Por mais que a maioria das empresas ainda adote uma abordagem de proteção com foco em aspectos da rede, de seu perímetro e seus sistemas, hoje os principais desafios da segurança da TI estão relacionados aos dados. O foco é o ativo que precisa ser protegido, e que contém informações críticas, que podem ser de consumidores, de cartões de crédito, propriedade intelectual, registros médicos e financeiros.
Por isso, é importante que as organizações entendam onde estão esses dados, quem tem acesso a eles, quem está usando, quem tem acesso aos dados e não deveria ter, a quem os dados pertencem, e se estão mesmo protegidos e monitorados, e se a empresa é capaz de identificar abusos.
Incidentes recentes, como o de Reality Winner, a veterana da Força Aérea Americana que vazou informações ultrassecretas de uma investigação em andamento sobre os ataques de hackers russos durante as últimas eleições americanas, mostram que o interior da rede deve ser monitorado. As pessoas precisam seguir um modelo de privilégios mínimos, e devem ter acesso apenas ao que precisam para trabalhar. E, mais importante: ninguém pode acessar nada de maneira anormal sem ser notado.
No entanto, o último relatório Data Risk Assessments, da Varonis, revelou que os negócios ainda falham ao implementar um modelo de privilégios mínimos, especialmente devido ao volume de dados gerados, que torna mais difícil para as empresas saber onde os dados residem e quem tem acesso a eles. De acordo com a pesquisa da Varonis, 47% das empresas analisadas em 2016 tinham ao menos 1.000 dados sensíveis abertos para todos os funcionários.
Controle de acesso é desafio para a maioria das empresas
Muitas das violações de dados atualmente têm origem em ameaças internas ou em funcionários que tiveram suas credenciais roubadas ou seus sistemas sequestrados. No caso de Reality Winner, por exemplo, ela tinha acesso legítimo às informações vazadas, mas não precisava acessá-las para executar seu trabalho.
Winner abusou de suas credenciais de acesso, tendo confessado que manteve informações e vazou dados para o The Intercept sem autorização. No entanto, mesmo que não tivesse feito isso, caso suas credenciais tivessem sido comprometidas por alguma outra ameaça, as informações ultrassecretas deste mesmo caso estariam vulneráveis.
Muitas empresas estão sujeitas a sofrer com o vazamento de informações por funcionários, especialmente por que estão mais focadas em se proteger de ameaças específicas para manter os hackers longe da rede, e não na proteção dos dados de ameaças internas e hackers oportunistas capazes de violar o perímetro.
Existem vários produtos voltados para mitigar ameaças específicas e, se forem usados de maneira tática, em vez de dar suporte a uma estratégia que melhore a segurança geral dos dados, além de custarem muito dinheiro, vão apenas gerar uma falsa sensação de segurança.
Usuários querem acessar dados como quiserem
Muito além de investir em ferramentas de segurança para tratar ameaças específicas, como o ransomware, por exemplo, conhecer seus dados e monitorá-los, as empresas precisam oferecer um nível mais elevado de serviço aos seus usuários, que hoje precisam acessar seus dados de qualquer lugar, por meio de qualquer dispositivo.
Isso deve ser feito de maneira controlada para que a TI e o negócio continuem sabendo onde seus dados estão, mantenham um modelo de privilégios mínimos e, ao mesmo tempo, permitam que os usuários finais possam acessá-los do jeito mais conveniente para eles.
Carlos Rodrigues, vice-presidente da Varonis para a América Latina.