A Eurotux, empresa especializada na implementação de tecnologias de informação à medida, partilhou algumas regras de ouro para que os dados das diferentes organizações possam permanecer em segurança, uma vez que este é o ativo mais importante das empresas.
A Eurotux conta na sua oferta com a implementação de estratégias de Data Loss Prevention (Prevenção contra Perda de Dados ou DLP).
Perda de dados poderá influenciar a credibilidade das empresas
Com o crescente número de ataques informáticos que se tem sentido nos últimos anos, as empresas têm-se visto obrigadas a salvaguardar da melhor forma possível aquilo que as mantém no ativo, os dados armazenados.
Ataques de ransomware e roubo de informação interna por parte de colaboradores tem sido uma constante entre várias organizações, como adianta a Eurotux, em comunicado. As consequências destas ações são consideráveis para as empresas, seja por questões de perda de confidencialidade de informação sensível que sejam extraídas/roubadas, ou por violação de Dados Pessoais.
Para além das consequências imediatas (indemnização por perda de informação confidencial – da empresa ou dos clientes/parceiros), as organizações podem adicionalmente ter de pagar multas por incumprimento de legislação (como é o exemplo do RGPD).
Assim, a Eurotux reforça que a prevenção da perda de dados é fundamental, sendo que, para tal acontecer, as organizações precisam de conhecer e documentar quais as informações sensíveis/confidenciais que têm armazenadas, assim como a localização desses ficheiros e se estão com a devida classificação.
As melhores práticas de prevenção da perda de dados, segundo a Eurotux
Para a Eurotux, existem 5 práticas que devem ser cumpridas de forma a prevenir eventuais perdas de dados dentro de uma organização.
Identificação e classificação de dados
De maneira a proteger a informação sensível de forma mais eficaz, é necessário perceber com alguma exatidão que tipos de dados existem armazenados na empresa. As tecnologias de Data Discovery conseguem analisar todos os repositórios, conferindo visibilidade sobre o conteúdo que deve ser protegido.
Após este passo, devem ser definidos níveis de classificação (por exemplo: público; interno; confidencial) e devem ser aplicadas as devidas classificações correspondentes aos documentos analisados.
Após este processo, seja através de controlos manuais ou tecnológicos, devem ser aplicados controlos que previnam o manuseamento de determinada informação. Ou seja, impedir que aquele tipo de dados seja movido, copiado, impresso ou acedido sem a devida autorização.
A encriptação é fundamental
Além da classificação e dos tradicionais privilégios de acesso a ficheiros mais sensíveis numa organização, estes devem também contar com algum tipo de proteção extra, como é o caso da cifra.
Tenha ainda em atenção que se forem utilizados dispositivos portáteis para transportar dados sensíveis, deverão ser utilizadas soluções de disco encriptado, de forma a que quando estes estiverem desligados esteja assegurada a proteção de toda a informação que armazenam.
Uma das tecnologias de encriptação mais utilizadas em sistemas Microsoft é o BitLocker, que complementa o EFS disponibilizando uma camada adicional de proteção de dados armazenados em dispositivos Windows. O BitLocker protege os terminais perdidos ou roubados contra roubo ou exposição de informação e oferece uma eliminação segura de todo o conteúdo quando se desativa um dispositivo.
Definição de papéis dentro da empresa
Cada funcionário deve ter um papel muito bem definido dentro de uma organização. Este é um passo essencial no que diz respeito à política de prevenção da perda de dados.
Deve ser criada uma estratégia onde seja especificado quem é o proprietário de cada tipo de dados, quais os membros da equipa de segurança de TI que são responsáveis por que aspetos da implementação da estratégia de DLP e como e quando devem responder em caso de possíveis perdas de dados.
Apostar na automação
Para a Eurotux, a automatização de processos de DLP é algo quase fundamental para proteger a informação sensível. Quanto maior for essa automatização maior a facilidade de implementação em toda a empresa.
Os processos manuais de DLP têm um âmbito limitado e não podem ser redimensionados para satisfazer as necessidades de ambientes informáticos, com a exceção dos mais pequenos.
A automação simplifica este tipo de processos ao mesmo tempo que garante escalabilidade e facilita a gestão da política de Prevenção Contra a Perda de Dados. Esta implementação vai permitir de forma mais fácil identificar movimentos suspeitos, como por exemplo, identificar quem está de forma recorrente a tentar enviar documentos classificados para o exterior da organização.
Técnicas avançadas são sempre um ponto positivo
Para identificar comportamentos anormais, algumas soluções modernas de DLP complementam análises estatísticas simples e regras de correlação com machine learning e analítica comportamental. A criação de um modelo do comportamento normal de cada utilizador e grupo de utilizadores permite a deteção mais precisa da atividade suspeita. Essa atividade pode resultar em fuga ou perda de dados.
A Eurotux implementa diariamente estas e outras boas práticas para proteger o ativo mais importante das organizações – os seus dados.
