As invasões e o roubo de dados corporativos têm sido noticiados frequentemente nos últimos tempos – sem contar as organizações que não divulgam o ocorrido – e os executivos de segurança têm se visto diante de uma série de soluções no mercado sem saber qual delas escolher para garantir a segurança das informações da empresa. A resposta mais assertiva seria a de incluir várias delas, em camadas, uma vez que o problema em si tem diversas frentes e as informações confidenciais das organizações podem ser usurpadas por meio de um email, uma cópia em um dispositivo como pen drive, uma cópia impressa, entre outras. Um primeiro passo seria proteger o dado em sua origem, já que a maioria de dados não estruturados está agregado em servidores de arquivos e em datacenters, onde são acessados pelos diversos dispositivos dos usuários.
A Varonis desenvolveu um documento onde destaca 10 pontos que devem ser seguidos visando a proteção de informações e boas práticas de governança de dados. A governança é uma estrutura composta por pessoas, processos e direitos de acesso para garantir o uso correto dos dados. Esta combinação irá controlar de forma eficaz o acesso às informações da organização; aumentará e dará consistência à proteção dos dados; reduzirá o custo e a complexidade do controle e fará uma auditoria do uso de dados prevenindo perdas.
Primeira fronteira
Considerando que a maioria das empresas possuem controles de acesso muito permissivos, muitos também desatualizados já que funcionários saem da empresa enquanto outros entram e equipes são modificadas, qualquer programa para reduzir a probabilidade de perda de dados e uso indevido deve começar com a verificação de controles de acesso.
Os demais pontos observados pela Varonis são:
Visibilidade – qualquer solução para controle de dados não estruturados deve ter uma representação visual bem clara de suas configurações;
Controle – a solução deve incluir todos os mecanismos para definir, testar, decretar e reverter o acesso a pastas e arquivos;
Auditoria – deve compreender uma auditoria detalhada para todos os aspectos do uso de dados;
Segurança – deve fornecer um aviso automático relativo à revogação de direitos de acesso;
Performance –a solução não deve interferir na performance dos servidores, do fluxo do tráfego ou na forma de acesso dos usuários;
Escalabilidade – deve possibilitar escalabilidade considerando a duplicação do volume de dados a cada 12 meses;
Facilidade de Instalação – não pode interromper as operações da empresa nem o tráfego de dados;
Facilidade de Uso – não deve necessitar de treinamento externo especializado para ser operacionalizada;
Facilidade de Integração – deve ser compatível com uma ampla gama de servidores de arquivo e dispositivos de armazenamento;
Baixo Custo de Propriedade – e finalmente deve mostrar seus benefícios em termos de ganho de tempo e economia de recursos.
Estes 10 mandamentos são seguidos rigorosamente pelo sistema da Varonis.