Atenção para esse ciclo vicioso que se está tornando comum: os CIOs mandam dadoscorporativos para a nuvem. Funcionários escrevem cada vez mais posts com informações pessoais e profissionais nos sites de redes sociais. Uma organização como a WikiLeaks ameaça escancarar informações secretas sobre, por exemplo, contas de empresas em bancos suíços. E os CIOs correm para rever políticas internas de segurança e responder questões desesperadas vindas dos seus CEOs.
“Você nem imagina quantas perguntas...”, diz Srini Cherukuri, diretor senior de Operações de TI da Matson Navigation, empresa de remessas marítimas com faturamento de 1,2 bilhão de dólares. Cherukuri admite que não tem todas as respostas. Os mesmos CEOs que entram em parafuso quando ouvem falar do WikiLeaks também esperam tocar os negócios da empresa usando seus pequenos smartphones e tablets. “E é aí que uma ameaça ainda maior se esconde”, aposta o executivo.
A verdade é que nenhuma política, ou tecnologia de segurança de dados internos, tem poderes, digamos, de um encanador. Ninguém pode de fato impedir que um vazamento de informação aconteça. “O WikiLeaks está mais para questões de Recursos Humanos e do departamento jurídico do que para a tecnologia. Alguém a quem foi confiada uma informação importante não merecia essa confiança”, diz Frank Modruson, CIO da Accenture.
Banir equipamentos digitais de consumo no trabalho não vai impedir as pessoas de usá-los, diz Modruson, e isso amplifica os riscos. “As coisas mais difíceis de proteger são aquelas que você não sabe que tem dentro de casa.”
Ameaças internas sempre existiram, mas a tecnologia digital de consumo e a cloud computing apresentam riscos mais urgentes que os CIOs precisam minimizar. Nesse sentido, aqui vão quatro dicas:
1 - Criar política dura para smartphones
O funcionário perde o smartphone e o CIO precisa se preocupar com o tipo de dado corporativo que estava armazenado nele. Na falta de ferramentas que possibilitem apagar remotamente só os dados corporativos e deixar inteiros os dados pessoais, a Matson Navigation radicalizou na sua política: “Se você perder seu telefone, dê adeus a tudo o que há nele porque tudo será apagado.” Simultaneamente, Cherukuri convence os funcionários a não fazer downloads de dados corporativos em seus equipamento móveis.
Ele acredita que dentro de um ano muitos fabricantes vão conseguir oferecer um “apagador seletivo”, que permitará aos departamentos de TI apagar apenas parte dos dados de um smartphone.
2 - Obrigar o uso de senhas
Muitos usuários de smart phones nao se preocupam em colocar uma senha para bloquear o aparelho, mas os CIOs deveriam exigir que o façam, diz Henning Hagen, diretor da Booz and Co. De fato, ele sugere vários níveis de autenticação para garantir segurança cada vez mais rígida quando um celular é perdido. Nessa linha, há experimentos como adicionar perguntas secretas, tokens que gerem senhas variadas a cada vez que o dispositivo é usado e biometria, usando, por exemplo, reconhecimento de impressão digital.
3 - Evitar a proliferação dos iPads
Vários exe cutivos da Focus Brands, uma franchise de lojas de alimentos como Carvel, Cinnabon, Moe’s Southwest Grill, Schlotzsky’s, Auntie Anne’s e Seattle’s Best Coffee, usam iPads para acessar e-mail, agenda de compromissos e internet. O CEO da Focus Brands usa também seu iPad para ler e responder emails, entre outras coisas, diz Todd Michaud, VP de TI da companhia. Mas porque ele ainda não decidiu como vai controlar os riscos, Michaud optou simplesmente interromper as compras dos aparelhos até ter certeza de que o uso é seguro.
4 - Controlar a nuvem
Para começo de conversa, todo CIO precisa ter um mapa sobre qual provedor está armazenando pedaços de dados corporativos e em que momento. Todo CIO precisa tornar-se um especialista em padrões de segurança a serem aplicados em sua empresa, alerta Cherukuri.
Antes de assinar um acordo com um provedor de cloud, passe a lista de medidas de segurança dele em detalhes para ver se bate com a sua. Verifique regularmente se os acordos de segurança estão sendo mantidos. Uma sugestão é designar um membro da sua equipe para monitorar regularmente os provedores de fora. Cheque logs de auditoria, tenha conference calls e visite os locais onde eles mantém seus dados, avisa o CIO. “Você vai querer olhar o processo deles de cima a baixo”!
Com informações do Portal Terra.
Nenhum comentário:
Postar um comentário