O que escândalos como o ‘Panama Papers’ nos ensinam sobre segurança da informação?

Nas últimas semanas temos visto o caso da Mossack Fonseca, empresa de gestão financeira com sede no Panamá, que revelou um grande vazamento de dados e levantou a questão: quão eficaz é a detecção de vazamento de dados por parte das empresas? Muitas delas possuem estratégias para a segurança de dados, privacidade de contratos e proteção de processos de negócios-chave, porém não conseguem proteger acessos e alterações no nível de cada documento de forma auditável e segura.

Algumas apresentam características peculiares devido ao ramo de atuação, como por exemplo, os escritórios de advocacia, bancos de investimentos e gestores de grandes fortunas – todos movimentam um grande e sensível volume de informações de seus clientes, e devem deter ferramentas para execução dos processos de due dilligence e garantia da segurança e privacidade de dados.

As companhias do mundo corporativo também precisam proteger os segredos de sua cadeia de valor, garantindo privacidade na troca de informações, tais quais contratos, perfis psicológicos de seus executivos, marcas e patentes, relatórios financeiros e fiscais, entre outros.

É importante ressaltar que a proteção destas informações não está relacionada com atividades ilícitas, mas, sim, com a genuína preocupação em se preservar dados sensíveis de executivos, colaboradores, fornecedores, clientes e parceiros, que constituem os stakeholders de uma organização e cuja gestão gera diferenciais competitivos a uma determinada empresa.

Veja alguns dos principais pontos da área de segurança em due diligence que devem ser abordados:

. Utilização de IRM (Information Rights Management, ou Gerenciamento dos Direitos de Informação, em português) para proteger e gerenciar o compartilhamento de documentos;

. Realização periódica de testes de intrusão interna e externa;

. Construção de uma matriz de sensibilidade da informação para determinar quais categorias de documentos necessita de proteção mais avançada. Exemplo: relatórios para o board;

. Adoção de uma ferramenta de IRM que tenha capacidade de auditoria e possa emitir relatórios de acesso no nível do documento;

. Identificação de quais processos têm grande volume de trocas de documentos (revisões, atualizações, etc) entre múltiplos usuários.

No novo ecossistema cibernético reconhece-se que qualquer sistema está vulnerável a atividades de hackers. Não se trata apenas de proteger redes internas com as melhores equipes e tecnologias, as quais podem detectar e deter rapidamente uma ameaça. É necessário tomar consciência das interações realizadas dentro e fora do firewall, com meios mais seguros para colaboração e compartilhamento de informações, garantindo a proteção de acesso para usuários não autorizados.

. Por: Marcelo Fernandes, Diretor de Marketing da Intralinks para América Latina.