Você tentou implementar um produto de criptografia mas falhou? Não desista. Sem a abordagem correta, será difícil proteger os dados da sua empresa. E, caso a metade da sua empresa esteja trabalhando de forma remota e utilizando dispositivos sem criptografia, até mesmo o roubo de um telefone pode comprometer os seus negócios.
As violações de dados e os consequentes danos à reputação levaram o setor de pequenas e médias empresas (PMEs) a adotarem, pela primeira vez, a criptografia mesmo antes da chegada da LGPD. Porém, o segmento de PMEs é bastante grande e abrange um amplo espectro de níveis de maturidade em cibersegurança e abordagens de governança de dados.
A LGPD torna a proteção dos dados pessoais de clientes e funcionários uma responsabilidade legal dos proprietários de empresas e operadores de TI. O regulamento, que sugere a criptografia, anonimização ou destruição de dados (após o uso comercial), combinado a um número cada vez maior de violações de dados, está impulsionando a implementação de tecnologias de proteção de dados por parte das PMEs.
No entanto, com a pressa em proteger os dados de negócios, é comum a ausência de verificação adequada dos produtos e das melhores práticas na implementação de soluções. Com pouco tempo para realizar pesquisas de mercado, junto à realidade de uma vasta oferta de produtos disponíveis, encontrar a solução correta para as suas necessidades segue sendo um desafio para proprietários e responsáveis pela tomada de decisão.
Se você estiver diante dessa decisão, certifique-se de responder às seguintes perguntas:
1. Quais dispositivos apresentam maior risco: internos ou externos?
Pegaremos como exemplo os notebooks, pois eles podem ser considerados a infraestrutura física principal na maioria das PMEs. Pode parecer óbvio, mas esteja ciente de que os dispositivos estão mais suscetíveis a roubos quando levados para locais fora do escritório. Saber disso é a forma correta de começar a pesquisar uma solução para o problema. Certifique-se de testar a eficácia de uma solução no gerenciamento de cenários de problemas para seus usuários remotos. Caso você não tenha nenhuma reclamação quanto ao seu desempenho quando aproveitado por usuários remotos, significa que, pelo menos, já criou uma lista restrita.
2. Qual é a importância de um produto com bom design?
O design e o funcionamento dos dispositivos estão interligados. A capacidade de alterar, rapidamente, a política de segurança, as chaves de criptografia, os recursos e a operação de criptografia de endpoints, de forma remota, significam a possibilidade de uma política padrão que seja, ao mesmo tempo, sólida e rigorosa. As exceções podem ser empregadas apenas no momento e no local em que forem necessárias, podendo ser revertidas com a mesma facilidade. Se você não puder fazer isso, deverá deixar “uma chave embaixo do capacho” para garantir. Isso seria como abrir buracos em sua política de segurança antes de concluir a instalação.
3. E quanto ao bloqueio remoto e limpeza de notebooks?
Esse problema pode se tornar crucial em caso de roubo de um notebook da empresa, com criptografia de disco completo, assim que estiver em modo de suspensão ou com o sistema operacional inicializado. A situação é ainda pior caso esses sistemas tenham a senha de pré-inicialização afixada em uma etiqueta ou guardada na bolsa do notebook. Caso uma função de bloqueio ou limpeza remota não esteja disponível, o sistema ficará sem proteção, ou estará protegido, apenas, pela senha da conta do usuário. Em ambos os casos, a criptografia se torna contornável.
Além disso, é importante saber se a solução foi projetada para acomodar os casos de uso típicos que, de outra forma, desvendariam uma política de segurança bem elaborada.
4. Mídias removíveis: a solução é capaz de proteger sem inserir todos os itens na lista de permissões?
A diversidade de dispositivos graváveis em uso no trabalho diário torna quase impossível que os administradores insiram todos na lista de permissões ou decidam sobre a permissão de ler ou gravar dados nesses dispositivos. É muito mais fácil definir uma política para arquivos – distinguindo entre arquivos que precisam de criptografia e aqueles que não precisam – com os arquivos selecionados como protegidos toda vez que forem movidos de uma estação de trabalho ou rede corporativa para qualquer dispositivo portátil. Portanto, caso você conecte um pendrive pessoal, a solução não deverá gerar uma criptografia de seus dados privados. Por outro lado, quaisquer arquivos copiados do sistema da sua empresa deverão ser criptografados. É uma ideia simples, mas que torna qualquer dispositivo seguro, sem a necessidade de listas de permissões.
Em última análise, a flexibilidade e a facilidade de uso são aspectos que garantem o sucesso na implementação da tecnologia de criptografia de endpoint. Portanto, é necessário determinar se a solução desejada é, realmente, fácil de ser implementada. Caso a configuração demore muito e exija ferramentas adicionais para sua operação, isso apenas causará problemas para os administradores do sistema, criando novos riscos de segurança.
DICA: escolha uma solução de fácil implementação, que não exija conhecimentos avançados de TI e preserve tanto as finanças quanto as capacidades de recursos humanos. Se uma experiência positiva do usuário seguir essa implantação fácil, a equipe de TI não será mais sobrecarregada por bloqueios de usuários, dados perdidos e outras frustrações.
Os produtos comerciais de criptografia validados provaram ser fortes o suficiente por algum tempo. No entanto, um número significativo de violações de dados registradas, envolvendo notebooks e pendrives perdidos ou roubados, ocorreu em organizações que compraram e implementaram produtos de criptografia. As informações gravadas desses incidentes revelam que ser capaz de ajustar a solução ao seu ambiente, práticas de trabalho e facilidade de uso para usuários comuns são os principais desafios.