Sua empresa possui Gestão de Riscos contra Vazamento de Informações?
Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris-Est (Marne La Vallée, Paris, França); presidente da
empresa Brasiliano INTERISK Gestão de Riscos. abrasiliano@brasiliano.com.br
Setembro | 2020
Vazamento de Informações é uma das mais antigas preocupações de países, exércitos e empresas. Prova disto são as sábias palavras de Sun Tzu (544-496 A. C.) que foi um estrategista de guerra, general do Rei Hu Lu e filósofo chinês. Deixou um tratado militar escrito durante o século IV a. C. com o título "A Arte da Guerra”. Neste tratado Sun Tzu escreveu que “Quem tem o poder, tem a informação”. Ou seja, as informações são os ativos mais importantes que uma empresa possui.
Com a 4ª Quarta Revolução Industrial, este problema ficou exponencialmente alto, em função da interconectividade entre a internet das coisas, IoT. E isto virou um grande problema. As empresas e seus executivos pensam que a Prevenção Contra Vazamento das Informações é só colocar sistemas. Ledo engano.
Na verdade, o Data Loss Prevention – DLP, termo em inglês, tornou-se assunto recorrente entre os executivos C-Level de diversos segmentos e portes nas empresas do mundo. Os incidentes relacionados com este tema inquietam profundamente e movimentam as áreas de Tecnologia da Informação, Cibernética e de Segurança Corporativa, sem falar em Recursos Humanos. As consequências com a perda de informações estratégicas e/ou dados sensíveis, em função de requisitos legais, LGPD, impactam massivamente as empresas em termos financeiros, além da reputação em seu mercado.
Mesmo assim, diante deste cenário de Segurança da Informação que estamos descrevendo, poucas empresas priorizam estes temas. Grande maioria acredita que basta implantar um sistema e que suas informações estão seguras.
Afinal o que você entende como Prevenção contra Vazamento de Informações ou no linguajar da área Data Loss Prevention – DLP?
Nós da Brasiliano INTERISK definimos a Prevenção contra Vazamento de Informações como sendo um conjunto importante de políticas, métodos e tecnologias utilizadas para tentar evitar que dados estratégicos ou sensíveis – quesitos legais – sejam compartilhados indevidamente, subtraídos da empresa ou enviados para ambientes inseguros ou manipulados por usuários não autorizados.
A empresa deve entender que para evitar o vazamento de dados, o DLP tem que vir a se concretizar e aceitar o fato de que as informações e dados estratégicos e críticos podem ser conseguidos de forma voluntária ou involuntária. Isso mesmo. Se um funcionário de médio escalão possui uma informação estratégica e não sabe o valor desta para a empresa, há grande possibilidade de vazar através de conversas informais com grupos de amigos, ou mesmo ser vítima de engenharia social e ou técnica de indução.
Para isso a empresa deve ter um Processo Estruturado Contra Vazamento de Informações, com metodologia e critérios parametrizados. A Brasiliano INTERISK possui um processo estruturado simples e prático, onde temos que seguir os seguintes passos:
PRIMEIRO PASSO
A empresa precisa identificar, na sua cadeia de valor quais são os processos críticos que suportam o “core” do negócio. Estes processos devem merecer toda atenção do pessoal de segurança da informação, cibernética e segurança corporativa.
Pode-se utilizar como critério e parâmetro o BIA – Business Impact Analysis, onde medimos as consequências em termos de vazamento e sua falta nas tomadas de decisões e/ou em processos de negócio.
Abaixo temos um exemplo, onde os processos localizados no quadrante vermelho são estratégicos e ou sensíveis.
Fonte: Software INTERISK
SEGUNDO PASSO
Este segundo passo é o mais estratégico e importante, pois a empresa deve classificar as informações pelo seu conteúdo estratégico e também pelos requisitos legais. Ressalto que grande parte das empresas mundiais, cerca de mais de 85%, não praticam este segundo passo. A classificação das informações deve constar na Política de Segurança das Informações, onde está classificação irá demandar proteção diferenciada.
A classificação das informações não tem um critério definido, mas em termos de benchmarking pode-se classificá-las em quatro níveis:
1. Informações confidenciais – o mais alto nível;
2. Informações ou dados restritos – médio nível de confidencialidade;
3. Uso Interno – o mais baixo nível de confidencialidade – público interno da empresa sabe da informação;
4. Informações e dados são públicos – todos podem ter a informação.
Informações classificadas, estas devem ser rotuladas e tratadas conforme sua política, podendo até integrar o IP da máquina e e-mail do usuário para saber se ele pode mandar esta informação para fora da empresa. Aí o sistema de proteção de dados funciona. Percebem que se a empresa não classificar as informações, os sistemas de nada adiantarão.
Abaixo um critério que utilizamos para identificar informações ou dados estratégicos.
Fonte: Software INTERISK
Essas informações, para melhor visualização, vão para uma Matriz de Relevância:
Fonte: Software INTERISK
Com as informações estratégicas e sensíveis identificadas, podemos classificá-las, utilizando sua relevância versus sua confidencialidade, este cruzamento vai para outra, a Matriz de Classificação de Informações e Dados:
Fonte: Software INTERISK
É uma Matriz que de forma direta, ao cruzar os dois parâmetros, automaticamente já tenho o nível de tratamento desejado pela sua importância.
Fonte: Software INTERISK
Temos que saber também neste passo, qual a característica das informações e dados, em relação a sua movimentação, ou seja, saber se elas estão:
- Em uso nas máquinas dos usuários;
- Em movimento na rede corporativa ou fora dela;
- Se estão armazenadas, como por exemplo em servidores.
A característica da movimentação irá direcionar a demanda da segurança necessária destas informações.
TERCEIRO PASSO
Com base nos processos críticos para o “core” da empresa, as informações e dados classificados quanto sua confidencialidade, aí vou ter que identificar quais são os Sistemas de Tecnologia da Informação que sustentam os dois pilares. Uso também para selecionar o inventário de sistemas, o BIA – Business Impact Analysis.
Abaixo um exemplo de utilização do BIA para sistemas.
Fonte: Software INTERISK
Bem teoricamente, estou com minhas joias da coroa protegidas, certo?
Errado!!
Ainda falta o elo mais crítico deste sistema.
Falta o Fator Humano!!
Fonte: Brasiliano INTERISK
QUARTO PASSO
Este quarto passo significa identificar quais são as pessoas, e não o cargo, que manipulam ou tem acesso a estas informações. Temos que saber o nível de maturidade destas pessoas. Isso mesmo! Temos que fazer uma avaliação e identificar seus pontos fracos nos quesitos:
Engenharia Social; Técnicas de Indução; Phishing; Controle de senhas – de que forma controla e nível de complexidade; Nível de Segurança de seu computador ou aparelho mobile: criptografado, utilização de senhas, entre outros; Nível de tratamento com Segurança de documentos físicos: leitura em locais públicos, deixa o documento em cima de mesas, poltronas, salas de reunião etc. Segurança digital - Trabalha em locais públicos com computador e aparelhos mobile; Segurança de Redes: utiliza redes abertas públicas tais como hotéis e aeroportos.
Qual a importância de sabermos a Maturidade sobre Confidencialidade das Informações destas pessoas sensíveis e estratégicas para as empresas?
A importância é identificar estas fraquezas e tratá-las, para evitar que sejam alvos de possíveis agressores. Podemos montar uma régua, com base nos oito quesitos e termos um alcance de maturidade:
Fonte: Brasiliano INTERISK
Régua para sabermos o nível de maturidade, para classificar as pessoas e treiná-las nos quesitos considerados fracos. Abaixo um exemplo desta classificação:
Fonte: Brasiliano INTERISK
Vejam que temos que avaliar a pessoa e não o cargo, pois cada um possui características e atitudes diferentes. Por esta razão é primordial sabermos as pessoas na organização que manipulam as informações e dados sensíveis e estratégicos.
Com estes quatro passos estabelecidos, aí podemos identificar os riscos possíveis e a gestão dos ativas primordiais para a empresa. Vejam que as empresas ficam míopes em relação a estes quesitos. Se preocupam em colocar muita tecnologia e esquecem o processo estruturado de Data Loss Prevention – DLP.
O que as empresas devem entender é o que define uma Maturidade em Segurança da Informação e Cibernética é o foco nos objetivos e a interconectividade com a estratégia de negócios.
Caso não ocorra esta conexão as empresas estarão enxugando gelo, ao implantarem uma série de sistemas sem saberem suas reais fragilidades. Pergunta que não pode calar: por que os ataques cibernéticos estão em um nível exponencial, se as empresas investem milhões em sistemas? Será que estão sendo assertivas.
Nós da Brasiliano INTERISK elaboramos projetos de Data Loss Prevention - DLP no nosso sistema INTERISK, de forma centralizada, visando obter maior eficácia e controle.
Fonte: Brasiliano INTERISK
Um processo estruturado de DLP coloca a empresa em grande vantagem competitiva, neste mundo volátil, incerto, complexo e ambíguo - VUCA.