SeguRaNça de iNfoRmaçõeS

Segurança de informações
e conformidade com as leis:
encontrando um denominador comum
Um whitepaper que explora as questões comuns das
leis e regulamentações, confidencialidade, integridade
e disponibilidade da segurança de informações.
Escrito pelo Dr. Michael R. Overly, CISA, CISSP, CIPP, ISSMP, CRISC
Com Kaspersky, agora é possível.
http://brazil.kaspersky.com/produtos-para-empresas
Be Ready for What’s Next
Índice
1.0
Introdução3
2.0 Que tipos de dados devem ser protegidos?
5
3.0 Por que a proteção é importante
7
4.0 Conceitos equivocados comuns sobre a conformidade da segurança de informações 8
5.0 Encontrando as questões comuns em leis e regulamentações de conformidade
9
6.0 Lidando com a segurança de informações nas relações com parceiros de negócios e
fornecedores11
7.0 Programas BYOD (Traga seu próprio dispositivo)
16
8.0 Conclusão20
2
Introdução
1.0
A reconciliação de todas
as obrigações legais
pode ser, no mínimo, um
trabalho de tempo
integral e, no pior dos
casos, objeto de multas,
penalidades e ações
judiciais.
As empresas enfrentam hoje a tarefa quase impossível de cumprir um
confuso conjunto de leis e regulamentações referentes à privacidade e
segurança de dados. Elas podem ter diversas origens: legisladores
locais, estaduais, nacionais e até mesmo internacionais. Esse problema
não atinge apenas as grandes corporações. Até mesmo uma pequena
empresa com uma presença geográfica localizada pode estar sujeita a
leis de outros estados e, possivelmente, de outras nações, por estar
presente na Internet.
Em muitos casos, essas leis e regulamentações são vagas e ambíguas, com poucas
orientações específicas em relação à conformidade. Pior ainda, as leis de jurisdições
diferentes podem ser – e frequentemente são – conflitantes. Um estado ou país pode exigir
medidas de segurança completamente diferentes das de outro estado ou país. A reconciliação
de todas essas obrigações legais pode ser, no mínimo, um trabalho de tempo integral e, no pior
dos casos, objeto de multas, penalidades e ações judiciais.
Em resposta à crescente ameaça à segurança de dados, os reguladores de, literalmente, todas
as jurisdições promulgaram ou estão se empenhando para promulgar leis e regulamentações
para impor obrigações de segurança e privacidade de dados nas empresas. Até mesmo em
uma única jurisdição, diversas entidades governamentais podem ter autoridade para agir
contra uma empresa que não cumpra as normas aplicáveis. Ou seja, uma única violação de
segurança pode sujeitar a empresa a ações de execução de diversos reguladores, sem falar de
possíveis reivindicações de danos por clientes, parceiros de negócios, acionistas e outros. Por
exemplo, os EUA usam uma abordagem com base em setores para proteger a privacidade e
segurança de informações pessoais (existem leis federais diferentes relacionadas às
informações pessoais de saúde, financeiras, de possibilidade de crédito, de estudantes e
crianças). Outras abordagens, como a da União Europeia, fornecem uma norma unificada, mas
oferecem mais proteção para determinados tipos de informações altamente sigilosas (como
informações de saúde, associação em sindicados etc.). A implementação real das normas na
legislação depende do país. O Canadá usa uma abordagem semelhante em sua Lei sobre
documentos eletrônicos e proteção de informações pessoais (PIPEDA). As obrigações por
multas e danos podem facilmente chegar a milhões de dólares. Mesmo que as
responsabilidades sejam relativamente limitadas, a reputação comercial da empresa pode ser
prejudicada irremediavelmente pela publicidade negativa e pela perda de confiança de
clientes e parceiros de negócios.
3
65% das empresas de
todo o mundo acreditam
que as políticas BYOD
ameaçam a segurança
de seus negócios.1
As leis e
regulamentações são
direcionadas para que
as empresas façam o
que é razoável e
apropriado, não o
impraticável ou
inaceitável.
As ameaças de segurança de dados estão em seu apogeu. É rara uma semana em que não
aparece uma história nos noticiários sobre a última empresa que foi vítima de uma violação
da segurança de dados. Embora, segundo o FBI americano, a ameaça dos hackers seja
substancial, a incidência de apropriação indevida ou comprometimento de informações
confidenciais por ‘pessoal interno’ nunca foi tão grande. Além dos próprios funcionários da
empresa, essas pessoas com informações privilegiadas também incluem fornecedores e
parceiros de negócios. É por esse motivo que enfocamos, neste whitepaper, duas das
ameaças internas mais importantes: situações em que os parceiros e fornecedores de uma
empresa recebem dados corporativos sigilosos em confiança e os programas BYOD (Traga
seu próprio dispositivo), nos quais os dados corporativos são acessados em dispositivos
sobre os quais a empresa tem pouco controle. No primeiro caso, os terceiros que detêm
informações privilegiadas (ou seja, fornecedores e parceiros de negócios) criam um risco
que deve ser atenuado. No segundo, o risco é criado por funcionários que têm essas
informações.
Embora não haja soluções fáceis, este whitepaper tem diversos objetivos:
• Tornar claro que a privacidade relacionada a informações pessoais é apenas um elemento
da conformidade. As empresas também têm a obrigação de proteger muitos outros tipos
de dados (por exemplo, segredos comerciais, dados e informações de parceiros de
negócios, informações financeiras não públicas etc.).
• Analisar as várias leis e regulamentações de privacidade e segurança para identificar três
linhas de raciocínio comuns, relativamente diretas, que permeiam muitas delas:
1. O requisito de confidencialidade, integridade e disponibilidade (CIA, Confidentiality,
Integrity and Availability).
2. A atuação ‘razoável’ ou tomada de medidas ‘apropriadas’ ou ‘necessárias’.
3. O dimensionamento de medidas de segurança para refletir o nível de sigilo das
informações e a magnitude da ameaça.
Com o entendimento desses conceitos gerais, de alto nível, as empresas podem
compreender melhor suas obrigações globais de conformidade. No entanto, vale a pena
destacar um ponto: as leis de segurança e privacidade de informações não exigem o
impossível. Embora a segurança perfeita seja uma meta, não é um requisito. De certa forma,
como será enfatizado repetidamente na discussão a seguir, as leis e regulamentações dessa
área são direcionadas para que as empresas façam o que é aceitável e apropriado, não o
impraticável ou absurdo. Se uma empresa alcançar esse padrão e, não obstante, ocorrer
uma violação, em geral, ela não terá um problema de conformidade.
• Destacar os possíveis riscos da não conformidade (por exemplo, ações judiciais, multas,
sanções etc.) e discutir conceitos equivocados comuns sobre as leis de segurança e
privacidade de informações.
• Fornecer dois exemplos reais de como esses princípios podem ser postos em prática,
incluindo etapas específicas para atenuar riscos e satisfazer as obrigações de
conformidade:
1. O primeiro exemplo aborda como integrar melhor a segurança de informações nas
relações com fornecedores e parceiros de negócios.
2. O segundo exemplo se concentra no controle de riscos durante a implementação de
um programa BYOD (Traga seu próprio dispositivo).
1 Kaspersky Lab – Relatório de Riscos de TI Globais de 2013
4
Que tipos de dados devem ser protegidos?
2.0
60% dos eventos de
perda de dados resultam
em algum prejuízo da
capacidade de operação
da empresa.2
Ao considerar as leis e regulamentações de segurança de informações, a
maioria das pessoas pensa imediatamente em dados de identificação
ou em informações pessoais. Embora certamente seja verdade que a
maioria das leis e regulamentações enfoca informações pessoais, esse é
apenas um tipo de dados sobre os quais as empresas podem ter
obrigações legais. Quase todas as empresas terão uma grande
variedade de informações altamente sigilosas que devem ser protegidas.
Alguns exemplos incluem:
Informações confidenciais gerais das empresas
Pode incluir informações financeiras, planos de marketing, possíveis atividades promocionais,
informações de contatos comerciais, informações de investidores, planos de novos produtos,
listas de clientes etc.
Propriedade intelectual
A propriedade intelectual frequentemente compreende um dos mais, se não o mais substancial
ativo das empresas. Uma violação de segurança poderia resultar na perda da capacidade da
empresa de fazer cumprir seus direitos de propriedade intelectual. Por exemplo, segredos
comerciais são definidos como informações sigilosas de uma empresa, que têm valor porque
não são de conhecimento geral do setor e são o sujeito dos esforços da empresa em garantir que
permaneçam confidenciais (por exemplo, a fórmula da Coca-Cola®).
Se um segredo comercial for revelado ao público, ele perderá seu status e seu valor como
segredo comercial. Quase todas as empresas têm pelo menos alguns segredos comerciais. Uma
lista de clientes, código fonte de software, fórmulas, métodos de fazer negócios etc. podem ser
segredos comerciais. Eles devem ser protegidos para garantir que as informações permaneçam
seguras como um segredo comercial.
Informações de saúde
As informações de saúde são um dos tipos de informações mais regulamentados e sigilosos.
Nos Estados Unidos, por exemplo, a Lei sobre portabilidade e responsabilidade do seguro saúde
(HIPAA, Health Insurance Portability and Accountability Act) regulamenta a privacidade e a
segurança das informações pessoais de saúde. Em algumas jurisdições, elas recebem a mais
alta proteção, em comparação com outros tipos de dados pessoais. Na União Europeia, as
informações de saúde estão sujeitas a maior proteção sob a Diretiva de proteção de dados da
União Europeia (European Union Data Protection Directive), que se reflete nas leis
implementadas nos países membros. Consulte também a Lei australiana de privacidade de
1988 (Australian Privacy Act) e a recente Emenda da lei de privacidade (que aumenta a proteção
de privacidade).
Uma empresa pode estar no setor de saúde e ter posse de registros de pacientes reais, mas
mesmo uma empresa que não tenha nada a ver com o setor de saúde pode ter informações de
saúde de seus funcionários (por exemplo, informações de reivindicação de seguro) que é
obrigada a proteger.
informações financeiras pessoais
Da mesma forma que as informações de saúde, as informações financeiras pessoais
também contam com regulamentações sólidas e são consideradas altamente sigilosas. Nos
Estados Unidos, a Lei Gramm-Leach-Bliley (GLBA) trata da privacidade e segurança de
informações financeiras pessoais. Em outros países, as informações pessoais são amplamente
2 Kaspersky Lab – Relatório de Riscos de TI Globais de 2013
5
definidas em leis abrangentes de forma a englobar quase tudo que identifique um indivíduo,
inclusive, claro, suas informações financeiras. Consulte, por exemplo, a Lei de proteção de
informações pessoais do Japão. Da mesma forma que com as informações de saúde, as
empresas não precisam estar no setor de serviços financeiros para ter posse desse tipo de
informações. Cada empregador tem informações financeiras sigilosas de seus funcionários (por
exemplo, informações de salário, números de CPF e outros números de identificação pessoa,
números de contas bancárias etc.).
Informações de segurança
Até mesmo as próprias informações de segurança são sigilosas e devem ser protegidas. As
políticas de segurança, os relatórios de auditoria de segurança, os planos de recuperação de
desastres e de continuidade dos negócios da empresa e outras informações semelhantes são
todos altamente sigilosos. Se comprometidas, essas informações poderiam ser usadas para
explorar vulnerabilidades da empresa.
6
Por que a proteção é importante
3.0
A conformidade legal está certamente bem no alto da lista de motivos
das empresas para implementar medidas de segurança de
informações para proteger dados sigilosos. Contudo, há outros motivos
muito significativos para as empresas abordarem esse risco.
Protegendo os ativos corporativos
O impacto típico de uma
violação da segurança de
dados é de
aproximadamente
US$ 50.000 para
pequenas e médias
empresas, e de US$
649.000 para
corporações.3
Conforme observado na seção anterior, além dos dados de identificação pessoal, as empresas
também têm outras informações altamente reservadas que deve proteger (por exemplo,
propriedade intelectual, planos de marketing, planos de novos produtos, informações de
investidores, informações financeiras etc.). Tudo isso são ativos valiosos da empresa, que
merecem proteção.
Estabelecendo a diligência
Muitas leis e regulamentações incluem o conceito de exigir que a empresa aja com a devida
diligência na proteção de dados sigilosos. O mesmo conceito existe de forma mais geral na
obrigação da administração corporativa de agir com o devido cuidado e exercitar um julgamento
aceitável ao realizar negócios, o que incluiria agir com a devida diligência para proteger os ativos
de informações corporativas. Nem a legislação aplicável, nem essa norma mais geral de
governança corporativa exigem perfeição. Mas a empresa e seus administradores precisam
conseguir demonstrar que agiram de forma razoável, apropriada e com a devida diligência para
proteger seus ativos de informações. Com a implementação e documentação de uma
abordagem ponderada para atenuar os riscos de segurança das informações, a empresa e seus
gerentes terão evidências para sustentar que eles fizeram isso, no caso de uma violação.
Protegendo a reputação da empresa
Ser vítima de uma violação de segurança pode prejudicar drasticamente a reputação de uma
empresa. Uma publicidade negativa desse tipo pode causar danos graves à empresa. Os clientes
e parceiros de negócios podem perder a confiança na capacidade da empresa de proteger suas
informações e seus sistemas.
Minimizar possíveis responsabilidades
Por fim, o motivo mais óbvio para implementar uma abordagem cuidadosa à segurança de
informações é minimizar as possíveis responsabilidades. A responsabilidade pode assumir
diversas formas: multas de vários reguladores, sanções estatutárias, ações judiciais movidas
por acionistas e ações civis movidas por parceiros de negócios e clientes (incluindo a
possibilidade de ações judiciais bastante custosas) contra a empresa e, possivelmente,
contra sua administração.
3 Kaspersky Lab – Relatório de Riscos de TI Globais de 2013
7
Conceitos equivocados comuns sobre
a conformidade da segurança de
informações
4.0
As leis e
regulamentações
dessa área não exigem
perfeição – elas são
direcionadas para que
as empresas façam o
que é aceitável e
apropriado.
Há muita confusão e muitos conceitos equivocados em relação à
conformidade da segurança de informações. Os dois maiores erros são
pensar que ‘tudo se resume aos dados’ e que ‘tudo se resume à
confidencialidade’. Embora os dados e a confidencialidade sejam
certamente de importância crítica, é necessária uma abordagem mais
holística. Uma empresa deve se preocupar com seus dados,
mas deve se preocupar igualmente com os sistemas nos quais os
dados residem. Além disso, a confidencialidade é apenas uma das três
proteções principais necessárias para a verdadeira segurança.
Todos os envolvidos em segurança de informações devem conhecer o acrônimo ‘CIA’. Para que
os dados estejam realmente seguros, cada um desses três elementos deve ser satisfeito.
‘Confidencialidade’ significa que os dados são protegidos contra o acesso não autorizado e a
divulgação. ‘Integridade’ significa que os dados são confiáveis em sua precisão e não foram
sujeitos a alterações não autorizadas. Por fim, ‘Disponibilidade’ significa que os dados estão
disponíveis para acesso e utilização quando necessário. Não há utilidade em ter dados
confidenciais e cuja integridade está mantida, se eles não estão realmente disponíveis quando o
usuário precisa deles. Para cumprir esse último requisito, os sistemas nos quais os dados
residem devem ter níveis de serviço específicos em relação a disponibilidade, tempo de resposta
etc. Isso será particularmente importante quando um fornecedor terceirizado estiver
hospedando os dados em benefício da empresa.
A importância da CIA não é exagerada. Não é apenas um conceito em tratados de segurança de
informações. Os legisladores incorporaram essa linguagem diretamente em determinadas leis e
regulamentações da segurança de informações. As empresas que não conseguem alcançar a
CIA em relação a seus dados podem estar violando essas leis.
Um último conceito errôneo que envolve as leis de segurança e privacidade de informações é
que elas exigem a perfeição (ou seja, que qualquer violação, independentemente no nível de
diligência da empresa, criará uma responsabilidade). Isso não é verdadeiro. As leis e
regulamentações dessa área são direcionadas para que as empresas façam o que é aceitável e
apropriado. Se uma empresa alcançar esse padrão e, não obstante, ocorrer uma violação, em
geral, ela não terá um problema de conformidade.
8
Encontrando as questões comuns
em leis e regulamentações de
conformidade
5.0
O número absoluto e a variedade de leis e regulamentações que podem
se aplicar até mesmo a pequenas empresas que lidam com
informações sigilosas podem ser intimidantes, se não devastadores.
Em algumas situações, pode ser quase impossível até mesmo para
uma organização grande e sofisticada identificar todas as leis
aplicáveis, reconciliar inconsistência e então implementar um
programa de conformidade. O objetivo desta seção não é discutir
qualquer lei ou regulamentação específica, mas identificar três
questões comuns que permeiam muitas delas. Ao compreender essas
questões comuns, as empresas podem entender mais facilmente suas
obrigações de conformidade básicas.
Essas correntes não passam apenas por leis e regulamentações, mas também normas
contratuais, como o PCI DSS (Payment Card Industry Data Security Standard) e até mesmo
padrões comuns do setor para segurança de informações publicados por organizações como a
CERT em Carnegie Mellon e a ISO (International Standards Organization). A adoção dessas
direções comuns ao projetar e implementar um programa de segurança de informações
aumentará e muito a capacidade da empresa de alcançar a conformidade geral com as leis,
regulamentações e outros requisitos (por exemplo, PCI DSS, padrões do setor etc.) aplicáveis.
Confidencialidade, integridade e disponibilidade (CIA, Confidentiality,
Integrity and Availability)
Conforme abordado na Seção 4, o antigo conceito de CIA que se encontra em todos os manuais
de segurança de informações agora foi codificado em muitas leis e regulamentações. Os três
braços desse conceito tratam dos objetivos mais fundamentais da segurança de informações:
os dados/informações devem ser mantidos confidenciais, protegidos contra modificação não
autorizada e devem estar disponíveis para serem usados quando necessário. A ausência de
qualquer dessas proteções afetaria de forma importante a conformidade e o valor dos ativos de
informações.
A atuação ‘razoável’ ou tomada de medidas ‘apropriadas’ ou
‘necessárias’
O conceito de atuação ‘razoável’ é usado em muitas leis estaduais e federais nos Estados
Unidos, na Austrália e em vários outros países. O conceito relacionado de tomada de medidas
‘apropriadas’ ou ‘necessárias’ é usado na União Europeia e em muitas outras regiões. Juntos,
eles formam o cerne de quase todas as leis de segurança de informações e privacidade de
dados. As empresas devem agir de forma razoável ou fazer o que é necessário ou apropriado
para proteger seus dados. Observe que isso não exige perfeição. Porém, a empresa deve levar
em conta o risco envolvido e não o que é razoável ou necessário para atenuar esse risco. Se,
mesmo assim, ocorrer uma violação e a empresa tiver estabelecido esse requisito básico, em
geral, não será considerado que ela esteja infringindo as leis ou regulamentações aplicáveis.
9
Dimensionando as medidas de segurança para refletir a natureza dos
dados e das ameaças
Um conceito que está intimamente relacionado à ação razoável ou ao fazer o que é apropriado é
a ideia de dimensionar as medidas de segurança de forma a refletir a natureza das ameaças e o
nível de sigilo dos dados. Ou seja, a empresa não precisa gastar todo seu orçamento de
segurança para tratar uma ameaça de baixo risco. Porém, se o risco for substancial,
especialmente devido ao volume e/ou confidencialidade dos dados, o nível de esforço e
despesas que a empresa deve ter para lidar com esse risco deverá aumentar. Um banco de
dados somente com nomes e endereços físicos pode não exigir tanta segurança quanto um
banco de dados de nomes, endereços e números de CPF. Para entender esse conceito melhor,
seguem trechos de duas leis que incorporam o ‘dimensionamento’:
Primeiro exemplo
Segundo exemplo
A empresa deve implementar proteções
apropriadas a: (a) o tamanho, o escopo e
o tipo de negócios da pessoa obrigada a
proteger as informações pessoais sob
este programa abrangente de segurança
de informações; (b) a quantidade de
recursos disponíveis para essa pessoa;
(c) à quantidade de dados armazenados e
(d) a necessidade de segurança e
confidencialidade das informações do
cliente e do funcionário.
As iniciativas de segurança devem levar
em conta:
(i) O tamanho, a complexidade e
os recursos da empresa.
(ii) Os recursos de segurança
da infraestrutura técnica, de
hardware e de software da empresa.
(iii) O custo das medidas de segurança.
(iv) A probabilidade e a importância de
possíveis riscos para os dados.
Nas duas próximas seções, esses conceitos são abordados no contexto de duas situações reais,
aplicáveis a quase todos os tipos e tamanhos de empresas. O primeiro aborda como integrar
melhor a segurança de informações nas relações com fornecedores e parceiros de negócios. Ou
seja, quando um fornecedor de uma empresa tem acesso ou posse das informações mais
sigilosas da empresa, o que deve ser feito para garantir que essas informações serão protegidas.
O segundo se concentra no controle de riscos durante a implementação de um programa
BYOD (Traga seu próprio dispositivo) para os funcionários da empresa.
10
Lidando com a segurança de informações
nas relações com parceiros de negócios e
fornecedores
6.0
Quase todas as semanas acontecem casos de empresas que
confiaram suas informações sigilosas a fornecedores ou parceiros de
negócios e acabaram tendo essas informações comprometidas porque
o fornecedor não conseguiu implementar proteções de segurança de
informações apropriadas. Pior ainda, frequentemente se percebe que
essas mesmas empresas tiveram pouca ou nenhuma devida diligência
em relação aos fornecedores e não abordaram a segurança de
informações de forma adequada nos contratos de seus fornecedores.
Em muitos casos, a empresa acaba ficando sem solução para o
prejuízo substancial que sofreram como resultado de um acordo.
No atual ambiente regulatório, as empresas devem ser muito mais rigorosas em suas relações
com clientes nas quais informações sigilosas serão colocadas em risco. Nesta seção, são
descritas três ferramentas que as empresas podem utilizar imediatamente para reduzir
significativamente as ameaças impostas à segurança de informações por seus fornecedores e
parceiros de negócios, garantir a execução e documentação da devida diligência e fornecer
soluções no caso de um comprometimento.
Essas ferramentas são:
• Questionário sobre a devida diligência do fornecedor.
• Principais proteções contratuais.
• O uso, nas situações apropriadas, de um anexo de Requisitos de segurança de informações.
Sempre que um fornecedor ou parceiro de negócios tem acesso à rede, às instalações ou aos
dados de uma empresa, uma ou mais dessas ferramentas deve ser usada.
Com o uso dessas ferramentas, as empresas conseguem atingir o nível de CIA em relação a seus
dados, demonstrar que agiram de forma razoável/apropriada ao tratar dos riscos e dimensionar
sua abordagem de acordo com o nível de risco envolvido (por exemplo, exigindo proteções
contratuais mais fortes e a devida diligência mais profunda quando o fornecedor tem posse de
quantidades substanciais de dados altamente sigilosos e, por outro lado, exigindo proteções e
diligência menos rigorosas quando o fornecedor tem apenas contato incidental com dados
sigilosos.
11
Devida diligência: a primeira ferramenta
Essa abordagem
específica de devida
diligência não é mais
apropriada, nem
aceitável, no contexto do
ambiente regulatório e de
negócios atual.
Embora a maioria das empresas realize alguma forma de diligência devida antes de confiar aos
fornecedores suas informações sigilosas ou o acesso a seus sistemas, muitas vezes, isso é feito
de maneira informal, não uniforme e não documentada claramente. Em muitos poucos casos, o
resultado dessa devida diligência é realmente incorporado no contrato entre as partes. Essa
abordagem específica de devida diligência não é mais apropriada, nem aceitável, no contexto do
ambiente regulatório e de negócios atual.
Para garantir a documentação apropriada e a uniformidade no processo de devida diligência, as
empresas devem desenvolver um ‘Questionário sobre devido empenho’ que cada possível
fornecedor ou parceiro de negócios com acesso a dados corporativos confidenciais ou sigilosos,
ou a informações pessoais, deve preencher. As áreas englobadas no questionário incluem:
responsabilidade corporativa, cobertura de seguros, condição financeira, práticas pessoais,
políticas de segurança de informações, segurança pessoal, segurança lógica, recuperação de
desastres e continuidade dos negócios, além de outras áreas relevantes.
O uso de um questionário padronizado tem várias vantagens importantes:
• Fornece uma estrutura uniforme pronta para a devida diligência.
• Garante uma comparação das respostas dos fornecedores ‘com a mesma base’.
• Assegura que todas as principais áreas de diligência sejam contempladas e que nenhuma seja
negligenciada.
• Oferece um jeito fácil de incorporar as informações de devida diligência diretamente no
contrato. Em geral, o questionário preenchido é adicionado como anexo do contrato final.
Desde o princípio, os fornecedores devem estar cientes de que as informações que fornecem
como parte do processo de devida diligência e, particularmente, em resposta ao Questionário
sobre a devida diligência do fornecedor, serão (i) consideradas confiáveis ao fazer uma seleção
de fornecedores e (ii) incorporadas e inseridas como parte do contrato final. Para ser mais
eficiente, o questionário deve ser apresentado aos possíveis fornecedores no estágio mais inicial
possível da relação. Ele deve ser incluído como parte de todas as concorrências relevantes ou, se
não houver uma concorrência, como documento autônomo durante as discussões preliminares
com o fornecedor.
12
As principais áreas do Questionário sobre a devida diligência do fornecedor incluem o seguinte:
• Condição financeira do fornecedor. O fornecedor é uma empresa pública ou privada? Há
cópias dos balanços financeiros mais recentes disponíveis? A condição financeira pode não
parecer um fator crítico para fins de segurança de informações, mas a possibilidade de um
fornecedor decretar falência ou simplesmente interromper seus negócios enquanto tiver em
seu poder informações sigilosas de uma empresa representa um risco significativo. Nesses
casos, pode ser difícil, se não impossível, recuperar os dados e garantir que eles tenham sido
eliminados de forma adequada dos sistemas do fornecedor. De forma semelhante, a
capacidade de processar um fornecedor incobrável por danos será prejudicada se o
fornecedor não tiver capacidade financeira de pagar pelos danos concedidos.
• Cobertura de seguros. Que tipos de cobertura o fornecedor tem? Quais são os limites e os
outros termos da cobertura? Os pedidos de cobertura são feitos ou baseados em ocorrências?
Como normalmente as políticas gerais de responsabilidade comercial não abrangem
violações de segurança de informações, pense em requerer que o fornecedor tenha um
seguro contra riscos cibernéticos ou segurança de rede. Esses tipos de políticas estão se
tornando mais comuns.
• Responsabilidade corporativa. Existem condenações criminais ou litígios recentes
importantes, ocorrências em que o fornecedor teve um comprometimento substancial da
segurança, violações de privacidade, resultados negativos de auditorias etc.?
• Subcontratação. O fornecedor precisará usar algum subcontratado ou afiliado para executar
seus serviços? O fornecedor usará subcontratados ou afiliados fora de seu país? Onde os
subcontratados e afiliados estão localizados? Que tipos de serviços eles fornecerão? Se
houver, quais informações pertencentes à empresa serão enviadas a essas entidades?
• Procedimentos de segurança organizacional. O fornecedor conta com um programa de
segurança de informações abrangente e bem documentado? Quais são as políticas de
manuseio de informações do fornecedor? O fornecedor tem uma equipe dedicada à
segurança de informações? Há uma equipe de resposta a incidentes? Quais são as práticas
de segurança de informações do fornecedor em relação a seus contratados e agentes (por
exemplo, devida diligência, exigência de contratos de não divulgação, obrigações contratuais
específicas relacionadas à segurança de informações etc.)?
• Segurança física, controles lógicos. Quais medidas e procedimentos de segurança física o
fornecedor emprega? O fornecedor usa controle de acesso a seus sistemas para limitar o
acesso a informações apenas às pessoas especificamente autorizadas?
• Controles de desenvolvimento de software. Se o fornecedor for desenvolvedor de software,
quais são seus procedimentos de desenvolvimento e manutenção? Quais controles de
segurança são usados durante o ciclo de vida de desenvolvimento? O fornecedor realiza
testes de segurança de seus softwares? O fornecedor mantém ambientes separados para
testes e produção? O fornecedor licencia código de terceiros para incorporação em seus
produtos? Se for o caso, que tipos de código?
• Problemas de privacidade. Se as informações pessoais de clientes, consumidores ou outras
pessoas estiverem correndo risco, o fornecedor tem uma política de privacidade? Qual é o
histórico de revisões da política? Houve alguma situação em que o fornecedor teve de entrar
em contato com os consumidores por conta de uma violação de segurança? O fornecedor dá
treinamento específico a seus funcionários para o manuseio de informações pessoais? Se der,
com que frequência?
• Recuperação de desastres e continuidade dos negócios. Quais são os planos de
continuidade dos negócios/recuperação de desastres do fornecedor? Quando ocorreu o
último teste? Quando ocorreu a última auditoria? A auditoria encontrou algum resultado
negativo? As deficiências foram corrigidas? Qual é o histórico de revisões de seu plano? Quais
procedimentos de segurança são seguidos no site de recuperação ?
13
Principais proteções contratuais: a segunda ferramenta
Na esmagadora maioria das negociações, o contrato firmado entre uma empresa e seus
fornecedores tem pouco ou nada em relação à segurança de informações. Quase sempre, há
uma referência de passagem a requisitos de segurança indefinidos e uma cláusula básica de
confidencialidade.
As práticas recomendadas atualmente no setor (como CERT e ISO) e as leis e regulamentações
de segurança de informações sugerem que é necessário usar um discurso muito mais específico
nas relações com fornecedores. Deve ser considerada a inclusão das seguintes proteções nos
contratos de fornecedores relevantes:
Confidencialidade. Uma cláusula de confidencialidade totalmente detalhada deveria ser o pilar
das proteções de segurança de informações em todos os contratos. A cláusula de
confidencialidade deveria ser traçada de forma ampla, incluindo todas as informações que a
empresa deseja manter confidenciais. Devem ser incluídos exemplos específicos de
informações protegidas (como código fonte, planos de marketing, informações sobre novos
produtos, segredos comerciais, informações financeiras, informações pessoais etc.). Enquanto o
período de proteção de confidencialidade possa ser fixado por, digamos, cinco anos, deve ser
oferecida proteção contínua expressamente para informações pessoais e segredos comerciais
da empresa. Devem ser evitados requisitos de que a empresa sinalize as informações como
‘confidenciais’ ou ‘reservadas’. Esse tipo de requisito é irreal no contexto da maioria das relações
com fornecedores. Frequentemente as partes negligenciam o cumprimento desses requisitos e,
no final, informações reservadas confidenciais são colocadas em risco.
Garantias. Além das garantias padrão referentes à forma como os serviços devem ser realizados
e às autorizações para firmar o contrato, as seguintes garantias específicas relacionadas à
segurança de informações devem ser consideradas:
• Uma garantia que exija que o fornecedor cumpra as ‘práticas recomendadas do setor
referentes à segurança de informações’.
• Conformidade com todas as leis e regulamentações aplicáveis sobre segurança de
informações, privacidade, proteção do consumidor e semelhantes.
• Conformidade com a política de privacidade da empresa referente à manipulação e ao uso de
informações pessoais.
• Uma garantia contra a disponibilização de informações confidenciais da empresa a
subcontratados ou afiliados estrangeiros, a menos que especificamente autorizado por escrito
pela empresa.
• Uma garantia afirmando que as respostas do fornecedor ao Questionário sobre a devida
diligência do fornecedor, que deve ser incluído como anexo do contrato, são verdadeiras e
corretas será atualizado, quando a pedido razoável da empresa, e deverá continuar verdadeira
e correta durante toda a vigência do contrato entre as partes.
Obrigações gerais de segurança. Considere a inclusão de um texto geral no contrato referente às
obrigações do fornecedor de tomar todas as medidas aceitáveis para proteger e defender seus
sistemas e instalações contra acesso não autorizado ou invasões, de testar periodicamente
seus sistemas e instalações quanto à presença de vulnerabilidades, de divulgar imediatamente
todas as violações ou possíveis violações de segurança da empresa, de participar de auditorias
conjuntas de segurança e de colaborar com os reguladores da empresa na revisão das práticas
de segurança de informações do fornecedor, etc.
14
O fornecedor deve
proteger a empresa de
ações judiciais e outras
reivindicações
resultantes da falha do
fornecedor em proteger
seus sistemas
adequadamente.
Indenizações. Em situações nas quais uma violação da segurança do fornecedor possam expor
a empresa a possíveis reivindicações de terceiros (por exemplo, violações de informações
pessoais podem resultar em reivindicações dos clientes da empresa), o contrato deve incluir
uma cláusula sobre indenização que exija que o fornecedor isente a empresa de qualquer
reivindicação, danos e despesas incorridos resultantes da violação da segurança do fornecedor.
Ou seja, o fornecedor deve proteger a empresa de ações judiciais e outras reivindicações
resultantes da falha do fornecedor em proteger seus sistemas adequadamente.
Limitação de responsabilidade. A maioria dos contratos tem alguma forma de ‘limitação de
responsabilidade’ – uma cláusula criada para limitar o tipo e a extensão dos danos aos quais às
partes contratantes podem estar sujeitas.
Não é raro observar cláusulas que isentam o fornecedor de qualquer responsabilidade por todos
os danos consequenciais (como lucros perdidos, prejuízos à reputação da empresa etc.) e que
limitam todas as outras responsabilidades a uma fração dos valores pagos. É quase impossível
eliminar esse tipo de cláusula da maior parte dos contratos, mas é possível requerer que o
fornecedor exclua das limitações ou, pelo menos, aceite uma responsabilidade maior por danos
decorrentes ou ocorridos após a violação de confidencialidade do fornecedor e concorde com
sua obrigação de indenização por reivindicações geradas pelo próprio fornecedor devido a sua
incapacidade de proteger adequadamente seus sistemas. Sem essas exclusões, as proteções
contratuais descritas acima seriam basicamente ilusórias. Se o fornecedor não assumir
realmente a responsabilidade pela violação de confidencialidade porque a ‘limitação de
responsabilidade’ restringe os danos que o fornecedor deverá pagar a um valor irrisório, a
cláusula de confidencialidade não terá qualquer significado.
Anexo de Requisitos de segurança de informações: a terceira ferramenta
A ferramenta final para minimizar os riscos de segurança de informações do fornecedor consiste
no uso de um anexo ou uma declaração de trabalho que defina especificamente os requisitos de
segurança relevantes para uma transação específica.
Por exemplo, o anexo de requisitos de segurança de informações pode proibir que o fornecedor
transmita as informações da empresa por rede sem fio internas (como 802.11 a/b/g)
ou transfira essas informações para mídias removíveis que poderiam ser facilmente perdidas.
O anexo também pode conter requisitos específicos sobre o uso de criptografia e a retirada de
serviço do hardware e da mídia de armazenamento em que as informações da empresa foram
armazenadas, a fim de garantir que as informações sejam eliminadas apropriadamente do
hardware e da mídia. Outras medidas de segurança física e lógica específicas devem ser
identificadas como relevantes para a transação específica.
As empresas ficam sujeitas a riscos específicos quando confiam suas informações reservadas e
confidenciais a seus fornecedores, parceiros de negócios e outros terceiros. Esses riscos podem
ser minimizados com a utilização das ferramentas discutidas acima: a devida diligência
apropriada e uniforme, o uso de proteções contratuais específicas relacionadas à segurança de
informações e a possível utilização de adendos e outros anexos do contrato, detalhando os
requisitos de segurança específicos que devem ser impostos ao fornecedor.
15
Programas BYOD (Traga seu próprio
dispositivo)
7.0
71% dos
respondentes
acreditam que as
iniciativas BYOD
aumentarão a
motivação.
O termo BYOD compreende programas corporativos que autorizam os
funcionários a utilizar seus próprios dispositivos pessoais (como
smartphones, tablets, computadores, laptops, netbooks) para atividades
pessoais e relacionadas ao trabalho. Também é permitido, de maneira geral,
que o funcionário use seu dispositivo pessoal para se conectar à rede
corporativa do empregador.
Existem inúmeras vantagens nos programas BYOD: potencial de redução no custo geral da
empresa em manutenção de recursos de tecnologia da informação, melhor capacitação de
funcionários móveis, suporte ao novo ambiente de trabalho 24x7 de muitas empresas e
aumento no nível de colaboração e motivação dos funcionários. Um estudo recente da Unisys
destaca alguns desses benefícios:
• 71% dos respondentes acreditam que as iniciativas BYOD aumentarão a motivação.
• 60% acreditam que a produtividade aumentará.
• 44% achariam as ofertas de trabalho mais atraentes se a empresa desse suporte ao uso de
iPads.
O risco dos programas BYOD é inerente a sua natureza: a possibilidade de dados corporativos e
pessoais serem armazenados/acessados no mesmo dispositivo, um dispositivo sobre o qual a
empresa tem pouco ou nenhum controle. Esse risco é mostrado nos resultados de dois estudos
recentes:
• Estudo da Dell Kace: 87% das empresas não conseguem proteger efetivamente seus dados
corporativos e sua propriedade intelectual devido a funcionários que usam algum tipo de
dispositivo pessoal no trabalho - incluindo laptops, smartphones e tablets.
• Estudo da eWeek: 62% dos administradores de TI acham que não têm ferramentas para
gerenciar adequadamente dispositivos pessoais.
Com a abordagem das questões comuns da conformidade discutidas acima, é possível atenuar
esse risco.
Principais riscos apresentados pelos programas BYOD
Ao decidir implementar um programa BYOD, a empresa deve considerar os principais riscos a
seguir e garantir que os benefícios para a organização em termos de economia de custo,
motivação dos funcionários, etc. sejam maiores que esses riscos.
Mesclando dados corporativos e pessoais. Esta questão é claramente uma das mais
importantes. No momento, há soluções, como o produto para dispositivos móveis da Kaspersky
Lab, que ajudam a ‘conteinerizar’ dados pessoais e corporativos nos dispositivos BYOD. Porém,
poucas delas diferenciam a imposição de políticas de segurança (ou seja, no caso de um
dispositivo ser perdido ou roubado, uma limpeza/eliminação remota executada pela empresa
apagaria não apenas todas as informações corporativo, mas também todas as informações
pessoais). As empresas e seus funcionários devem considerar essas questões.
16
Alguns exemplos retirados de situações reais do que pode dar errado:
• As fotos do casamento: em um dos casos, um funcionário achou que tinha perdido seu
smartphone. A empresa executou a limpeza remota de todos os dados no telefone para
garantir que informações sigilosas não fossem comprometidas. No final, o telefone não estava
perdido, só tinha desaparecido. A esposa do funcionário moveu uma reclamação contra a
empresa, alegando que eles tinham apagado a única cópia de suas melhores fotos de família.
Deixando de lado o fato de que o funcionário e sua esposa deveriam ter feito backup dessas
fotos importantes, a empresa ficou em uma posição difícil porque não tinha qualquer proteção
contra uma reclamação da esposa por ter excluído as fotos. Veja a discussão a seguir sobre
‘amigos e familiares’.
• O próximo grande romance: em outra situação, um empregador permitiu que seus funcionários
usassem seus próprios laptops. Enquanto o empregador instalava alguns novos softwares de
segurança em cada um dos laptops, um determinado funcionário alegou que o empregador
causou uma perda de dados que incluía a única cópia do romance no qual o funcionário
trabalhava há muitos anos. O empregador não tinha em vigor uma política adequada que
pudesse protegê-lo contra alegações dessa natureza por parte dos funcionários. A empresa
acabou fazendo um acordo com o funcionário.
• Está na nuvem: os serviços de backup on-line estão se tornando corriqueiros. Muitos deles
funcionam em conjunto e alguns estão incorporados diretamente nos sistemas operacionais
dos smartphones. Em vários casos recentes, funcionários usaram esses serviços do tipo
‘Traga sua própria nuvem’ para fazer backup de seus dados pessoais ao mesmo tempo que
também, inadvertidamente, incluíram dados sigilosos da empresa (ou seja, dados
corporativos foram copiados para servidores de terceiros sobre os quais a empresa não tinha
qualquer controle ou nem mesmo conhecimento, com a possibilidade desses terceiros
usarem proteções de segurança abaixo do padrão).
Problemas de licenciamento de software. As empresas devem estar atentas para garantir que os
softwares de terceiros usados por funcionários em seus dispositivos BYOD tenham as devidas
licenças: um funcionário não pode licenciar uma versão ‘doméstica’ de um programa editor de
textos e depois usar esse programa diariamente em seu laptop BYOD no trabalho para seu
empregador. É quase certo que isso violaria o contrato de licença de terceiros do software. Em
outro exemplo, o dispositivo BYOD pode usar uma conexão de VPN (rede virtual privada) para
acessar determinados softwares de terceiros instalados nos sistemas do empregador (como um
aplicativo de contabilidade, software de CRM, software para entrada de pedidos etc.). Os
contratos de licença de terceiros relevantes devem ser analisados em todas as instâncias para
garantir que o escopo da licença permitem esse acesso remoto.
Em algumas situações, podem ser necessárias taxas de licença adicionais.
17
Além da vantagem de
usar seu próprio
dispositivo, o funcionário
deve avaliar também do
que precisará abrir mão.
Descoberta/litígio. Ao considerar se deve participar do programa BYOD de seu empregador,
além da vantagem de usar seu próprio dispositivo, o funcionário deve avaliar também do que
precisará abrir mão. Mais especificamente, ele deve entender que, em caso de litígio, o
empregador e, possivelmente, outras pessoas deverão inspecionar o dispositivo e examinar seu
conteúdo. Essas informações podem incluir a análise de e-mails, fotos, dados de geolocalização
etc. Além disso, o funcionário deve compreender que, em determinadas circunstâncias, o
empregador pode ter bons motivos para limpar remotamente o conteúdo do dispositivo. A
menos que o funcionário tenha feito backup do dispositivo, a limpeza pode resultar na perda
completa dos dados pessoais do funcionário. Esses são fatores importantes que devem ser
considerados com cuidado antes de aceitar participar de um programa BYOD.
Lesões por esforço repetitivo e outros distúrbios relacionados ao trabalho. Os chamados
‘Blackberry thumbs’ (polegares de Blackberry) e outras doenças que podem resultar do esforço
repetitivo por uso de laptops, smartphones, tablets e outros dispositivos semelhantes devem ser
considerados ao elaborar uma política de BYOD eficiente. Por exemplo, os participantes do
programa devem ser incentivados a analisar as informações sobre ergonomia fornecidas com a
maioria dos dispositivos, atestar que o empregador não é responsável por lesões decorrentes do
uso desses dispositivos etc. A empresa também deve revisar as indenizações e outros seguros
de seus funcionários para confirmar se a cobertura engloba esses tipos de lesões resultantes de
dispositivos não fornecidos pela empresa.
Uso compartilhado de dispositivos como não funcionários: o problema dos amigos e
familiares. Quase sempre, os funcionários permitem que seus amigos e familiares usem seus
dispositivos BYOD. Esses ‘amigos’ possivelmente terão acesso a toda e qualquer informação
relacionada aos negócios armazenada no dispositivo. É impossível evitar isso. E, pior ainda, esse
risco não pode ser reduzido imediatamente com a tecnologia atual.
O problema é que a empresa não tem qualquer acordo de não divulgação ou outras obrigações
de confidencialidade com esses terceiros, e o terceiro também não assinou a política da
empresa referente ao uso do dispositivo BYOD. Isso significa que a empresa não tem qualquer
proteção contratual com o terceiro.
Se, por exemplo, o terceiro enviar e receber e-mails pessoais usando o dispositivo e,
posteriormente, em caso de litígio, o aparelho precisar ser analisado pela empresa. A empresa
poderá estar violando os direitos de privacidade do terceiro ao examinar, mesmo que
acidentalmente, seus e-mails. De forma semelhante, se a empresa tiver um bom motivo para
limpar o dispositivo remotamente, o funcionário poderá não ter uma alegação contra a empresa,
pois assinou uma política reconhecendo essa possibilidade. Porém, seus amigos e familiares
não assinaram essa política. Nesse caso, se a limpeza destruir informações valiosas dessa
terceira pessoa, ela poderia, teoricamente, fazer uma reivindicação por perdas contra a
empresa.
Descarte do dispositivo pelo funcionário. Devem haver em vigor procedimentos para garantir
que o empregador possa confirmar a remoção de todos os dados corporativos sigilosos do
dispositivo antes de seu descarte. As empresas sabem que os funcionários estão sempre
pesquisando seu próximo smartphone, tablet ou laptop, e que o dispositivo existente pode ser
trocado, vendido no eBay ou de alguma outra forma descartado sem avisar o empregador. A
análise do dispositivo pode ser especialmente difícil quando a relação de trabalho terminou mal.
O funcionário pode se recusar a apresentar o dispositivo para análise. Nesses casos, o
empregador pode não ter outra alternativa além de executar a limpeza remota do dispositivo.
18
Principais elementos da estratégia BYOD
Para tratar das três questões comuns da conformidade discutidas acima (CIA, bom senso/
adequabilidade e dimensionamento), um programa BYOD eficiente deve ter três componentes:
política, treinamento e tecnologia/imposição.
Política. O documento direcionador de qualquer programa BYOD deve ser uma política clara e
compreensível.
A política detalha os direitos e as obrigações do funcionário em relação ao programa, inclusive o
adverte de que, ao participar do programa, ele abre mão de determinados direitos. Por exemplo,
em caso de litígio, o conteúdo do dispositivo móvel, incluindo dados pessoais, poderá ser
examinado como parte do processo de descoberta ou, se o dispositivo for perdido ou de alguma
outra forma comprometido, os dados pessoais contidos nele poderão ser perdidos para sempre,
caso seja executado o apagamento/limpeza do dispositivo para proteger informações
corporativas.
A maioria das empresas distribui a política e exige a assinatura dos funcionários para que eles
possam participar do programa. A política deve deixar claro que a participação no programa
poderá ser revogada pela empresa a qualquer momento. Por exemplo, a empresa pode decidir
interromper o programa ou determinar que o uso que um determinado funcionário faz do
dispositivo representa um risco de segurança grande demais. Nessas situações, a empresa
deve ter o direito irrestrito de suspender o programa ou a participação de um funcionário
específico no programa.
Muitas organizações enviam notas de acompanhamento periódicas destacando pontos
específicos da política. Por exemplo, um empregador pode enviar uma nota que descreve os
riscos ou as proibições específicas referentes ao backup de dados corporativos em contas de
backup online do funcionário (como DropBox, iCloud etc.).
Treinamento. O treinamento de funcionários é outro componente crítico de um programa de
BYOD eficiente. Em geral, não é suficiente simplesmente fornecer aos funcionários uma política
que eles podem ou não ler. Em vez disso, é preferível realizar uma ou mais sessões de
treinamento para os funcionários especificamente para informá-los sobre seus direitos e suas
obrigações decorrentes da participação no programa. Dependendo do nível de sigilo das
informações às quais o funcionário pode ter acesso, esse treinamento pode ser repetido
periodicamente.
Tecnologia/imposição. O componente final é o uso da tecnologia de outros meios para impor a
política. Isso pode ser tão simples como exigir que os funcionários usem apenas dispositivos
BYOD com capacidade de imposição remota de políticas de segurança (por exemplo, senhas
obrigatórias, tempo limite, limpeza remota etc.). Outras tecnologias mais avançadas também
estão sendo disponibilizadas, inclusive a capacidade inerente de separar dados pessoais e
corporativos.
Como mostrado na discussão sobre as três linhas de conformidade comuns, o investimento que
uma empresa deve fazer para resolver esses componentes depende do tipo de informações que
serão colocadas em risco pelo programa BYOD.
19
Conclusão
8.0
Enquanto o número e a complexidade das leis e regulamentações de privacidade e segurança de
informações aumenta cada vez mais, as empresas devem avaliar determinadas questões
comuns que as permeiam. Neste whitepaper, são apresentadas três das questões mais comuns
e importantes. Ao compreender que a lei atual não exige perfeição, mas apenas o devido
cuidado, bom senso e medidas de dimensionamento que reflitam o nível de sigilo dos dados
colocados em risco, as empresas podem avançar muito para alcançar a conformidade.
Conforme mostrado na discussão sobre a segurança de informações em relações com
fornecedores e o desenvolvimento de um programa BYOD eficiente, as empresas podem ver
como essas questões comuns se aplicam a situações reais. O uso inteligente do treinamento, de
políticas e da tecnologia pode reduzir muito o risco de conformidade geral.
Sobre o autor
Michael R. Overly é sócio do Information Technology and Outsourcing Group no escritório de Los
Angeles da Foley & Lardner LLP. O Sr. Overly escreve e dá palestras frequentes sobre a
negociação e elaboração de transações de tecnologia e as questões legais da tecnologia no local
de trabalho, em e-mails e evidências eletrônicas. Ele escreveu inúmeros artigos e livros sobre
esses assuntos e frequentemente faz comentários para a imprensa nacional (por exemplo, no
The New York Times, Chicago Tribune, Los Angeles Times, Wall Street Journal, ABCNEWS.com,
CNN e MSNBC). Além disso, realiza cursos de treinamento nos Estados Unidos, Noruega, Japão e
Malásia.
O Sr. Overly já foi testemunha no Congresso dos EUA em relação a problemas online. Entre
outras, ele é autor das publicações A Guide to IT Contracting: Checklists, Tools and Techniques
(CRC Press, 2012), e-policy: How to Develop Computer, E-mail, and Internet Guidelines to Protect
Your Company and Its Assets (AMACOM, 1998), Overly on Electronic Evidence (West Publishing,
2002), The Open Source Handbook (Pike & Fischer, 2003), Document Retention in The Electronic
Workplace (Pike & Fischer, 2001) e Licensing Line-by-Line (Aspatore Press, 2004).
Isenção de responsabilidade: as leis mudam frequente e rapidamente. Elas também estão
sujeitas a interpretações diferentes. O leitor deve analisar o estado atual da legislação com um
advogado qualificado e outros profissionais antes de apoiar-se nela. Nem o autor, nem o editor
oferecem qualquer garantia sobre os resultados da utilização a que este whitepaper se destina.
Este whitepaper é fornecido com o entendimento de que o autor e o editor não estão envolvidos no
fornecimento de serviços jurídicos ou profissionais para o leitor.
20
Kaspersky Endpoint Security for Business
A Kaspersky oferece uma abrangente plataforma de segurança para ajudar a proteger sua
empresa — não importa se você deseja gerenciar, proteger e controlar todos os seus endpoints
(físicos, móveis e virtuais), proteger seus servidores e gateways, ou gerenciar remotamente todo
seu ambiente de segurança.
O Kaspersky Endpoint Security for Business apresenta uma ampla lista de tecnologias, do
antimalware, controles de endpoints, criptografia, gerenciamento de dispositivos móveis (MDM),
até gerenciamento de sistemas, incluindo gerenciamento de correções e inventários de licenças.
E, conforme um número cada vez maior de empresas se dá conta dos benefícios da adoção de
iniciativas BYOD (Traga seu próprio dispositivo), que permitem aos funcionários usar seus
dispositivos móveis pessoais para atividades comerciais, você pode capacitar o BYOD por meio
da segurança móvel e do MDM.
Os produtos da Kaspersky Lab são desenvolvidos de forma que o administrador possa ver e
gerenciar todo o cenário da segurança em uma ‘exibição única’. Todos esses recursos funcionam
de maneira totalmente integrada, com o suporte da Kaspersky Security Network baseada em
nuvem, para oferecer a proteção superior de que as empresas precisam para combater ameaças
virtuais cada vez mais sofisticadas e diversificadas.
Desenvolvido por nós do início ao fim, o Kaspersky torna fácil para os administradores de TI
verem, controlarem e protegerem seu universo. Os módulos, as ferramentas e o console de
administração de segurança da Kaspersky são desenvolvidos internamente. O resultado é
estabilidade, políticas integradas, relatórios úteis e ferramentas intuitivas.
O Kaspersky Endpoint Security for Business é a única plataforma de segurança integrada
verdadeira do setor.
Sobre a Kaspersky
A Kaspersky Lab é o maior fornecedor privado de soluções de proteção de
endpoints do mundo. A empresa está classificada entre os quatro principais
fornecedores de soluções de segurança para usuários de endpoints do mundo.
Durante todos os seus 15 anos de história, a Kaspersky Lab continua sendo
inovadora em segurança de TI e fornece soluções de segurança digital eficientes
para consumidores, pequenas e médias empresas e grandes corporações.
Atualmente, a empresa opera em quase 200 países e territórios ao redor do globo,
fornecendo proteção para mais de 300 milhões de usuários em todo o mundo.
Saiba mais em http://brazil.kaspersky.com/produtos-para-empresas
21