Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Efeito de Snowden paralisa os CIOs

Afinal, se até mesmo a NSA pode ser vítima de um milenar tech-savvy, como defender seus dados?

Pouco importa se Edward Snowden, o especialista em computação agora infame que roubou informações secretas da Agência de Segurança Nacional e as entregou para o jornal The Guardian no início deste verão, é um herói ou um criminoso. Não há como negar o impacto que este técnico em computação está tendo sobre os líderes de TI. No rescaldo da iniciativa de Edward Snowden, os CIOs estão se sentindo um pouco impotentes.

"Se isso acontece com a NSA, que deve ter ferramentas incríveis para impedir vazamentos de dados, por colaboradores ou em grande escala, é melhor ter muito cuidado", diz Jeff Rubin, vice-presidente de estratégia e desenvolvimento de negócios da Beachhead, uma empresa de segurança móvel.


Uma nova geração de funcionários desonestos

Há poucas dúvidas de que os CIOs estão sofrendo com o efeito Snowden.

Snowden representa um novo tipo de funcionário não autorizado ou terceirizado: o tech-savvy Millennials, armado com computadores pessoais que podem ter acesso a  dados altamente sensíveis. CIOs terão de lidar com esta ameaça, mais cedo ou mais tarde. O velho pensamento de depender de criptografia para proteger os dados não será suficiente no ambiente de computação corporativo de hoje.

Snowden traçou um plano para o furto de dados em uma das organizações mais seguras do planeta, sem dúvida. Sua idade é um fator importante. Ele é um típico Millennial, profissionais de tecnologia de 20 e poucos anos que estão inundando as corporações em todo o mundo. Os Millennials estão prestes a  tornarem-se o maior segmento da força de trabalho, de acordo com o Bureau of Labor Statistics EUA. Em 2015 eles serão maioria.

Dois terços dos Millennials avaliam o seu talento em tecnologia como de "vanguarda" ou de "nível superior", de acordo com a CompTIA. Snowden, que uma vez descreveu a si mesmo como um "assistente de computador", não apenas ganhou acesso a dados sensíveis, como se comunicava com os meios de comunicação usando um e-mail criptografado sob o codinome Verax.

Para os CIOs, o aviso é claro: seu próxima funcionário pode ser bom em encontrar maneiras de contornar os seus planos de segurança mais bem elaborados.

Jeff Rubin duvida que Snowden tenha contado só com suas habilidades técnicas para fazer o que ele fez. Em vez disso, Rubin acredita que Snowden tenha empregado táticas de engenharia social para obter acesso a computadores e fazer o download de dados para pen drives e, eventualmente, seus computadores pessoais.

"Meu palpite é que ele teve o acesso facilitado por funcionários da NSA, já  que ele estava lá para trabalhar em seus computadores. Bastou ganhar a a confiança deles", diz Rubin. "Ele pode ter ido tão longe quanto como dizer-lhes: 'Você pode receber um aviso na tela de que há algum tipo de intrusão, mas isso é só comigo, então não se assuste."

A ideia de que Snowden provavelmente usou seus computadores pessoais e pen drives também deve ser alarmante para os CIOs, especialmente diante da massificação dos programas de BYOD, diz Rubin. Com BYOD, mobilidade e serviços de armazenamento na nuvem, como o Dropbox , as chances de vazamento de dados corporativos são maiores do que nunca.

De fato, um dos clientes da Beachhead recentemente reverteu sua política de BYOD por causa dos riscos de segurança. Se um funcionário desta empresa agora quer um iPad, por exemplo, a empresa vai comprar e gerenciá-lo em vez de permitir que o iPad faça parte de um programa de BYOD.

Criptografia não é suficiente

Outra lição que os CIOs podem aprender com Snowden é a necessidade de segurança multicamada, ou gatilhos automáticos para limpar dados. Muitas empresas dependem de criptografia para manter seus dados seguros. Mas, uma vez que um funcionário ganhe a senha, a criptografia passa a ser inútil.

Rubin diz que o caso Snowden destaca a necessidade de gatilhos que eliminem dados além de um geo-fence, após um determinado número de logins ou periodicamente, sem um intervalo de tempo determinado.

Além disso, as empresas podem querer olhar para autenticação multifator de dados e controles de acesso para evitar que trabalhadores desonestos como Snowden vejam os dados, em primeiro lugar, diz Rubin.

"Em momentos de crise, qualquer pessoa que está sob pressão acaba tendo atitudes de retaliação", ressalta Fávero. O que, na sua opinião, exige um cuidado maior com o comportamento dos funcionários e terceiros que interagem com sistemas da empresa, porque é aí que o vazamento das informações acontecem.

Ninguém pode de fato impedir que um vazamento de informação aconteça. A verdade é que nenhuma política, ou tecnologia de segurança de dados internos, tem poderes, digamos,de evitar um vazamento. Mas podem tornar a ocorrência menos provável. E isso passa por investir no uso de  produtos e serviços para a detecção de ataques e reação, e não apenas prevenção.

Fonte: CIO