Dropbox é ameaça à segurança na TI corporativa

image_pdfimage_print

De acordo com um estudo realizado com 662 profissionais de TI, 31% de seus usuários utilizam frequentemente o Dropbox e 29% o utilizam com muita frequência. Cinquenta por cento dos entrevistados acreditam que o uso do serviço tem, provavelmente, resultado em uma perda ou roubo de documentos confidenciais. O estudo de 2012 revela o maior segredo aberto em TI: dados nas mãos dos usuários são tão bons quanto se estivessem perdidos.

E o departamento de TI pode estar perdido em o que fazer, porque quase metade dos entrevistados na pesquisa – 47% – disse que sua organização usa monitoramento e controle manual para reduzir o risco de ferramentas de compartilhamento de arquivos. Além de ser ineficiente, o monitoramento interno aumenta a carga de trabalho de segurança de TI com a criação de filtros de spam e as exceções de firewall, com o monitoramento de filtros web, aplicação de patches, mantendo a proteção antivírus, digitalização, reimagem e assim por diante.

Quarenta e um por cento dos entrevistados disseram usar treinamento de funcionários e conscientização para reduzir o risco de ferramentas de compartilhamento de arquivos. Mas quando 60% dos funcionários usam frequentemente o navegador baseado em compartilhamento de arquivos, educação claramente não é a resposta completa.

Segundo a pesquisa, 31% dos documentos sensíveis foram divulgados por pessoas não autorizadas CPOR causa de descuido ou questão de controlo interno. Em contraste, insiders maliciosos ou criminosos – com base na média extrapolada – foram citados como responsáveis por 19% do vazamento desses documentos.

“Se o seu setor é altamente regulado, você deve estar apavorado com Dropbox, agora,” disse Ryan Kalember da WatchDox, que patrocinou a pesquisa.

Além da perda de dados por parte de funcionários descuidados ou mal-intencionados, 70% das empresas frequentemente, ou muito frequentemente, concedem à parceiros de negócios acesso a documentos sensíveis ou confidenciais. O resultado é que os documentos acabam em muitos lugares com exposição em excesso.

O problema de roubo de dados e perda tem acontecido desde a época da minha família de cassete TRS-80. A diferença é que isso nos tomou cinco minutos para salvar um programa de carrasco de 10K para uma fita cassete. Nesses mesmos cinco minutos hoje eu posso colocar na fila mais de 100GB e ir embora.

A proliferação de dados é outro problema de colaboração não gerenciado. Quando um funcionário envia uma planilha o documento é replicado em cada perna de sua jornada: Postini, servidor de correio do destinatário, uma pasta do Outlook local. E em cada um deles é feito o backup para outro servidor de redundância.

Claro, o Dropbox é apenas uma das dezenas de serviços de armazenamento em nuvem. Amazon S3 é outra. Na verdade, Dropbox está hospedado no Amazon, então você realmente não pode saber onde seus dados residem. Segundo a pesquisa, a organização usa em média 13 ferramentas de compartilhamento e faz 2GB de uploads por mês.

Bloquear o acesso de armazenamento na nuvem é impraticável, pois coloca a empresa contra o empregado e se opõe a colaboração aberta. Impedir a transferência de dados de Dropbox está provando ser impossível. Caso em questão: Ponemon recentemente aprendeu com um de seus clientes, uma empresa de serviços financeiros que mantém um bloqueio rigoroso de sua rede, a qual os funcionários estavam correndo para o Starbucks mais próximo para fazer o download de dados do Dropbox para um pen drive e enviá-lo novamente depois de fazer suas alterações. Os funcionários estão fazendo download de documentos de clientes que usam o Dropbox, então a empresa de serviços financeiros tem que olhar outra maneira de ter o negócio feito. Pensou que o sneakernet estava morto? Tenho certeza que um monte de departamentos de TI têm histórias semelhantes.

Quais dados estão mais em risco de perda? Cinquenta por cento dos entrevistados disseram que documentos de clientes podem “ser atribuídos ao volume de informações e de acesso dos funcionários “. A pesquisa também constatou que “a maioria das organizações – 67% – tem um método para classificar a confidencialidade dos documentos, como parte de seus esforços para atribuir direitos de acesso. ”

Mas grandes organizações com serviços intensivos de documentos, tais como escritórios de advocacia, agências de publicidade e do governo – cujo capital é as suas ideias – não sabem realmente onde todos os seus dados confidenciais e sensíveis estão. Alguns estão no CMS, alguns em um compartilhamento de rede e alguns estão armazenados localmente. Determinar quem deve ter direitos é impraticável.

Como colaboração e mobilidade mudaram a forma como os arquivos são compartilhados, a natureza de proteger os dados não estruturados tem que mudar com ele. Em outras palavras, a empresa tem de notar que perdeu o controle significativo sobre a maioria das camadas da pilha de modo que agora tem que se aproximar de dados como a frente principal na luta para manter as coisas seguras. Algumas organizações estão adotando um modelo de segurança centrada em dados (DCS). DCS tem dois componentes: mantém a criptografia, quando o arquivo está em movimento, em repouso, e em uso. Ele também controla o que o colega, parceiro de negócios ou o cliente pode fazer com os dados, como encaminhamento, edição e impressão.

Empresas como a WatchDox, FileTrek, Fasoo e NextLabs oferecem às empresas uma solução de segurança centrada em dados para de plataformas baseadas em Web e mobilidade para garantir direitos, mesmo retroativamente.

“Se você torná-lo tão fácil de usar como Dropbox, onde os funcionários podem acessar todos os seus dados em um só lugar a partir de qualquer dispositivo, eles não precisarão Dropbox.”

Fonte: IT Web

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Tenho interesse por todas as áreas da informática, mas em especial em Gestão, Segurança da Informação, Ethical Hacking e Perícia Forense. Sempre disposto a receber sugestões de assuntos para criar uma postagem.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!