Descarte - Como você descarta suas informações ?

Nenhum comentário


Você ou sua empresa tem equipamentos que serão doados ou descartados ? Se você respondeu "sim" para esta pergunta, faremos outra. Como será feito o descarte das informações que estão nos equipamentos ?

A informação é hoje um dos bens, se não o maior, bem mais importante de uma empresa e porque não de uma pessoa. Mas, vamos nos focar nos dados e informações de empresas mesmo que muito deste assunto pode ser usado para você em seus dados e informações pessoais.

Um dos principais aspectos dos programas de Segurança da Informação é a definição de como serão descartados os antigos computadores, os smartphones e, consequentemente as informações que estão armazenadas dentro das mídias de armazenamento.

Se empresas e pessoas não se preocupam como este processo pode estar acontecendo, podemos dizer, quase com certeza absoluta, que é muito fácil a montagem de perfil e até mesmo o vazamento de informações. Sem os cuidados necessários, empresas podem estar colocando em risco uma grande quantidade de informações sobre serviços, operações e produtos. Por mais que as empresas tenham investido grandes quantidades de dinheiro em ferramentas para armazenamento central de informações, ainda é claro que em muitas, e grandes, empresas o costume de usuários de armazenamento de informações e documentos na sua máquina ainda é muito presente, e são estas as maiores e mais afetas pela fuga de informações desta maneira. 

Porque ? Bom, pelo simples fato de que, grandes e médias empresas que possuam um programa de Segurança da Informação, acreditam que suas regras e procedimentos são seguidos por seus usuários de forma irrestrita, gerando para estas empresas a sensação de falsa Seguança. Seria muito bom se isso fosse verdade mas, o que a experiência mostra é que os usuários ainda se sentem confortáveis com o armazenamento de seus documentos localmente e não entendem os riscos do armazenamento de cópias em suas máquinas. É bem verdade que este tipo de comportamento é fruto de um histórico negativo e experiências negativas destes usuários com ferramentas e soluções de backup. Muitos não sentem confiança no processo de recuperação de dados das empresas por já terem passado por momentos de perda de dados ou por conhecer alguém que passou e relatou este fato. Em resumo, mesmo tendo backup corporativo, usuários ainda preferem manter suas cópias de "segurança" em suas máquinas.

Este processo e armazenamento local por parte dos usuários deve ser entendido e "combatido" dentro das empresas. Este combate pode ser dar por mecanismos tecnológicos e ainda, e principalmente, por um processo de capacitação e treinamento de seus usuários.

Mesmo assim, porque é importante ter capacitação dentro das empresas sobre este e vários outros assuntos ? Bom o que esta entre os nossos dados e informações e as pessoas de fora da Organização são as pessoas de dentro da Organização, tão somente !



Há algum tempo tínhamos como preocupação maior o descarte dos antigos HDDs em servidores e em máquinas de usuários. O processo de sanitização era relativamente simples. 

Com ferramentas simples, muitas de linhas de comando, podíamos apagar as informações dentro de HDDs e grava "0" sobre todas as informações várias vezes, fazendo com quê a recuperação das informações fosse difícil ou relativamente impossível. Como tudo, evoluímos ! E também evoluíram nossos problemas, não era mais suficiente somente as várias camadas de gravações em determinadas mídias, precisávamos de um processo melhor e mais definitivo e um dos mais usados é o processo de "degaussing" nos HDDs, que garantia que os elétrons dentro dos HDDs seriam realinhados e a recuperação das informações seria virtualmente impossível.

Algumas empresas preferem a destruição total do HDD, garantindo assim que não haverá mais o uso e nem a tentativa de uso da mídia. Essa é uma solução extrema e justificável dependendo do tipo de dados e informações armazenadas dentro do HDD. No entanto, na média, as empresas tem boas ferramentas que podem ser usadas de forma segura, garantindo a eliminação das informações e, de quebra, a possibilidade do equipamento ser reaproveitado, ou dentro da empresa ou por outra instituição.

Independente do método utilizado pela empresa, o importante é que exista esta preocupação dentro do programa de Segurança da Informação, e ainda, que exista a preocupação não somente com os HDDs ou SSDs dos servidores e sim de todos os equipamentos utilizados para armazenar as informações da empresa.

Quando falamos de evolução, temos que entender que a mudança nem sempre espera pela atualização das outras coisas ao seu redor. Isso acontece também com nosso programa de Descarte de Mídias. 

A adoção cada vez maior de solução de SSD pode apresentar um certo problemas para o programa de Descarte. Assumir que os processos usados até hoje em HDDs podem ser usados da mesma forma para soluções de SSDs é no mínimo um risco. Um artigo publicado pela Universidade da California destaca esta diferença e os problemas que podemos ter ou encontrar no processo de "sanitization" dos novos SSDs, é uma leitura um pouco longa mas que é válida para entendermos mais sobre o problema.

No entanto, sempre temos os contra pontos de todo assunto. A solução para o problema já pode estar presente e o que faltava era o conhecimento sobre esta ferramenta. Em um artigo no SANS em 2011, já eram apresentadas preocupações com este problema e uma solução que segundo o autor Craig Wright já pode e deve ser usada no processos de "sanitization". O comando interno do firmware Secure Erase(SE) pode ser usado como uma ferramenta para a limpeza das informações dos SSDs e HDDs, aqui não vamos colocar o processo todo, que é relativamente simples, mas que pode ser visto completo no link do artigo.



Neste contexto de novas frentes, devemos observar que cada vez mais a entrada dos Smartphones nas empresas tem aumentado e muito a superfície de risco. Com o crescimento do poder de armazenamento e processamento destes equipamentos, devemos começar a pensar em formas de eliminação e limpeza das informações presentes e armazenadas, ainda mais quando o fenômeno do BYOD, já real para muitas empresas, permite que a informação esteja armazenada em equipamentos pessoais.

O risco aumenta quando pensamos que um Spartphone pode ser perdido ou roubado com muito mais facilidade que um equipamento interno da empresa ou memso um notebook. A pergunta que fica é : "Como estamos lidando com estas possibilidades ?"

Não adianta esperarmos que a simples execução de uma operação de apagar as informações remotas de um smartphone seja suficiente para garantir a segurança da informações. A necessidade de termos certeza da limpeza das informações é a mesma, ou deveria ser, dispensada aos HDDs e SSDs. 

Para este problema temos algumas soluções que vão de ferramentas/app que ajudam a localizar a apagar as informações  de forma remota até soluções exclusivamente preocupadas com a limpeza das informações, sem a preocupação de recuperação do equipamento.

Neste e em muitos dos outros pontos relatados aqui neste artigo, o que entendo ser mais importante não é a ferramenta ou metodologia a ser usada. O que acredito que teria grande diferença neste assunto, seria o simples e prático processo de capacitação dos usuários e a noção das empresas que o processo de limpeza e descarte das mídias e informações deve ser levado muito mais a sério do que vem sendo encarados atualmente.  

A presença cada vez maior de tecnologias novas e novos equipamentos deve ser acompanhada pela evolução dos processos atuais presentes nas empresas, bem como a melhoria destes processos para que eles possam fazer frente aos novos desafios.


Nenhum comentário :

Postar um comentário

Gostaria de saber a sua opinião.