Reconhecendo os riscos dos dados que envolvem fornecedores, mais de metade dos líderes empresariais de médio porte (53 por cento), considera que é muito importante utilizar práticas de segurança e de proteção de dados ao selecionar um fornecedor. Em comparação, 36 por cento dessas pessoas considera o planejamento de contingência de um fornecedor um fator de primeira instância.
Preocupação com Violação de Dados é Crescente
As muitas violações aos dados custam milhões de dólares às organizações, causam danos à reputação e resultam em perda de clientes e em muitas oportunidades de negócios. De acordo com uma pesquisa realizada com mais de 350 profissionais de bancos de dados e TI do IOUG (Independent Oracle Users Group) no final de 2014, foi possível analisar a situação da segurança dos bancos de dados empresariais, investigando quais os maiores riscos e como as organizações podem aprimorar suas estratégias de segurança. A pesquisa global intitulada "DBA – Security Superhero: 2014 IOUG Enterprise Data Security Survey" (DBA – O Super-Herói da Segurança: Pesquisa sobre Segurança dos Dados Empresariais – IOUG, 2014), incluiu, gerentes de segurança de BDs (bancos de dados), DBAs (administradores de BDs), diretores ou gerentes de TI de empresas de diversos setores, como serviços de TI, órgãos governamentais, educação, serviços públicos, transportes e serviços financeiros. Mesmo que seja apontado que as organizações possuem um elevado compromisso com a segurança corporativa, os resultados da pesquisa destacam a extrema falta de preparo das empresas para lidar de forma mais enérgica tanto com as ameaças internas quanto externas.
Vale ressaltar que este estudo é uma ferramenta bastante poderosa tanto de aprendizado quanto de ensino, colocando um ponto final nas principais questões de segurança que mantêm os heroicos DBAs e suas equipes, acordados durante muitas noites. Além disso, exercer um empenho extremo de segurança dos dados e prontidão para combater violações às informações, deixou de ser uma preocupação opcional e tornou-se o preço que as empresas pagam para continuar no mercado," disse John Matelski, presidente do IOUG. O estudo ressalta de qual forma os insights e o alcance da comunidade de profissionais do IOUG contribuem para o mercado em diferentes setores, profissões e regiões do planeta. De um modo geral, os resultados apresentados indicam que as organizações contam com controles falhos no que diz respeito à detecção, prevenção e segurança administrativa, que incluem controles internos limitados sobre os usuários com privilégios, falta de conhecimento quanto ao local onde residem os dados confidenciais e monitoramento inadequado das atividades realizadas pelos usuários com privilégios. Embora mais de 50% dos entrevistados tenham observado que os bancos de dados consistem na parte mais vulnerável do ambiente de TI de suas empresas, a maioria deles tem investido em áreas de menor risco, como rede, servidores e desktops.
Descobertas Relevantes
Nesse contexto da pesquisa realizada, mais de três quartos (81%) dos entrevistados apontaram os erros humanos como o maior risco aos dados empresariais, seguidos pelo receio de ataques originados internamente (65%). Outras preocupações incluem o abuso do privilégio de acesso por parte das equipes de TI (54%), malware (código mal-intencionado) e vírus nos sistemas empresariais (53%). Além disso, a despeito desses riscos humanos, muitos participantes do estudo indicaram que possuem poucas proteções contra abuso acidental ou intencional de funcionários. Outro dado alarmante é que quase 40% dos entrevistados, admitiu que não sabe quais bancos de dados contêm informações confidenciais ou regulamentadas, e 71% deles não possuem as proteções necessárias ou não sabem dizer se há algum mecanismo de defesa implementado para combater danos acidentais aos bancos de dados e aplicativos. Salientando que os complexos ambientes de dados da atualidade talvez estejam prejudicando a capacidade dos entrevistados de implementar iniciativas abrangentes de proteção aos dados. Na sequência, somente 18% dos entrevistados criptografam os dados residentes em seus bancos de dados. Além disso, somente 46% deles editam os dados confidenciais dos aplicativos, e os demais os deixam expostos aos usuários casuais desses aplicativos.
Riscos que Alavancam Práticas de Violações
A partir dos riscos bem conhecidos resultantes da proliferação dos dados de produção para um ambiente de "não produção" (ambiente de teste), mais de 40% dos entrevistados utilizou cópias dos dados de produção para testes e desenvolvimento, e 41% deles possui três cópias ou mais dos dados de produção. Conforme declarou o executivo Vipin Samar, vice-presidente de segurança de banco de dados da Oracle, esta é a era das grandes violações de dados, o que caracteriza um tempo em que brechas de segurança que afetam milhões estão se tornando mais do que banais. Para a maioria das organizações, a questão não é mais se um ataque vai acontecer, mas sim quando ele ocorrerá. Ressaltando ainda que esta pesquisa destaca que muitas empresas não contam com controles de segurança adequados para os bancos de dados e, no atual ambiente onde as ameaças estão cada vez mais graves, elas simplesmente não podem se dar ao luxo de esperar. Dessa forma, nunca foi tão importante que as organizações tenham estratégias práticas de segurança dos dados em vigor para gerenciar adequadamente os dados confidenciais de clientes e da corporação.
Detecção dos Riscos
Há uma crença muito forte que existem três tipos principais de violação de dados, resultantes de uma segurança de impressão inadequada. O mais comum desses tipos é uma violação de dados com intenções fortemente maldosas. Quando dados privados e sensíveis são impressos regularmente, se caírem nas mãos erradas, o custo para a organização pode ser muito elevado. Dessa forma, as violações de dados têm-se tornado mais comuns com o trabalho contínuo das empresas através da nuvem. É hoje é bem mais fácil recuperar informação, pois esta pode ser interceptada virtualmente e não recolhida no local. E também continua a existir a ameaça de furto interno, o que é ainda mais preocupante. Além disso, o erro humano pode, de maneira igualitária, ser um fator que conduz a violações de dados. A seleção acidental de impressora para escritório e o envio de um documento sensível para a rede errada, podem trazer consequências graves para uma empresa. Além do mais, a remoção do elemento humano do processo em questão não é um fator excludente, de forma necessária, em relação ao problema por completo. Se uma rede de impressão estiver incorretamente ligada à nuvem, os documentos podem perder-se e, assim, o papel do erro humano, neste caso, não será considerado relevante.
Manter-se Longe dos Riscos
As empresas que lidam com dados sensíveis, possuem medidas de segurança que protegem a sua propriedade intelectual. O alargamento destas medidas de segurança às redes de impressão, ajudará a reduzir as violações de dados. O primeiro passo no sentido da segurança da rede de impressão, será introduzir controles sobre os privilégios de impressão dos funcionários. Além disso, a questão dos furtos internos pode ser reduzida, se o número de funcionários que obtêm acesso a dados sensíveis e os imprimem for menor. Neste contexto, existem formas de contornar qualquer sistema de segurança e, de modo semelhante, de reduzir o erro humano. Ainda assim, as muitas oportunidades para violar dados continuam a existir. Quando se instala uma rede de impressão segura, é muito importante que as empresas recorram a um especialista nessa área, pois os erros de programação e ligação em rede podem enfraquecer a precisão das mesmas e tornar-se mais dispendiosos a longo prazo. Se a rede for corretamente instalada, a função do modo de impressão segura, comum na maioria dos dispositivos compatíveis com a nuvem, pode reduzir significativamente as violações de dados causadas pelo mau funcionamento dos sistemas de TI. Assim, é evidente que isto depende do rigor da instalação da rede de segurança contra violações de dados. Em face disso, é bastante perceptível que as organizações são mais suscetíveis aos riscos resultantes de vulnerabilidades ocultas do que de ameaças potentes e óbvias. Com a constante e rápida evolução da tecnologia, as empresas modernas estão continuamente em processo desenvolvimentista, a fim de responder às necessidades do local de trabalho.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=18563