O tema da confidencialidade e protecção de dados pessoais está na ordem do dia. Refiro-me ao acesso a informação crítica por intrusão, por acessos não-autorizados ou, igualmente grave, por acessos internos com fins diferentes que os profissionais (por exemplo utilizadores privilegiados) que levam a perda de informação ou à violação de informação confidencial como dados bancários, fiscais e outros.

Segundo a consultora Forrester, dois terços desta informação “sensível” – entendida como crítica, regulamentada e confidencial para uma organização – reside em bases de dados. E, apesar de 70% das empresas possuírem algum plano de segurança para a sua informação, só 20% têm um plano específico para salvaguardar a sua base de dados. Ora, para que as organizações estejam efectivamente protegidas, é necessário definir estratégias corporativas para a segurança das suas informações.

Um dos principais pontos críticos são os utilizadores privilegiados, ou seja, aqueles que, pelo seu papel na organização, têm a possibilidade de aceder através do seu perfil a dados e a aplicações críticas. Numa analogia simples, são aqueles que têm a combinação do cofre onde se guardam as “jóias da coroa”. Para controlar os seus privilégios é necessário uma cultura organizacional baseada no trinómio “pessoas”, “processos” e “tecnologia”.

A primeira coisa que é necessário ter em conta é que não basta ter ferramentas que ofereçam um fino controlo do acesso para conseguir proteger, de forma global, toda a infraestrutura tecnológica. Aliás, no aspecto tecnológico da segurança corporativa, as entidades costumam focar-se especialmente na protecção das múltiplas camadas da sua infraestrutura (rede interna, bases de dados, aplicações, etc.). Mas deviam igualmente focar-se em soluções que envolvem a gestão de utilizadores privilegiados, fazendo com que estes realizem as suas actividades diárias num ambiente controlado, monitorizado e sob auditoria, por forma a controlar se as políticas corporativas estabelecidas são, ou não, cumpridas.

Isto, sendo fundamental, não é porém suficiente. Têm também de ser tomadas medidas no campo metodológico ou processual. Existem normas e metodologias standards, de cumprimento obrigatório, às quais as organizações se devem ajustar para ter uma gestão adequada de utilizadores privilegiados, como, por exemplo, a norma ISO 27001. Em determinados mercados verticais há também as SOX - Sarbanes-Oxley Act, Basel II, ISO-17799, entre outras.

Em linhas gerais, trata-se de criar controlos normativos e procedimentos que estabeleçam claramente “quem”, “o quê”, “quando” e “onde” se podem utilizar as permissões dos utilizadores privilegiados. Tudo isto deve estar em linha com boas práticas de segurança, tais como a segregação de funções ou de privilégio mínimo (“least privilegie”) e com o uso de políticas de “passwords” fortes.

Por último, as pessoas. É que não basta ter tecnologias e metodologias. Só com uma cultura e consciencialização permanente para a segurança de informação, acompanhada por uma formação adequada e códigos de conduta, se consegue criar uma cultura de respeito pela confidencialidade. E, mesmo esta, necessita de auditorias regulares, e tecnicamente eficazes, para se manter incólume. Só dessa forma, aliás, as próprias instituições e os seus colaboradores que cumprem as regras podem ver preservadas as suas reputações.

Perito em Sistemas e Tecnologias de Informação