Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Data Encryption Toolkit for Mobile PCs

Visão geral executiva – Um método estratégico para a proteção de dados em dispositivos portáteis

Publicado em: 22 de janeiro de 2007 | Atualizado em: 29 de maio de 2007

Você deve estar lendo este documento na tela do seu laptop ou talvez enquanto espera o vôo para o seu próximo destino. Ou talvez esteja em casa no fim de semana tentando pôr seu trabalho em dia. Mas você já parou para pensar se todas as informações em seu laptop estão realmente protegidas? O que aconteceria se o laptop fosse roubado? Ou se um dos seus funcionários perdesse um laptop? Os seus últimos projetos e planos de marketing estariam protegidos? As informações pessoais de seus clientes estariam protegidas? Ou sua organização iria parar nas manchetes dos noticiários por perder milhares de registros de clientes?

"U.S. Survey: Confidential Data at Risk", uma pesquisa recente realizada pelo Ponemon Institute, revela que "81% dos 484 participantes da pesquisa informaram que, nos últimos 12 meses, suas organizações sofreram com a perda ou desaparecimento de laptops que continham informações comerciais sigilosas ou confidenciais".

Você está preocupado? Deveria estar, porque perder laptops é um problema sério. Com a capacidade cada vez maior, os laptops podem armazenar enormes quantidades de informações comerciais e pessoais. Eles são ferramentas móveis amplamente utilizadas e extremamente eficazes, mas a perda de informações confidenciais que eles contêm pode causar sérios prejuízos à sua organização, comprometer sua reputação perante os clientes e causar problemas de ordem legal pelo descumprimento da legislação. Você pode até perder seu emprego.

No entanto, é mais fácil do que você imagina tomar as providências para lidar com esses problemas desafiadores. A Microsoft tem tecnologias que podem ajudá-lo — e talvez você já as tenha. Na verdade, se a sua organização usa o Windows Vista™ ou o Microsoft® Windows® XP Professional, você já tem muitas das ferramentas necessárias. O departamento de TI da sua organização pode ajudar a controlar esse problema com o Microsoft Data Encryption Toolkit for Mobile PCs (disponível para download gratuitamente), que pode ajudar as organizações como a sua a habilitar a tecnologia de criptografia que você já tem.

O Microsoft Data Encryption Toolkit for Mobile PCs ajudará a proteger sua organização, reduzindo o risco de que um descuido ou simplesmente má sorte ocasione um grande incidente e perdas consideráveis de tempo, dinheiro e reputação. O Toolkit, que será lançado no segundo trimestre de 2007 como download gratuito, usa o Sistema de Arquivos com Criptografia (EFS) (disponível nos sistemas Windows 2000, Windows XP Professional e Windows Vista) e Criptografia de Unidade de Disco BitLocker™ (um recurso importante de proteção de dados no Windows Vista). O Toolkit também incluirá o EFS Assistant, uma ferramenta que ajuda a gerenciar a criptografia por EFS de maneira centralizada.

Nesta página

Riscos comerciais
Riscos de não conformidade com os regulamentos
Ajudando a atenuar riscos com o Data Encryption Toolkit
Próximas Etapas

Riscos comerciais

Os gerentes comerciais e técnicos devem entender seus cenários, o âmbito legal e as atenuações de riscos de exposição de dados. O Microsoft Data Encryption Toolkit for Mobile PCs é destinado principalmente para resolver os problemas de proteção dos dados armazenados em computadores portáteis. No entanto, os mesmos conceitos, preocupações e soluções também se aplicam a computadores de mesa, que estão expostos a riscos semelhantes por serem vulneráveis a roubo e a situações em que o acesso é irrestrito.

Considere o relato a seguir de um evento de vazamento de dados de uma empresa fictícia, que ilustra o problema e possíveis ramificações.

"Contoso, uma empresa de tecnologia de médio porte situada no Canadá, produzia um determinado produto que os clientes compravam através de seu site. Entre as informações pessoais identificáveis no banco de dados da Contoso havia nomes de clientes, números de cartão de crédito, endereços e números de telefones. Os clientes eram do Canadá, dos Estados Unidos, do Reino Unido e da França.

Na Contoso, um analista júnior muito dedicado chamado Nicolas freqüentemente levava trabalho para casa. Um dia, antes de sair da empresa, Nicolas copiou uma planilha com informações de clientes em seu laptop para gerar relatórios com esses dados. Naquela mesma noite, seu laptop foi roubado do seu carro enquanto ele fazia compras. Nicolas imediatamente informou seu gerente e a polícia.

Nicolas e seu gerente discutiram o incidente com o departamento jurídico da empresa e com um consultor legal externo. Nicolas e seu gerente foram informados por essas pessoas com que conversaram que seus clientes precisariam ser notificados do possível vazamento de suas informações pessoais. Imediatamente eles escreveram uma carta explicativa para enviar aos clientes e criaram uma hotline para responder às perguntas dos clientes. Além disso, ofereceram um ano de monitoramento de crédito para cada cliente no banco de dados para prevenir roubo de identidade.

Infelizmente, essas providências não resolveram seus problemas. Apesar de não ter havido nenhuma indicação de que os dados perdidos tivessem sido usados para fins ilícitos, vários processos foram instaurados em nome dos clientes nos Estados Unidos, na França e no Reino Unido em que a Contoso era acusada de graves violações dos direitos de privacidade do consumidor. A história logo chegou ao conhecimento de importantes órgãos de imprensa e chegou até a ser assunto de um editorial do The Wall Street Journal. Dentro de algumas semanas após o roubo do laptop, o valor das ações da empresa havia diminuído 8% devido ao efeito previsível causado na venda de seu produto. Além disso, os custos com o incidente chegaram a cerca de $600.000."

A tabela a seguir contém um demonstrativo aproximado dos custos associados com essa história.

Item de custo

Valor

Custos com funcionários relacionados à perda, incluindo recuperação de dados e custos de notificação de clientes.

$45.000

Custos adicionais, como relações públicas e com investidores e chamadas adicionais à central de atendimento.

$135.000

Custos com os clientes atingidos (monitoramento de crédito dos clientes atingidos).

$80.000

Danos legais, incluindo multas, custas processuais e despesas relacionadas com um processo civil.

$165.000

Perda de receita de clientes (250 clientes perdidos a $700 cada)

$175.000

Total

US$ 600.000,00

Infelizmente, os laptops são alvos fáceis de roubo. Cada vez mais vemos nas notícias empresas que foram vítimas de roubo ou perda acidental de laptops com informações confidenciais pessoais ou de clientes. Embora o relato anterior seja fictício, um número cada vez maior de organizações reais está percebendo que os custos de um vazamento assim são enormes — algumas vezes muito maiores que aqueles citados nesse relato!

Existem muitas ferramentas de cálculo disponíveis para calcular o custo real de uma violação de privacidade, incluindo a Privacy Breach Impact Calculator disponível no site da Information Shield, uma provedora global de práticas líderes em segurança da informação.

Controle de danos

As organizações vítimas de um incidente de vazamento de dados ficam sujeitas a custos operacionais diretos e imediatos. Alguns exemplos são: investigações internas, hotlines para os consumidores, treinamento e documentação de suporte para os funcionários da central de atendimento, mala direta para avisar os clientes, serviços de monitoramento de cartão de crédito e propaganda e marketing para lidar com as preocupações dos clientes. Além disso, é provável que uma iniciativa estratégica de TI seja estabelecida para impedir que tal incidente volte a acontecer. Todas essas providências requerem um tempo absurdo de gerenciamento e desviam as organizações das suas atividades principais.

Dano à marca e perda de confiança

É difícil avaliar o impacto causado pela perda de reputação, pela indignação dos clientes com a perda da sua privacidade ou pela perda de relacionamento com parceiros de negócios. As circunstâncias específicas de cada incidente, a fidelidade da marca e o sucesso das medidas para controlar os danos são fatores que influenciam no nível de danificação que um incidente de vazamento pode causar a uma marca. Em alguns casos, pode ser necessários anos para que a confiança perdida dos clientes seja totalmente reconquistada.

Riscos de não conformidade com os regulamentos

Além dos riscos aos negócios, muitos órgãos governamentais em todo o mundo estão reagindo frente às preocupações de privacidade dos cidadãos estabelecendo penalidades civis ou mesmo criminais para falta de proteção de dados pessoais.

Considerações sobre os regulamentos da América do Norte

Nos Estados Unidos, mais de 30 estados já criaram leis que exigem que as organizações (comerciais ou de outra natureza) notifiquem os consumidores em caso de divulgação acidental ou ilícita de dados. A falta de criptografia de dados pessoais condiciona o cumprimento de provisões dessas leis. Em outras palavras, a criptografia de dados pessoais é explicitamente prescrita para atenuar riscos aos dados. Além dessa regulamentação estadual, vários regulamentos federais criam restrições e penalidades semelhantes, como as seguintes leis: Health Insurance Portability and Accountability Act (HIPAA), Gramm-Leach-Bliley Act (GLBA) e Sarbanes-Oxley Act (SOX).

No Canadá, a lei Personal Information Protection and Electronic Documents Act (PIPEDA) e a lei Personal Health Information Protection Act (PHIPA) determinam proteção estrita e estabelecem requisitos para proteger dados pessoais.

Considerações sobre os regulamentos europeus e asiáticos

Na União Européia, a Diretiva européia de proteção de dados, implementada por cada estado-membro da UE, restringe de forma significativa os dados do consumidor que podem ser guardados ou mantidos pelas organizações. Essas restrições aplicam-se às organizações que operam em países fora da Europa, mas que têm clientes europeus. Essa Diretiva estabelece regras estritas sobre quais dados pessoais podem ser armazenados e como eles podem ser usados, o que resulta em muito debate e confusão internacionais sobre como a Diretiva deve ser aplicada nos diversos países do mundo. Essas questões estão longe de serem resolvidas.

Outros regulamentos importantes sobre a proteção ao consumidor também podem se aplicar à sua organização, tal como a lei Data Protection Act (DPA) do Reino Unido. Como os regulamentos canadenses citados anteriormente, a lei DPA determina proteção estrita e estabelece requisitos para a proteção de dados pessoais; todavia, os regulamentos do Canadá e do Reino Unido apresentam modos diferentes de armazenamento de dados.

Muitos países asiáticos também estão criando regulamentos formais e tentando adotar modos uniformes através de organizações como a Asia-Pacific Economic Cooperation Telecommunications Working Group (APECTEL). Cingapura, Chile, Austrália, China e Indonésia estão trabalhando seriamente para estabelecer um modo unificado para essas questões que correspondam ao comportamento público de cada país quanto à liberdade de expressão, liberdade política e econômica e privacidade pessoal. Um sumário excelente sobre esses métodos está disponível no guia de privacidade da Caslon Analytics, uma empresa australiana de pesquisa, análises e consultoria em estratégias.

As organizações com clientes em um desses países estão sujeitos a penalidades civis severas e algumas vezes a penalidades criminais se deixarem de proteger adequadamente os dados pessoais de seus clientes, independentemente de onde a organização estiver situada. Se a sua organização mantém dados pessoais (cuja definição varia muito), você deve aprender em detalhes as restrições que as jurisdições internacionais impõem sobre as políticas de armazenamento de dados. Até mesmo as violações acidentais desses regulamentos podem expor as organizações a multas civis substanciais, ao encerramento dos negócios, a possíveis encargos criminais e a taxas de consultoria e processos jurídicos significativos. Como resultado, muitos CEOs e membros de diretorias procuram soluções que aumentem a proteção dos dados e ajudem a garantir conformidade com as leis.

Ajudando a atenuar riscos com o Data Encryption Toolkit

O Microsoft Data Encryption Toolkit for Mobile PCs descreve duas soluções eficazes e econômicas para criptografia de dados. O Toolkit é um recurso valioso para qualquer profissional da área de segurança que precise resolver problemas de segurança de dados em computadores portáteis. A implementação eficaz dos procedimentos oferecidos no Toolkit pode ajudar as organizações a atender a determinados requisitos de regulamentação. Além disso, essas tecnologias oferecem soluções especialmente atraentes porque elas já estão licenciadas com os sistemas operacionais Windows XP Professional e Windows Vista.

O Toolkit é baseado no Sistema de Arquivos com Criptografia (EFS) e no recurso Criptografia de Unidade de Disco BitLocker, ambos oferecem mecanismos de criptografia robustos mas suas finalidades diferem um pouco. O Toolkit oferece informações detalhadas sobre como funcionam essas tecnologias de segurança. Ele também descreve cenários aos quais cada tecnologia se aplica, fornece práticas recomendadas de implantação e leva em conta problemas operacionais como recuperação de chaves e de dados. O Toolkit também inclui o EFS Assistant, que será lançado no primeiro semestre de 2007 para ajudá-lo a automatizar a implantação e configuração do EFS em computadores protegidos.

Entre os recursos do Toolkit, incluem-se os seguintes:

  • Custos baixos de aquisição. O EFS e BitLocker já vêm incluídos em certas versões do sistema operacional Microsoft Windows. Nenhum custo adicional é necessário para adquiri-los.

  • Custos baixos de operação. O EFS e BitLocker são robustos, porém simples, e requerem pouca ou nenhuma manutenção operacional.

  • Fácil de implantar. O Toolkit pode ser implantado facilmente em ambientes que usam tecnologias de distribuição de software como o serviço de diretório Active Directory® e o Microsoft Systems Management Server.

  • Segurança robusta. O EFS e BitLocker são baseados em padrões do setor e em algoritmos de criptografia certificados.

  • Mínimo impacto sobre o usuário. Quando configurado adequadamente, o Toolkit é quase transparente aos usuários. Mínimo treinamento técnico será requerido (embora seja sempre necessário oferecer treinamento de manuseio e armazenamento de dados).

  • Gerenciamento central e controle mais abrangente. A implementação do Toolkit pode ajudar as organizações de TI a estender o controle a todos os computadores portáteis a partir de uma infra-estrutura de gerenciamento central, que pode ajudar a garantir conformidade uniforme.

  • Solução uniforme. O Toolkit é aplicável aos computadores de mesa e computadores portáteis.

Criptografia de Unidade de Disco BitLocker

A Criptografia de Unidade de Disco BitLocker, um novo recurso do Windows Vista, oferece uma maneira descomplicada de criptografar todos os dados em todo um volume de disco rígido. Quando o BitLocker é configurado, ele funciona de forma transparente no segundo plano e não afeta o uso normal do computador ou de seus aplicativos. O BitLocker criptografa o volume inteiro, podendo assim impedir muitos ataques que tentam burlar as proteções de segurança no Windows que não podem ser habilitadas antes que o Windows seja iniciado.

O BitLocker também oferece segurança aperfeiçoada para os dados criptografados usando um módulo de hardware de segurança chamado Trusted Platform Module (TPM). Os TPMs oferecem armazenamento offline de chaves de criptografia e um PIN que são necessários para desbloquear a criptografia do disco. Os TPMs vêm instalados nos laptops de quase todos os principais fornecedores, entre eles a Compaq, Dell, Lenovo e Toshiba.

Sistema de Arquivos com Criptografia (EFS)

O EFS fornece criptografia de dados descomplicada para pastas e arquivos individuais selecionados pelo usuário. Após a ativação da criptografia, a experiência do usuário é transparente. O EFS também pode ajudar a proteger contra os invasores que usam certos ataques conhecidos para obter acesso não autorizado a computador.

Microsoft EFS Assistant

A ferramenta Microsoft Encrypting File System Assistant (EFS Assistant) complementa o EFS — ela oferece uma maneira automatizada e probabilística de detectar quais arquivos devem ser criptografados. Como o EFS, ele é essencialmente transparente aos usuários. Ele pode ser configurado para verificar regularmente o disco rígido à procura de novos arquivos de dados que sejam possíveis candidatos à criptografia. Essa funcionalidade atenua o risco de novos arquivos de dados de usuário serem criados mas deixados sem criptografia e, conseqüentemente, expostos.

Próximas Etapas

Recomendamos ler a Análise de Segurança do Microsoft Data Encryption Toolkit for Mobile PCs para analisar suas opções de proteção de dados confidenciais em computadores portáteis. Esse documento ajudará a entender os riscos especiais potencializados pelos laptops e saber como o BitLocker e o EFS podem ajudar a lidar com esses riscos. Além disso, você pode usar o Guia de Planejamento e Implantação para ajudá-lo ao longo do processo de implantação do BitLocker e EFS. Finalmente, se você desejar usar o EFS para proteger os dados em seus computadores portáteis, deverá considerar o EFS Assistant como um meio de controlar de maneira centralizada o EFS em seu ambiente.


Download

Obtenha o Data Encryption Toolkit for Mobile PCs

Notificações do Solution Accelerator

Inscreva-se para manter-se informado

Comentários

Envie-nos seus comentários e sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft