Gestão de dados corporativos: última prioridade, quando deveria ser a primeira

Por Colaborador externo | 05.05.2015 às 20:01
photo_camera Greenpeace

por Carlos Rodrigues*

As corporações em geral ainda não deram a devida importância à gestão e governança interna de dados – e a situação piora quando falamos dos servidores de arquivos – buracos negros de informação muitas vezes sem gestão, e sem qualquer visibilidade sobre quem acessa o quê. Mas quero iniciar essa discussão com alguns exemplos do que a falta da gestão de dados pode provocar.

Em 2013, um grande hospital americano teve um vazamento sério de dados dos seus pacientes, quando um de seus funcionários roubou formulários com informações de pacientes, a fim de serem utilizadas para reembolso fraudulento de taxas.

Em maio de 2010, um ex-funcionário de uma famosa grife de alta costura italiana criou um token de VPN falso, em nome de um suposto empregado da empresa, e conseguiu ativar esse usuário dentro da rede.

No começo deste ano, uma associação médica nos Estados Unidos descobriu que um radiologista, funcionário da empresa, acessou e roubou informações de mais de 97 mil pacientes sem autorização, incluindo dados pessoais, seguro social, seguro de saúde e diagnósticos.

Esses são apenas alguns dos exemplos catastróficos, e menos famosos que outros episódios de grandes proporções que tivemos em 2014, e que podem acontecer quando o gestor de Segurança da Informação deixa de lado a gestão dos dados internos e o cuidado com a governança corporativa.

Em uma pesquisa realizada pela Varonis com mais de mil empresas em 2013, revelou que ao menos 25% dos gestores de TI não têm confiança de que seus dados estão seguros. E essa fatia é quem, geralmente, não adota nenhuma prática de gestão e proteção de dados internos.

Mas por que isso acontece?

Porque ninguém espera que a ameaça venha justamente de “dentro de casa”. Quando pensamos em ataques à segurança da empresa, a primeira alternativa é mirar no invasor externo. E a governança passa a ser algo que fica sempre para “depois” – afinal, é possível utilizar os recursos do próprio sistema operacional para verificar permissões de acesso. O único problema é que, num ambiente com milhares de usuários, esse controle manual é quase impossível. E é aí que o ambiente fica exposto – quando o usuário pode acessar documentos que não deveria, diretórios com informações confidenciais, e outros dados sensíveis que deveriam ficar restritos.

Por isso, sugiro que a prioridade dos gestores de Segurança da Informação para 2015 seja olhar para dentro de casa, e entender como a governança deve ser algo para além da gestão de dados para eventuais auditorias internas, e sim uma necessidade para a própria sobrevivência do negócio. Afinal de contas, erros de permissionamento podem se tornar fatais quando se envolverem dados de clientes, transações de milhões, e a reputação empresarial.

*Carlos Rodrigues é country manager da Varonis no Brasil.