Confira três passos para proteger os dados da empresa

Para a NSA, o caso Snowden foi uma violação de dados sem precedentes em termos de proporções. Mas, como ele fez isso? Como pode um contratado ter acesso a tanta informação?

O mundo se encontra em um momento interessante para se trabalhar com segurança de TI, segundo a Trend Micro, especialista em soluções de segurança na era da nuvem. O caso Edward Snowden ensinou muitas lições sobre como as empresas devem proteger seus dados e muitas discussões sobre os aspectos de vigilância destas questões têm acontecido. Mas o panorama é mais complexo se considerado todos os aspectos relativos a este assunto a partir da perspectiva da NSA (Agência Nacional de Segurança dos EUA).

Para a NSA, o caso Snowden foi uma violação de dados sem precedentes em termos de proporções. Tudo indica que o analista de sistemas foi capaz de extrair uma quantidade significativa de dados confidenciais; o que foi publicado até agora representa uma parte relativamente pequena do que ele conseguiu acessar. É importante destacar que Snowden tecnicamente não era funcionário da CIA – era apenas um contratado. Como ele fez isso? Como pode um contratado ter acesso a tanta informação?

Algumas empresas podem pensar: "se isso pode acontecer a uma agência de espionagem, então não há nada que possamos fazer. Devemos desistir de tentar proteger os nossos dados". Outros podem dizer: "vamos construir barreiras maiores ao redor dos nossos dados". Ambas as abordagens estão incorretas. Existem três passos simples que podem ajudar as empresas a desenhar suas estratégias de defesa:

1. Escalonar as prioridades dos dados a serem protegidos. Obviamente, é preciso proteger os dados. No entanto, as empresas não podem tentar proteger tudo com o mesmo rigor. A empresa precisa focar na proteção do que realmente tem necessidade de ser protegido. Quais conjuntos de dados, em caso de roubo, podem arruinar um negócio? São eles o segredo comercial? Ou talvez dados de clientes?

Estas informações serão diferentes para cada empresa – o que é vital para uma organização pode ser trivial para outra. Cada organização deve tomar suas decisões de acordo com suas particularidades. Alguns exemplos do que uma empresa pode considerar dados essenciais seriam: segredos comerciais, documentos de pesquisa e desenvolvimento e informações sobre parceiros. Cada um destes itens pode representar milhões de dólares em perdas, não só em termos monetários, mas também em segurança e confiança também.

2. Aumentar a proteção dos dados mais importantes. Uma vez que os dados essenciais foram selecionados e identificados, o próximo passo é: defendê-los fortemente. Como? Isto dependerá de quais dados são, como eles são armazenados e quem precisa acessá-los. É algo que pode ser trancado em um cofre e mantido off-line por anos a fio, ou é algo que precisa ser acessado diariamente? Para cada organização, os desafios serão diferentes, assim como as soluções.

3. Orientar os funcionários. Outro importante componente em segurança também não pode ser esquecido: os usuários finais. Por mais difícil que pareça, os usuários finais devem ser educados para não cair em golpes simples. Exemplos incluem: "Se o administrador lhe pede suas credenciais de usuário e senha, talvez você deva solicitar credenciais novas. Se você receber um e-mail que parece bom demais para ser verdade, não clique nele".

Em suma, é uma combinação de identificar o que é mais importante, implementar as tecnologias certas, e educar os usuários. É trabalho de todos - e não apenas dos profissionais responsáveis pela TI - garantir que os dados essenciais da empresa permanecem permaneçam seguros.

ExibirMinimizar
CEO Outllok, A era da liderança resiliente. Confira os Resultados.