(Security Review, número 3, ano I)
Os incidentes de vazamento de informações vêm ganhando enorme destaque nos
noticiários. Influenciadas pela SB1386, da Califórnia (EUA), várias empresas
divulgaram que informações de consumidores foram roubadas. Uma das vantagens
dessa divulgação é que podemos analisá-los sob o aspecto de segurança,
identificar as causas e tentar melhorar os processos para evitá-los.
O vazamento de informações pode ser dividido em duas etapas: o acesso à
informação e o envio para fora da empresa. No entanto, ele só pode acontecer se
essas duas etapas forem concretizadas. Entre os pontos de falha que levam ao
sucesso da primeira etapa estão:
· Mínimo privilégio: As pessoas têm acesso a muito mais informações do que
precisam.
· Infra-estrutura: Responsáveis pela infra-estrutura, como sistemas
operacionais e backup, não passam por controles tão restritos quanto aqueles
que acessam as informações pelas aplicações.
· Segurança física: Dispositivos contendo informações confidenciais não são
devidamente protegidos quando estão fora da empresa.
· Armazenamento descentralizado: Informação armazenada em estações de trabalho,
sem controles físicos e lógicos.
· Detecção: Acessos ilícitos não são detectados pelos sistemas de detecção de
intrusos.
A segunda etapa é, de certa forma, mais nova quanto às suas características.
Dentro da empresa, os usuários costumam ter e-mail e acesso à Internet, o que
facilita o processo. Já ataques externos enfrentam desafios adicionais, como
firewalls e sistemas de detecção de intrusos. Quando a informação já está fora
da empresa, essa etapa acaba sendo mais simples. Entre as falhas que permitem a
conclusão dessa fase estão:
· E-mail e acesso à Internet: Falta de controle no uso do e-mail e dos
protocolos e sites acessados, como sites de webmail externos.
· Mídia removível não oficial: Pendrives, MP3 players e discos externos
permitem que grandes volumes de informação sejam retirados da empresa.
· Mídia removível oficial: Laptops e fitas de backup podem ser extraviados.
· Impressão: Quem controla o que é impresso pelos usuários?
· Acesso Remoto: VPNs e acessos discados podem servir como canais de escoamento
de informação.
Uma vez identificadas as formas de acesso e escoamento, é necessário formular
uma estratégia para evitar os vazamentos. Para combatê-los, não basta atacar um
ponto, pois eles podem acontecer por vários caminhos. Não adianta criptografar
dados armazenados e não aplicar o mínimo privilégio no acesso dos usuários.
Mesmo em redes muito restritas existem diversos canais de saída de informação,
como mídias removíveis, VPNs, redes wi-fi e impressões. O custo/benefício das
medidas de proteção é extremamente alto.
Focar nessa etapa tende a ser a forma mais cara de defesa contra os vazamentos.
O Acesso à informação é o melhor ponto de combate ao vazamento, pois a segunda
etapa não acontece sem que ele tenha ocorrido. Estudar os acessos concedidos
pode apontar grandes exposições de informações a um único usuário. Processos de
controle trarão benefícios por um custo muito menor do ferramentas que focam a
saída da informação. Investir em proteção contra a saída da informação não é
errado, mas é a abordagem mais cara e menos efetiva.
Outro fator constantemente ignorado é o humano. Quase todos os vazamentos têm
um componente de negligência humana. É importante fazer com que as pessoas
tenham noção do valor da informação com que estão trabalhando. São raras, por
exemplo, as situações em que o envio de informações confidenciais por e-mail
sem proteção é mal- intencionado. Se não houver ferramentas disponíveis para o
usuário trabalhar de forma segura, ele fará de forma insegura. Segurança é um
objetivo secundário para o usuário comum. Se não for simples, ele não faz.
Uma estratégia de prevenção contra vazamentos de informação deve iniciar com o
mapeamento das informações confidenciais. Por onde e como elas trafegam? Quem
as acessa? O nível de acesso dado é realmente necessário? É preciso definir os
acessos permitidos para cada grupo de usuários, assim como os processos para
solicitação, revisão e revogação. O mínimo privilégio deve ser o norte das
decisões. A monitoração dos acessos também faz parte do processo e não pode ser
deixada de lado.
A conscientização e o treinamento dos usuários também devem ser parte
integrante da estratégia. Muitos responsáveis por vazamentos o fazem
inadvertidamente, sem saber a importância da informação ou os riscos de suas
ações, como redirecionar o e-mail da empresa para o e-mail pessoal durante
períodos de férias, por exemplo.
Apesar de mais caros, os controles sobre os meios de saída da informação têm
seu valor e podem desencorajar tentativas de vazamento, pois trazem uma maior
sensação de controle sobre o ambiente.
No caso do pior acontecer, a empresa deve tomar medidas que vão desde a
comunicação com os prejudicados pelo vazamento até o acionamento das
autoridades e coleta de evidências para investigações. É muito importante que o
combate aos vazamentos não fique restrito a apenas uma ação ou a um produto
milagroso.