<p>Embora esses tentadores serviços de software gratuito possam parecer soluções simples e convenientes para os pontos problemáticos dos usuários finais, como limites de anexos de e-mail ou dificuldades de conexão remota com VPNs, a realidade é que as questões de segurança no compartilhamento de dados fora da rede da empresa são com frequência negligenciadas, o que expõe a organização ao risco de vazamento de dados confidenciais.<br /><br />A Forrester prevê que, em 2015, violações a nuvens serão uma certeza – e sem a implantação de medidas de segurança apropriadas baseadas em perímetro, haverá ainda mais organizações afetadas pela perda de dados. Logicamente, essas violações trazem consigo consequências dispendiosas: de acordo com o recente estudo sobre o Custo de uma Violação de Dados do Ponemon Institute, cada registro de cliente perdido ou furtado agora custa aproximadamente US$ 201 para a organização. Na ausência de uma infraestrutura segura, hospedada em servidor da própria empresa e devidamente gerenciada para a transferência de arquivos, os funcionários continuarão se valendo de soluções de nuvem de terceiros, colocando os dados de sua organização em risco no processo.<br /><br />Para lidar com essas questões, as organizações devem estabelecer políticas internas de TI e definir normas de segurança para ajudar a determinar quais métodos de transferência de dados são permitidos e quais não são. Educar os funcionários quanto aos riscos de segurança de transferências de arquivos não autorizadas também é essencial. No entanto, essas medidas, por si sós, com muita frequência não são suficientes. A adoção de uma solução de transferência gerenciada de arquivos (MFT) nas próprias instalações também deve constar entre as mais altas prioridades. Essas ferramentas combinam várias políticas e protocolos de criptografia para garantir a segurança dos dados em trânsito, além de permitir que políticas de segurança e limitações do acesso pelos usuários reforcem a segurança dos dados armazenados.<br /><br /><em>As práticas recomendadas a seguir podem ajudar as organizações a obter o máximo de softwares e serviços de transferência gerenciada de arquivos:</em><br /><br /><strong>Conheça sua rede:</strong> Um dos principais problemas enfrentados pelas empresas hoje em dia é que elas não se dão conta de que de fato têm uma questão a ser resolvida com relação à segurança da transferência de arquivos. Algumas organizações partem da premissa de que soluções desenvolvidas internamente e e-mail criptografado são bons o suficiente, enquanto outras acreditam que seus funcionários não utilizam mais nada além do e-mail de trabalho para a troca de arquivos. A realidade é outra: há funcionários em todas as organizações que usam algum tipo de plataforma de transferência de arquivos não aprovada pela TI para a troca de informações.<br /><br />Para ajudar a identificar os pontos nos quais os dados da empresa estão deixando a rede de forma desprotegida, os profissionais de TI devem sempre ter acesso a estatísticas de transferência de arquivos em tempo real e monitorar os logs de FTP (File Transfer Protocol) para obter maior visibilidade das operações de transferência de arquivos. Examinar esses logs pode garantir sinalizações oportunas de violações de conformidade, proporcionar discernimento quanto aos motivos de erros (por que uma transferência de arquivo foi malsucedida ou quando ocorreu a falha), diagnosticar ameaças potenciais, como tentativas repetidas de login malsucedido, e fornecer uma trilha de auditoria para fins de conformidade. Os profissionais de TI devem obter total visibilidade e governança de toda a atividade de transferência de arquivos na rede.<br /><br /><strong>A criptografia é fundamental:</strong> Independentemente de se tratar de uma empresa de pequeno porte ou de uma empresa na Fortune 500, sempre existe a possibilidade de vazamento e violações de dados acontecerem fora da rede privada – quando a transmissão de dados atinge a Internet. Em janeiro, a segunda maior prestadora de serviços de saúde dos Estados Unidos, a Anthem, foi vítima de um sofisticado ataque cibernético que resultou no vazamento de dados pessoais financeiros e prontuários médicos de 80 milhões de clientes. Se o custo de cada violação de cliente é de aproximadamente US$ 201, a Anthem pode estar enfrentando consequências financeiras de proporções gigantescas, sem falar da posição lastimável em que seus clientes agora se encontram.<br /><br />Embora a origem da violação da Anthem tenha sido atribuída a uma conta de administrador atingida por hackers e nenhum nível de criptografia pudesse ter evitado o incidente, os profissionais de TI devem sempre pecar pelo excesso de segurança e garantir que possuem o controle dos níveis de segurança e criptografia das transferências de arquivos. <br /><br />Com base nos requisitos de negócios do dia a dia e no ambiente de TI em geral, é essencial determinar o melhor modo para a transferência de arquivos e aplicar o protocolo e as codificações criptográficas corretas, bem como certificados e chaves privadas para reforçar a segurança. Para compor essa camada de segurança, os administradores também devem habilitar a proteção por senha para transferências externas de arquivos, em que os clientes podem ser solicitados a inserir uma senha para poder baixar um arquivo compartilhado do servidor de arquivos. Além disso, quando a transferência de arquivos por FTP não for suficientemente segura, as organizações também podem usar soluções de transferência gerenciada de arquivos (MFT) para reforçar a segurança com protocolos como FTPS (FTP sobre SSL) e SFTP (FTP sobre SSH).<br /><br /><strong>Autentique, autentique, autentique… e então autorize:</strong> Nesta era de violações de dados corporativos, também é essencial garantir a identidade dos usuários. A violação da Anthem foi resultado da ação de hackers sobre uma conta de administrador, que então permitiu o acesso a um banco de dados não criptografado. A autenticação não é apenas uma prática recomendada, mas uma necessidade para as empresas na era da nuvem. É necessário buscar e usar configurações e recursos que permitam a habilitação da concessão ou negação do acesso a funcionários pelo aproveitamento da integração com os servidores Active Directory e LDAP. Contrário à opinião popular, nem todos em uma organização precisam do mesmo nível de acesso para troca de arquivos, e a TI deve deter o controle de limites e permissões para a transferência de arquivos, o que inclui quem tem acesso para envio de qual tipo de arquivo, de que tamanho e quando.<br /><br /><strong>Em última análise</strong>, o que não pode ser visto não pode ser monitorado ou protegido. À medida que as soluções de nuvem e a “TI das sombras” continuam a permear organizações de todos os portes, a quantidade de dados desprotegidos que deixa as redes por meio de plataformas de transferência gratuitas tenderá a crescer. A fim de atenuar o risco de violações potenciais e infrações com relação à conformidade dos dados, os profissionais de TI precisam estar no controle da segurança da transferência de arquivos, das operações e do armazenamento de arquivos. A implantação de uma solução de MFT hospedada no servidor da empresa é uma maneira de obter o controle completo das transferências de arquivo empresariais.<br /><br />(*) Executivo da SolarWinds</p>
