Guia de conteúdos
Sempre que falamos de risco, é natural pensar nas ações externas – como aquelas de um atacante ou um criminoso. Infelizmente, restringir nosso olhar a essas ameaças que estão do lado de fora pode criar uma sensação de segurança falsa, desconsiderando muitos cenários que podem prejudicar a disponibilidade, a integridade e a confidencialidade das informações.
Legislações sobre o tema de privacidade, como a Lei Geral de Proteção de Dados (LGPD) no Brasil, responsabilizam o controlador de dados por qualquer vazamento, mesmo aqueles decorrentes de exposições acidentais. Segundo a lei, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas para evitar "qualquer forma de tratamento inadequado ou ilícito".
Essa linguagem abrangente acompanha o entendimento moderno de que a informação é inseparável do negócio, de modo que a proteção dos dados une os interesses do titular e da empresa. Sendo um recurso da organização, é preciso adotar um conjunto formal de regras para gerenciar como eles podem ser usados. É aí que entra a disciplina de governança de dados.
O que é a governança de dados?
A governança de dados é um sistema de diretrizes, processos e modelos adequados ao tratamento de dados pretendido, incorporando todos os ativos de tecnologia e indivíduos que têm algum acesso aos dados e as medidas que serão adotadas para garantir a conformidade (compliance) às leis e políticas da empresa.
Para ser efetiva, a política de governança deve fornecer respostas e guiar o processo decisório para questões como:
Para organizações menores, esse sistema de gestão pode ser mais informal. Mesmo assim, começar desde cedo a documentar certas práticas ajuda a diminuir o esforço de adaptação dos processos aos ganhos de escala que acompanham a ampliação do negócio.
Em organizações maiores, a gestão desses processos de informação precisa ocorrer de forma sistemática através da governança de dados. Do contrário, não haverá clareza e rigor no cumprimento das medidas que mitigam os riscos vinculados aos dados – sejam esses riscos próprios do negócio ou por ameaças externas.
Por que os dados estão sob ameaça?
Para dar a devida importância à segurança dos dados e planejar uma estratégia de proteção e mitigação de riscos, é bom conhecer algumas das ameaças que podem expor os dados de uma organização.
Exposição acidental e bases abertas
Por mais que as pessoas queiram fazer a coisa certa, acidentes acontecem – especialmente no mundo da tecnologia, onde a operação é complexa e sistemas exigem aprimoramentos constantes, inclusive para corrigir vulnerabilidades. Como não é fácil prever onde algo pode dar errado, reduzir o prejuízo desse tipo de incidente é um desafio.
Às vezes, não é preciso muita imaginação para entender o problema: na nuvem pública, um pequeno descuido na hora de criar uma máquina virtual ou espaço de armazenamento pode expor uma informação na web sem que houvesse essa intenção.
Em cenários mais complexos, pode existir uma somatória de fatores e até se confundir com uma vulnerabilidade. É o caso de sistemas de uso corporativo que acabam permitindo um vazamento após uma migração incompleta de um firewall, por exemplo.
Contudo, não é incorreto dizer que muitos dos casos conhecidos de exposição acidental ocorrem pela ausência de medidas básicas de segurança. Em geral, são bancos de dados e índices com acesso sem senha ou "buckets" de armazenamento em nuvem cuja leitura não foi restrita.
E o problema não atinge apenas "amadores". Em 2020, uma empresa de segurança do Reino Unido deixou um banco de dados exposto na web com 5 bilhões de registros. Um ano antes, a First American Financial Corp, uma seguradora fundada em 1889, deixou em seu próprio site um sistema que dava o acesso a 885 milhões de arquivos com dados de financiamentos e clientes.
Em março de 2022, um levantamento feito pela Check Point a partir da análise de aplicativos móveis descobriu 2.113 bancos de dados abertos. São sistemas que os apps consultam e que deveriam ter restrições de leitura, mas que estavam expostos.
Privilégios de acesso excessivos e compartilhamentos
O acesso a uma base de dados é controlado por meio dos privilégios concedidos a colaboradores, fornecedores ou usuários. Quanto mais abrangentes forem as permissões de um indivíduo ou canal (um aplicativo, uma API, um sistema interno etc.), o risco vinculado a esse meio de acesso tende a ser maior.
A regra básica é a adoção do menor privilégio possível para cada usuário, mas não é raro que as permissões sejam flexibilizadas de forma perigosa para reduzir os chamados de suporte ou acelerar o desenvolvimento do sistema.
A realização de um "pente fino" nas permissões costuma ser um processo lento e custoso – tanto em recursos como para a imagem da empresa ou da equipe interna de TI, que muitas vezes busca evitar conflitos com os demais times, clientes, usuários e fornecedores.
Ainda que as autorizações concedidas sejam apenas aquelas necessárias à atividade desempenhada, raramente é possível evitar que certos usuários ou administradores tenham um acesso privilegiado. O compartilhamento de dados (com fornecedores, filiais ou parceiros) também é um desafio, porque é mais difícil de assegurar o tratamento adequado da informação por todas as partes.
O caso mais emblemático é o da Cambridge Analytica, uma empresa de mineração e análise de dados. O Facebook permitiu que um suposto pesquisador capturasse informações de sua plataforma por meio de um app conectado à sua API. Depois de compartilhados pela rede social para fins "acadêmicos", os dados foram empregados pela Cambridge Analytica para traçar estratégias de marketing político, contrariando a própria política de privacidade do Facebook.
Quando a violação se tornou pública através da imprensa em 2018, o Facebook teve sua imagem arranhada e acabou multado em US$ 5 bilhões pela Federal Trade Commission (FTC), obrigando a empresa a rever toda a sua política de compartilhamentos.
Para os canais que são acessados diretamente por pessoas, somam-se os riscos associados a ataques de engenharia social (incluindo malware e phishing). A varejista norte-americana Target teve esse problema em 2013 depois que um ataque de phishing roubou a credencial de uma prestadora de serviços de ar-condicionado.
Com esse acesso inicial, os invasores executaram movimentação lateral para chegar até o banco de dados de clientes e, por fim, aos terminais de ponto de venda (PDV) da varejista, instalando um código que capturava dados de cartão de crédito. A companhia estimou o prejuízo em US$ 202 milhões.
Ameaças internas
Se o acesso de um colaborador por si só pode ser aproveitado por um invasor ou terceiro para comprometer uma base, a situação é ainda mais complicada quando isso ocorre por iniciativa do próprio colaborador.
Uma empresa britânica demitiu os funcionários e interrompeu suas atividades depois que uma diretora pediu demissão e, ainda com acesso aos sistemas, se aproveitou de um feriado para apagar todos os dados. A executiva foi condenada pelos tribunais em 2020, mas a empresa já havia fechado as portas.
Mais recentemente, esta ameaça vem ganhando novos contornos com o suborno de funcionários por parte de operadores de ransomware e outros cibercrimonosos. Basicamente, os criminosos oferecem um pagamento em dinheiro para ganhar uma presença na rede interna das empresas que pretendem atacar.
Infrações legais
Além de prejudicar o negócio e impor custos de recuperação de sistema ou de dados, todos os casos listados acima ainda podem resultar em repercussões jurídicas.
No Brasil, como a Lei Geral de Proteção de Dados (LGPD) ainda é nova, é difícil prever quanto exatamente pode custar uma violação e quais critérios serão usados para dimensionar as multas e punições.
É inegável, porém, que reguladores mundo afora estão cada vez mais atentos à questão de privacidade e de proteção de dados. Nos Estados Unidos, cinco novas leis estaduais vão entrar em vigor em janeiro de 2023 e mais 8 estados estão com projetos em tramitação.
Muitas dessas leis estaduais americanas acabam impactando empresas brasileiras que utilizam serviços de infraestrutura de tecnologia nos respectivos estados. Além disso, as disposições legais introduzidas nessas leis podem influenciar outros reguladores. Desse modo, é possível que novas regras ainda estejam por vir.
Mais que prevenção: monitoramento e resposta
Mapear ou evitar todas as ameaças em um ambiente complexo e conectado é uma tarefa ingrata. Felizmente, é possível mitigar os impactos por meio de um monitoramento constante e de uma solução ágil às violações detectadas.
Dentro de uma organização, o emprego de soluções de Data Loss Prevention (DLP) ajuda a monitorar o ambiente e garantir que dados permaneçam restritos. Mas as maiores violações são aquelas que já estão do lado de fora – principalmente aquelas que já chegaram à web.
Quanto mais os dados circularem em espaços de acesso livre sem que a organização tenha conhecimento, maior tende a ser o prejuízo e o dano à imagem. O monitoramento antecipa a resposta e permite que a empresa mantenha uma imagem proativa.
Uma das melhores formas de monitorar a sua base externamente e de garantir a conformidade com suas políticas é o uso de tokens de rastreamento. Com uma estratégia adequada, eles permitem até automatizar parte dos processos de conformidade, além de garantir a propriedade da base e diminuir riscos derivados do vazamento de credenciais.
Quer saber como proteger os dados da sua empresa para fora do perímetro? Conheça os Tracking Tokens no nosso ebook sobre o assunto: