Caminhos do DLP - Data Loss Prevention

DLP ou Data Loss Prevention é o novo nome para o velho problema do vazamento de informações confidenciais. É mais uma palavra da moda para 2010. Embora a preocupação quanto ao vazamento de informações seja antiga, era mais dos governos quanto à espionagem e à contra-espionagem que das empresas. A exceção entre as corporações eram os bancos, que por uma questão de imagem e mesmo de regulamentação, precisam garantir o sigilo bancário.

Atualmente todas as organizações se preocupam com isso, pois o vazamento de planos de desenvolvimento de novos produtos pode custar caro, chegando a bilhões de dólares quando se trata de automóveis, aviões, medicamentos e outros. Sun Tzu (A Arte da Guerra), há 25 séculos, já dizia: o sucesso das operações militares reside na descoberta das intenções do inimigo, e o esforço para identificar seus pontos fracos.

Há muito tempo, visitando um diretor da Fishet Bauche, líder mundial na fabricação de cofres, perguntei: "os senhores fabricam que tipos de cofres?". E ele retorquiu: "Nós vendemos tempo!". De fato, como aprendi, existem cofres que demoram três minutos para serem arrombados, outros exigem trabalho de vários dias. O mesmo se passa com o DLP. A organização está comprando tempo. Quando adota uma política ativa de Data Loss Prevention está aumentando bastante o custo para o fraudador conseguir a informação de dentro.

Antigamente a informação só poderia vazar de duas maneiras, pela palavra escrita ou pela palavra oral, isto é dependia de algum suporte para escrita ou da memória de uma pessoa. No século XX, com o advento da fotografia e da microfotografia, documentos passaram a ser 'fotografados' e transportados. Todos os filmes de espionagem dos anos 60 a 80 apresentam micro-câmeras fotográficas. Nessa época, o custo para se obter uma informação dependia da participação de profissionais caros com equipamentos raros.

Na década de 60, com o lançamento da Xerox 914 houve o barateamento e a facilidade de fazer cópias de documentos. Com o advento dos computadores, das impressoras, dos scanners e principalmente da internet, ficou muito fácil ter acesso à informação, copiá-la e transmiti-la.

Analisar quais são os meios atuais pelos quais a informação pode ser desviada é o primeiro passo para a criação de uma Política de Sigilo e Confidencialidade da Informação. Grosso modo a informação pode vazar por: ·e-Mail, no corpo do email ou em arquivos anexos, simples ou criptografados. O Monitoramento e bloqueio dos e-mails por palavras-chave, tipo de anexos, seu armazenamento por longo prazo é fundamental para se identificar os vazamentos e gerar evidências para ações posteriores. Levar em consideração que figuras e fotos podem conter informação criptografada (Esteganografia).

· Webmail, em quase tudo parecido com o e-Mail, geralmente alguma conta de email pessoal, domiciliada em um provedor externo. Para que o controle e o monitoramento de emails possam ser eficazes, os WebMails pessoais têm que ser bloqueados, o que não é uma tarefa fácil.

· Instant Messengers, como MSQ, ICQ e outros, no corpo da mensagem ou em arquivos anexos. Estão rapidamente substituindo os e-Mails e necessitam o mesmo tipo de controle.

· Blogs, um blog pode ser um poderoso meio de vazar informações, de forma cifrada. O controle do que os colaboradores acessam na internet é o único meio de monitorar e controlar este tipo de vazamento.

·Redes Sociais, como Grupos, Fóruns, Facebook, LinkedIn, Twitter, Plaxo têm que ser monitorados de perto.

· Meios tradicionais de comunicação, como telefone e fax, podem exigir um monitoramento ativo, como fazem hoje os Call Centers e as Mesas de Operações de Banco, com toda ligação sendo gravada. As novas centrais VoIP permitem a gravação das ligações a baixo custo.

.Antigos CD ou DVD ou os modernos Pendrive, HDs externos exigem o bloqueio nas estações de trabalho desses meios, o que é possível com agentes instalados nas estações.

·O papel impresso continuará sendo um meio privilegiado de se roubar informações. O controle das copiadoras e impressoras é bastante complexo. O controle do uso das impressoras e copiadoras com código personalizado tem um razoável efeito inibidor.

· Já o vazamento de informações pela câmera do Celular é bem mais delicado, voltamos à década de 60, a época das caras câmeras Minox, que chamavam a atenção. Agora é muito mais complicado, pois qualquer colaborador com um celular é um espião em potencial. Fotografando telas de computador, relatórios impressos. Em instituições financeiras é aceitável que todos os celulares sejam banidos das Mesas de Operações, dos Private Banks, pois a informação é a matéria-prima dessas atividades e não pode ser desviada. Voltaremos a este assunto a seguir.

Como visto o enfoque de monitorar e bloquear todos os meios de comunicação é muito complexo, mas não deve ser negligenciado. Um enfoque alternativo seria a classificação da informação quanto ao seu grau de confidencialidade e os colaboradores quanto ao seu grau de confiança. Fácil de falar, mas difícil de implementar, esse enfoque aparentemente resolve boa parte dos problemas relatados acima.

A adoção de uma "Política de Sigilo e Confidencialidade da Informação" é o primeiro passo em qualquer organização para começar a controlar as informações que vazam da empresa. Essa política deve classificar as informações e os colaboradores, responsabilizá-los pelas informações às quais tenham acesso e pelo uso correto das suas senhas pessoais. Depois, implantar a tecnologia necessária para que essa segregação funcione.

Uma tecnologia da década de 90, relativamente barata, e que pode resolver esse problema é o "Gerenciador de Conteúdo", como Microsoft SharePoint. Se bem implementado, permite que os funcionários só tenham acesso ao que têm direito, controla todas as vezes que determinado documento foi lido, modificado ou criado, bem como suas diversas versões.

Além disso, a criação de uma "Política de Uso dos Ativos Virtuais" da empresa, de conhecimento de todos os colaboradores permite juntamente com a "Política de Sigilo e Confidencialidade da Informação" que a empresa tenha os meios legais para garantir o cumprimento das normas e eventualmente servir de base para um processo de Perdas e Danos no caso de vazamento de informações.

Um "Termo de Compromisso de Confidencialidade" deve ser assinado entre a organização e os colaboradores.

Ter as políticas adequadas, o planejamento bem feito é o primeiro passo, necessário, mas não suficiente. A organização deve ter os meios, a tecnologia para monitorar e bloquear toda a informação que sai, por qualquer meio. Depois de constatado o vazamento, deve ser capaz de gerar evidências que permitam a instrução na Justiça de processos Crime e Civis, responsabilizando o responsável pelo vazamento.

É bom não esquecer, que a base tem que ser bem planejada, que os sistemas de acesso à rede da empresa, ao LDAP ou Active Directory tem que ser bem construídos, bem como a organização precisa de uma política de senhas adequada, inclusive usando a tecnologia One Time Passaword. Os acessos externos à rede devem ser feitos por meio de VPNs e a rede deve ser bem protegida de intrusões, spywares e vírus.

. Por: Francisco Camargo, Engenheiro de Produção pela Escola Politécnica da USP, é Presidente da CLM Software, Conselheiro da ApRISCO (Associação Profissional do Risco), Conselheiro da ABES (Associação Brasileira de Empresas de Software)e Conselheiro da AUI (Associação Universitária Internacional). | www.clm.com.br