SEGURANÇA CONTRA ROUBOS DE ATIVOS DE TI
Grande parte das empresas, de todos os segmentos, tem atualmente vivenciado cada vez mais, a triste, mas corriqueira experiência do roubo de seus ativos computacionais. Pode ser um notebook, um smartphone ou até mesmo a retirada de memória ou disco de um desktop.
O problema se agrava fortemente com a inserção de algumas outras poucas, mas importantes, variáveis que não podemos deixar de analisar, como por exemplo, as informações que estavam no equipamento, ou ainda estão, não se sabe a situação. Alguém pode acessar? Projetos sigilosos, informações confidenciais, dados sensíveis ficarão expostos? Minha empresa pode ser responsabilizada? E o acesso à minha rede? Pode ser de alguma forma facilitado já que o dispositivo roubado estava preparado para se conectar em nossa estrutura e utilizar de todos os nossos recursos? Podemos ser invadidos?
Será que naquele notebook, roubado no táxi a caminho do aeroporto, haviam informações sobre o novo projeto de milhões de dólares que será lançado em alguns poucos meses? Algum concorrente terá acesso e a vantagem competitiva será perdida e junto com elas os milhões de dólares em investimentos e expectativas de retorno?
Claro, a quantidade de dúvidas e incertezas são abundantes enquanto as certezas e ações possíveis parecem remotas e sem chance de remediação.
Pensando em estatísticas sobre o assunto nos deparamos com outra situação desagradável, algo bem difícil de gerir, que é o percentual hoje percebido dos roubos efetuados pelos próprios funcionários, aqueles que deveriam zelar pela integridade de todo e qualquer ativo das empresas, aparecem no topo da lista como os primeiros a subtrair os dispositivos, ou informações ou credibilidade de seu negócio.
Podem ainda ser acrescidos outros agravantes, como leis específicas, as quais às empresas estão localmente sujeitas ou globalmente, como nosso marco civil regulatório, ou GDPR, ou até mesmo SOX e similares. Todas elas estabelecem de alguma forma a nossa responsabilidade como empresa, por todas as informações que tivermos, estejam elas sob o nosso controle em nossas redes, ou em equipamentos roubados que não podemos acessar, somos responsáveis pelo que acontece com elas e pelos possíveis controles, ou não, que temos sobre estas ocorrências.
É possível incluir a produtividade de um funcionário, que ao perder um equipamento, ou ter sido roubado, terá suas ações funcionais atrasadas até a substituição do dispositivo, e isso financeiramente é um transtorno imenso, mas de certa forma aceitável, no entanto, e se – o que é mais comum do que se imagina – naquele notebook, e somente nele, havia a última versão, totalmente atualizada, depois de meses de trabalho, em Excel é claro, do Orçamento para o ano seguinte? Só a substituição do computador ao usuário não conseguirá recuperar o tão importante arquivo, e mais tempo e recursos serão gastos para realizar algo que já estava pronto.
Não podem ser esquecidos ainda os casos de equipamentos de Leasing, que devem ser devolvidos à entidade financeira ao término do contrato. Mas se não for feito é necessário pagar praticamente um novo equipamento, tornando nossa planilha de previsão de custos apenas uma ferramenta decorativa.
Certamente que diversas ações podem e devem ser utilizadas para minimizar o impacto de um roubo, para prevenir ocorrências e também para a máxima remediação. No entanto, como é de conhecimento de todos, não existe uma única solução que possa resolver todas as situações, que possa ajudar em todos os aspectos de um ou diversos incidentes de roubo, e não se pode certamente acreditar que o uso de senhas adequadas é suficiente para a nossa proteção.
Uma solução inteligente, mas muito incompleta, é a de seguros dos equipamentos, mas que além dos altos custos percebidos, só retornam o valor financeiro relacionado ao equipamento roubado. Todos os outros problemas permanecem, ou seja, ter o equipamento de volta de alguma forma, nem que seja apenas o valor dele, é importante para qualquer empresa, mas a materialização do mesmo não traz luz ou respostas para todos os outros questionamentos.
Os problemas de segurança, de dispositivos de usuários, e proporcionalmente acentuados nos de maior mobilidade, podem começar de maneira bastante simples e corriqueira, como um antivírus que deveria estar ligado e funcionando, mas não está e por consequência o equipamento é invadido de alguma forma e informações do mesmo começam a ser coletadas ou o computador torna-se um espião na mão de hackers ou zumbi para processamento de moedas digitais.
Por que aquele equipamento estava com o antivírus não funcional, onde se gastou bastante dinheiro para implantar em toda a empresa e garantir que não existiriam problemas dessa natureza? Foi falha do antivírus, muito improvável? TI não estava atenta? Remota possibilidade. Ou o equipamento simplesmente estava funcionando numa localidade sem proteção, fora da rede corporativa, e sofreu alguma falha que não foi percebida?
É sabido que em alguns casos não se tem nem a informação que o equipamento foi roubado, estão no inventário (famoso armário) e quando precisamos não temos a segurança absoluta se deveria ainda estar lá, se já foi destinado à algum colaborador, o que passou. Precisamos de fonte precisa que nos diga onde estava e está um equipamento, qual o status dele. E as questões de inventário devem ser lembradas como boas práticas de governança, já que somente podemos assegurar algo que conhecemos, por exemplo, não é possível alertar um roubo ou substituição indevida de memória de um equipamento se não temos essa informação, ou se não está disponível de forma adequada e de fácil acesso e recuperação, ou seja, fora de planilhas e controles pouco garantidores de resultados.
Até mesmo o uso de softwares não permitidos pode causar problemas, além dos já esperados como trojans e similares, mas por exemplo a inadequação de licenças compradas e em uso, que podem direcionar suspeitas de fornecedores sobre o fato e gerar longas batalhas e até mesmo o recebimento e pagamento de multas. Novamente, é preciso ter o controle para dar segurança.
Sim, certamente podemos nos cercar de inúmeros atalhos, soluções, ferramentas corporativas, e ainda assim ter o parque vulnerável, especialmente por que as soluções – em diversos níveis – existente no mercado são baseadas em software, o que basta a formatação de um HD para que o equipamento, que deveria estar sob monitoramento constante, e apto a receber ações de remediação, fique fora de alcance e portanto, mais uma vez, trazendo prejuízos e problemas para as empresas.
Idealmente as soluções de segurança devem ser persistentes, que não possam ser apagadas ou desativadas dos dispositivos computacionais, que seja possível atuar sobre os nossos ativos, localizando-os geograficamente onde quer que estejam, bloqueando seu uso de forma remota – sem a utilização de ferramentas de controle remoto, já que são elas também um dos grande causadores de falhas de segurança com potenciais invasões e vazamentos massivos de dados – e saibamos a cada evento de alteração não permitida de hardware ou software o que houve e ações possam ser tomadas, é fundamental que seja possível excluir informações – selecionadas ou completas – de forma segura e remota, para garantir adequações com GDPR por exemplo, enfim, devemos atuar com o máximo de atenção na questão de roubos de ativos computacionais, que em última análise podem ser até mesmo utilizados pelo crime organizado com a nossa não desejada colaboração.
O atual nível de maturidade de segurança nas empresas no Brasil passa por um momento de importante reflexão, onde não apenas firewalls por exemplo, devem estar atualizados e funcionais, e contingências computacionais disponíveis de forma segura e veloz, mas que os equipamentos nas mãos dos usuários não sejam portas abertas para problemas de segurança que não podem ser combatidos com apenas com antivírus, criptografia e single sign-on por exemplo.
Estudos aprofundados sobre soluções com persistência em BIOS são recomendados para a nova geração de ferramentas de segurança, rastreamento, monitoramento e governança. Os modelos de gestão de segurança como serviços e suas contratações são parte importante desse processo evolutivo que vive o mercado, considerando especialmente que os equipamentos passam cada vez menos tempo e ciclos operacionais sob a proteção das redes corporativos e cada vez mais navegando em oceanos que as mecânicas usuais não mais são funcionais ou apresentam resultados satisfatórios.
Por: Marcelo Grandchamp
Nenhum comentário:
Postar um comentário