um outro fator constantemente ignorado é o fator humano. Quase todos os incidentes de vazamento tem um componente de negligência humana. Uma das medidas mais eficazes para deter vazamentos é fazer com que as pessoas tenham noção do valor da informação com que estão trabalhando. São raras, por exemplo, as situações onde o envio de informações confidenciais por e-mail é mal intencionado. O usuário, na grande maioria das vezes, só está tentando fazer o seu trabalho. Se não houver ferramentas disponíveis para o usuário desempenhar seu trabalho de forma segura, ele fará de forma insegura. Segurança da Informação é um objetivo secundário para o usuário comum. Se não for simples de atendê-lo, ele não o fará.
Tendo em vista todos esses aspectos, uma estratégia de prevenção contra vazamentos de informação deve ser composta por:
· Mapeamento: Quais são e onde estão as informações confidenciais. Por onde e como elas trafegam? Quem as acessa? O nível de acesso dado é realmente necessário?
· Controle de Acesso: Baseado no processo de mapeamento, definição dos acessos permitidos por cada grupo de usuários, assim como os processo para solicitação, revisão e revogação. O mínimo privilégio deve ser o norte das decisões tomadas nesta etapa.
· Controle de acessos alternativos: Definição de processos e formas de controle dos acessos alternativos à informação, como o acesso direto às bases de dados, arquivos, etc. A segregação de funções e auditoria de atividades são fundamentais para evitar problemas com esses acessos.
· Treinamento: As pessoas devem conhecer o perigo do vazamento de informações. Muitos responsáveis por vazamentos o fazem inadvertidamente, sem saber a importância da informação com que lidam e os reais perigos de suas ações, como redirecionar o e-mail corporativo para o e-mail pessoal durante períodos de férias, por exemplo.
· Controle de meios de saída: Apesar de mais caros, os controles sobre os meios de saída da informação tem seu valor e podem desencorajar tentativas de vazamento, pois trazem uma maior sensação de controle sobre o ambiente para as pessoas que o utilizam.
· Detecção: Muitas situações de vazamento podem ser detectadas antes de consumadas. Mesmo aquelas com sucesso podem ter os impactos minimizados por conta de uma detecção prematura seguida de ações imediatas. Como muitos casos são provenientes de usuários com acessos legítimos às informações, convém utilizar métodos estatísticos e que visem a identificação de desvios de comportamento (mais de um determinado número de consultas a dados de clientes por dia, por exemplo).
· Resposta: No caso do pior acontecer, a empresa deve ter procedimentos definidos de resposta, que vão desde a comunicação com os prejudicados pelo vazamento até o acionamento das autoridades e coleta de evidências.
É muito importante que o combate aos vazamentos não fique restrito a apenas uma das ações acima. Como vimos, o vazamento pode ser resultado da deficiência em uma série de controles, e a concentração em apenas um deles provavelmente não trará os resultados desejados. Não é possível reunir todas as ações necessárias para evitá-los em um único produto tecnológico. Além disso, uma ação diversificada tem maior visibilidade, podendo ser ainda melhor para demonstrar o comprometimento da empresa do que através do uso de caixinhas mágicas. Como quase todo problema de TI (se é que podemos dizer que isso é um problema de TI), existem muitas promessas de solução simples e única, mas apenas com a tríade de Pessoas, Processos e Tecnologia é possível obter bons resultados enquanto se maximiza a relação de custo/benefício.
Nenhum comentário:
Postar um comentário