Protegendo dispositivos e dados

de usuários na era dos negócios digitais

As empresas de porte intermediário devem implementar métodos

de segurança para se ajustarem a novos estilos

Protegendo dispositivos e dados de usuários na era dos negócios digitais2

IntroduçãoNa era dos negócios digitais, uma força de trabalho altamente produtiva é essencial. Hoje, os profissionais do conhecimento nas empresas de porte intermediário são móveis e muitas vezes trabalham em locais remotos. Para alcançar o nível de produtividade que eles e as empresas exigem, os profissionais do conhecimento querem e esperam colaborar com colegas de trabalho e interagir com clientes e parceiros onde quer que eles estejam no mundo, com segurança, a qualquer momento do dia ou da noite.

Antes da era digital, os funcionários gastavam seus dias em um prédio de escritórios e o perímetro de segurança era o próprio edifício. Mas, com uma força de trabalho que é frequentemente móvel ou remota, ideias tradicionais para a defesa do perímetro não são mais relevantes. Os responsáveis pelas decisões de tecnologia enfrentam um imenso desafio: A segurança deve ser implementada para cada usuário e cada dispositivo em toda a empresa, não apenas em uma rede de área local no interior de um único edifício.

Para ajudar a resolver os problemas de segurança enfrentados pelos responsáveis pelas decisões de tecnologia em empresas de médio porte, a Dell EMC contratou o estudo que é o assunto deste relatório. Este relatório orienta os resultados da pesquisa e avalia o significado deles.

Tipos de profissionais Para ter uma visão precisa das necessidades de segurança de dados dos profissionais da área de conhecimento, os responsáveis pelas decisões de tecnologia das empresas de médio porte se beneficiarão da análise de suas forças de trabalho em quatro tipos fundamentais de usuários. Os tipos são flexíveis e se sobrepõem até certo ponto, e muitas empresas têm tipos exclusivos que são híbridos desses quatro. A pesquisa descobriu que os profissionais se enquadram nesses tipos:

1. Funcionário de escritório (70%) são fixos principalmente em escritório e em uma mesa.

2. Funcionários versáteis (12%) são fixos principalmente em escritório, mas móveis dentro do escritório ou do chão de fábrica.

3. Funcionários remotos (8%) não são fixos em escritório, mas ainda principalmente em uma mesa.

4. Profissionais externos (10%) são principalmente móveis.

Ameaças à segurança e demandas normativas Os estilos de trabalho atuais aumentam o desafio que as organizações enfrentam para manter os dados seguros. As ameaças continuam a se expandir em número, sofisticação e severidade. Os ataques não são apenas de hackers isolados, mas também de estados e nações empenhados em espionagem industrial ou sabotagem cibernética. Ao mesmo tempo, organizações criminosas tentam manter os dados como reféns em troca de resgate e buscam informações de identificação pessoal para fins de roubo de identidade.

Phishing e spear-phishing são vetores populares de ataques persistentes avançados, que podem permanecer ativos em um ambiente por muitos meses. Os ataques que visam o BIOS dos computadores podem ser especialmente perigosos, pois permanecerão ativos mesmo depois que um computador for limpo e o sistema operacional for reinstalado.

Com uma força de trabalho que

é frequentemente móvel ou remota, ideias tradicionais para a defesa do

perímetro não são mais relevantes.

Protegendo dispositivos e dados de usuários na era dos negócios digitais3

Ataques internos, nos quais funcionários atuais ou antigos desviam dados, também devem ser combatidos. Um estilo de trabalho móvel significa que laptops, dispositivos 2 em 1, unidades USB e smartphones são totalmente vulneráveis a roubos.

Se tudo isso não bastasse, as exigências regulamentares dão grande ênfase à proteção de dados pessoais. Por exemplo, a GDPR (General Data Protection Regulation) da União Europeia entrou em pleno vigor em maio de 2018, com severas penalidades por descumprimento. A GDPR tem implicações globais. Qualquer empresa de médio porte que faça negócios em países da UE ou tenha cidadãos da UE como clientes deve cumpri-lo ou enfrentarão penalidades.

Além da GDPR, normas específicas do setor continuam em vigor. Por exemplo, as organizações de médio porte do setor médico devem estar em conformidade com as disposições de proteção de dados da HIPAA (Health Insurance Portability and Accountability Act), e as empresas dos setores de serviços financeiros e de varejo devem estar em conformidade com o diretrizes da PCI DSS (Payment Card Industry Data Security Standard) para a proteção de dados de cartões de pagamento.

Segurança e produtividade

A maioria dos responsáveis pelas decisões de tecnologia estão bem cientes das ameaças de segurança e implementaram, em algum grau, medidas de proteção de dados em suas organizações. Mesmo assim, os funcionários das organizações de médio porte geralmente contornam os protocolos de segurança corporativa. A pesquisa descobriu que 37% dos entrevistados às vezes trabalham fora da segurança organizacional [consulte o gráfico abaixo]. No entanto, esse número pode ser otimista, já que a resposta dos entrevistados da pesquisa é por autoavaliação e eles podem estar inclinados a não admitir tal atividade.

37%

SimNão

63%

Por que os funcionários fazem isso? 63% afirmam que é a maneira mais eficaz de fazer o trabalho. Em um exemplo de cenário, um gerente de projetos pode se encontrar em casa depois de uma viagem de negócios e precisa verificar dados dentro de um aplicativo corporativo. Se os protocolos de segurança corporativa forem muito complicados, é provável que ele os evite e acesse os dados e o aplicativo em um sistema doméstico.

37% dos funcionários

admitem às vezes trabalhar fora

dos protocolos de segurança corporativa.

Às vezes você trabalha fora do protocolo de segurança de sua organização?

Protegendo dispositivos e dados de usuários na era dos negócios digitais4

Curiosamente, a pesquisa constatou que 42% dos funcionários afirmam que sua organização ou gerência aceita esse comportamento [consulte o gráfico abaixo].

É a maneira mais eficiente de executar o trabalho.

Receber aprovação da TI é difícil ou leva muito tempo

para ser aprovada.

Minha organização ou gerência está de acordo com isso.

A pesquisa revelou uma ampla variedade de atividades realizadas fora dos protocolos de segurança corporativa. 71% dos entrevistados afirmam que compartilham dados relacionados ao trabalho usando e-mail privado ou compartilhamento de nuvem privada várias vezes por mês. No entanto, a frequência com que os entrevistados compartilham dados usando uma chave USB ou um CD com terceiros deve ser uma razão de preocupação específica. Esse comportamento é uma causa frequente da perda de dados e 62% deles afirmam que fazem isso várias vezes por mês [consulte o gráfico abaixo].

Compartilho dados relacionados ao trabalho usando e-mail privado ou

conta de compartilhamento de nuvem privada

Compartilho dados por chave USB ou CD

com terceiros

Faço backups de dados relacionados ao trabalho

em uma unidade de disco rígido de PC privado,

ou NAS privado

Instalo aplicativos ou complementos de

software para minha produtividade sem

aprovação da TI

Produzo conteúdo ou dados relacionados ao trabalho

em dispositivos não protegidos pela TI

Colaboração com dados confidenciais

A colaboração é uma atividade essencial para os profissionais de empresas de médio porte. Como os dados são normalmente compartilhados durante a colaboração, a confidencialidade dos dados que são compartilhados é uma preocupação importante. Dessa forma, a pesquisa indagou sobre o nível de confidencialidade dos dados compartilhados com mais frequência [consulte o gráfico na próxima página]. Significativamente, 33% dos dados compartilhados se enquadram nas três principais categorias de confidencialidade (propriedade intelectual crítica ou dados altamente regulamentados, IP de alto valor ou dados regulamentados e dados restritos e valorizados).

Por que você acha que é necessário trabalhar fora do protocolo de segurança de sua organização?

Com que frequência você:

42% dos funcionários

dizem que sua organização ou gerência está de acordo com eles trabalhando fora dos protocolos de segurança.

Protegendo dispositivos e dados de usuários na era dos negócios digitais5

Propriedade intelectual crítica ou dados altamente regulamentadosIP de alto valor ou dados regulamentaresDados confidenciais e estratégicosDados restritos e valiosos

Dados internos e confidenciaisBaixa confidencialidade e perecíveisComuns e triviaisPúblicos e não sensíveis

A confidencialidade dos dados compartilhados em toda a organização tende a ser ainda maior. 40% dos dados compartilhados estão dentro das classificações de maior confidencialidade [consulte o gráfico abaixo].

Propriedade intelectual crítica ou dados altamente regulamentadosIP de alto valor ou dados regulamentaresDados confidenciais e estratégicosDados restritos e valiosos

Dados internos e confidenciaisBaixa confidencialidade e perecíveisComuns e triviaisPúblicos e não sensíveis

Muitas vezes, os funcionários se encontram em reuniões usando equipamentos de TI, seja fazendo apresentações ou participando de reuniões de equipe. Nessas reuniões, os dados são normalmente compartilhados e, por isso, a segurança é uma preocupação. 37% dos profissionais se encontram semanalmente para compartilhar e colaborar em salas de reunião usando um projetor ou uma TV [consulte o gráfico abaixo].

Diariamentealgumas vezes por semana

Algumas vezes por mêsalgumas vezes a cada três meses

Algumas vezes por anonunca

Com um maior aprofundamento, a pesquisa revelou que, embora o compartilhamento ocorra com mais frequência entre colegas e parceiros confiáveis; em 22% do tempo, os clientes potenciais de vendas e o público, seja a imprensa ou o público em geral, participam de compartilhamento e colaboração. Esse padrão indica que os dados confidenciais podem ser expostos a pessoas fora da empresa com mais frequência do que alguns podem perceber.

33% dos profissionais compartilham

dados dos mais altos níveis de sensibilidade

com mais frequência.

Como você descreveria o nível de sensibilidade dos dados que você compartilha com mais frequência?

Qual é o nível mais alto de sensibilidade dos dados que você compartilha pela rede da organização?

Com que frequência você compartilha/colabora em salas de reuniões usando um projetor ou uma TV?

Protegendo dispositivos e dados de usuários na era dos negócios digitais6

Público-alvo público e não identificado (por exemplo, Youtube)Público-alvo, mas registrado (por exemplo, webinar público)Clientes potenciais de vendas ou potenciais parceiros

Colegas e clientes/parceiros confiáveis (por exemplo, partes vinculadas por um contrato de não divulgação)Apenas colegas/apenas público-alvo interno

Requisitos estratégicos de segurança

O estilo de trabalho móvel e o compartilhamento de dados frequentemente confidenciais criam um desafio de segurança assustador. Todas as organizações implementam medidas de segurança, mas, quando elas são ignoradas, os dados são expostos ao crescente número de sofisticadas ameaças de segurança. Como a maioria dos líderes de negócios sabem, as consequências da perda de dados podem ser devastadoras.

Por exemplo, a perda de propriedade intelectual para concorrentes ou dos estados e nações pode subverter o modelo de negócios de uma empresa. Se os produtores no exterior e de baixo custo obtiverem conhecimento dos segredos comerciais, uma empresa poderá enfrentar rapidamente um mercado inundado de produtos econômicos que contêm a propriedade intelectual exclusiva. Um cenário semelhante tem o potencial de tirar uma empresa do mercado.

Quando os dados do cliente são roubados, as perdas podem chegar a milhões de dólares, resultantes de reclamações de dados causados por roubo de identidade, bem como penalidades de conformidade regulamentar. Em um caso bem conhecido, uma grande rede de varejo dos EUA teve esse mesmo destino. Ao mesmo tempo, as organizações da área de saúde frequentemente enfrentam multas de severidade variável quando os dados são comprometidos com a violação das normas da HIPAA. Nos setores de serviços financeiros e de varejo, não são incomuns as multas por descumprimento do PCI-DSS.

Com qual público-alvo você compartilha/colabora em salas de reuniões usando um projetor ou uma TV?

Protegendo dispositivos e dados de usuários na era dos negócios digitais7

Medidas de segurança necessárias

Para evitar as consequências de violações e perda de dados, as medidas de segurança são essenciais. Os dispositivos devem ser seguros, os dados devem ser criptografados e as permissões do usuário devem estar em vigor. Estas são as quatro principais etapas da segurança que todas as empresas de médio porte devem realizar:

1. Proteção do BIOS. Um BIOS corrompido pode conter um malware que sobrevive à “limpeza total” de um sistema ou à reinstalação do sistema operacional. Um sistema que inclui proteção de BIOS pode evitar que isso aconteça.

2. Criptografia. Uma ferramenta de proteção de dados essencial, a criptografia deve ser implementada onde for necessário para os dados em repouso (armazenados em um sistema) com para dados em movimento (trafegando em uma rede).

3. Autenticação avançada. Certificar-se de que os usuários são quem eles dizem que são é essencial para manter os dados seguros. É recomendável a autenticação de dois fatores onde quer que seja possível implementar.

4. Proteção contra malware de última geração. Os softwares antivírus e antimalware tradicionais não conseguem acompanhar as ameaças de hoje. A inteligência artificial e a aprendizagem automática podem interromper ameaças desde o início.

Conclusão O panorama da TI móvel e remoto da era dos negócios digitais chegou para ficar. A capacidade que os funcionários possuem de acessar dados e aplicativos sempre que eles precisarem ou onde quer que eles estejam é um ativador de produtividade revolucionária que faz com que as organizações de médio porte e seus funcionários agreguem um grande valor.

No entanto, esse estilo de trabalho tende a expor dados às ameaças como nunca antes, especialmente quando dados confidenciais são acessados e compartilhados e quando as medidas de segurança corporativa são burladas. Consequentemente, os responsáveis pelas decisões de tecnologia enfrentam desafios significativos na proteção de dados — desafios que devem ser cumpridos se forem capazes de criar forças de trabalho produtivas que suas organizações exigem. Sobretudo, os dispositivos dos funcionários e os dados presentes neles devem ser protegidos com tecnologia que seja simplificada e não atrapalhe os funcionários enquanto executam suas tarefas.

Os responsáveis pelas decisões de tecnologia devem prestar atenção aos resultados da pesquisa descrita neste artigo. Eles devem implementar uma gama abrangente de tecnologias, como as da Dell EMC, que oferecem a máxima proteção de dados e, ao mesmo tempo, possibilitam o estilo de trabalho da era dos negócios digitais. Como a grande maioria das violações começa nos endpoints, concentrar-se na segurança dos endpoints é essencial.

Uma estratégia robusta de segurança que inclua autenticação, criptografia (em nível de arquivo e de nível duplo) e prevenção avançada contra malware, utilizando IA e aprendizagem automática, permite que uma organização mantenha os dados seguros e, ao mesmo tempo, habilite a dinâmica de trabalho de todos.

Quando os dados do cliente são roubados,

as perdas podem chegar a milhões de dólares, resultantes de reclamações de

dados causados por roubo de

identidade, bem como penalidades de conformidade

regulamentar.

Protegendo dispositivos e dados de usuários na era dos negócios digitais8

Os líderes de TI devem procurar um provedor único de tecnologias de segurança que protejam os dados e impeçam ameaças. Um parceiro de valor deve implementar a proteção de hardware e software. Por exemplo, o provedor de hardware deve, conforme apropriado, incorporar a  segurança aos dispositivos e ao software que ele produz. E o provedor deve cuidar dos processos de projeto, fabricação e entrega para reduzir o risco de uma introdução de malware ou peças falsificadas.

As inovadoras soluções de segurança da Dell são feitas para a dinâmica de trabalho das pessoas, permitindo a colaboração eficiente e segura e uma experiência melhor para os funcionários. A Dell fornece proteção de hardware e software, reduzindo o número de fornecedores diferentes de segurança que uma organização deve usar. A Dell incorpora em seus produtos sua propriedade intelectual, bem como as inovações tecnológicas de parceiros estratégicos. Além disso, a Dell aproveita seu legado de PCs para trazer a segurança à camada do firmware por meio de recursos como a proteção do BIOS.

A Dell oferece os PCs comerciais mais seguros do mundo habilitados pelos processadores Intel® CoreTM vProTM, com soluções de segurança de endpoint líderes do setor, que incluem proteção do BIOS, criptografia de dados, autenticação avançada e opções de proteção contra malware de última geração.1 A Dell cumpre sua promessa de Dispositivos Confiáveis com um portfólio de produtos e recursos que incluem:

SafeBIOS

• O SafeBIOS oferece verificação exclusiva off-host do BIOS para obter visibilidade de possível adulteração do BIOS, o que pode ser um sinal de ataque altamente técnico e invasivo.

SafeID

• O SafeID, disponibilizado apenas pela Dell, oferece a integridade de autenticação, armazenando e processando com segurança as credenciais do usuário em um chip de segurança dedicado, longe dos ataques ao software.

• O SafeID usa recursos como o leitor de impressão digital integrado, Smart Card ou autenticação sem contato para acessar as credenciais conectadas e verificar se os usuários estão autorizados.

SafeData

• Colaboração inteligente é colaboração segura. Permitir que os usuários finais tenham a liberdade de colaborar de maneira inteligente, sabendo que os dados permanecem seguros, mesmo em ambientes diversificados.

• Proteger. Os dados ficam protegidos em um dispositivo com criptografia centrada no arquivo e continuam seguros mesmo quando compartilhados por e-mail, serviços em nuvem, dispositivos de armazenamento FTP e portáteis, por funcionários, prestadores de serviços, fornecedores e parceiros.

• Controlar. Os administradores definem os parâmetros para determinar quem tem acesso a quais dados e quando, além de como os dados podem ser usados.

• Monitorar. Realize análises de acesso aos dados, atividade e local, permitindo que os administradores identifiquem possíveis riscos de segurança.

SafeGuard and Response habilitado por Secureworks

O gerenciamento abrangente de ameaças com decisões de segurança inteligentes e imediatas habilitadas pela telemetria de endpoints e validadas por especialistas dedicados de segurança pode:

• Evitar 99% das ameaças de malware em endpoint.2

• Detectar ameaças que não são malware, mas já estão escondidas no ambiente e obter um plano de ação para uma solução com foco.

• Responder aos incidentes cibernéticos com rapidez e eficiência ou até mesmo se preparar antecipadamente para os imprevistos.

Segurança completa da Dell

Com uma abordagem de segurança multicamada em todas as soluções da Dell EMC, incluindo servidores de rack e torre líderes do setor, armazenamento e soluções de HCI, a Dell EMC oferece um data center moderno e seguro que é resiliente desde o início. As soluções de segurança da Dell operam em conjunto para envolver dados com segurança que migra com os dados onde quer que eles estejam em toda a infraestrutura de TI e além. O resultado: Os gerentes de TI obtêm mais controle sobre todo o ecossistema conectado para proteger os ativos de TI, da empresa e de clientes.

E o melhor de tudo, as soluções da Dell Financial Services podem abranger tudo o que a Dell Technologies oferece, incluindo hardware, software e TI de terceiros e as organizações de médio porte podem obter toda a tecnologia de segurança e o software necessários antecipadamente para proteger seus investimentos em hardware.

1. Com base em uma análise interna da Dell, outubro de 2017. Nº AD jurídico: A13001497

2. Plataforma CrowdStrike Endpoint Protection, comparação de antivírus, outubro de 2018, nº AD 19000006

Dell - a parceira de segurança certa para proteger dados e dispositivos

Protegendo dispositivos e dados de usuários na era dos negócios digitais9

Para saber mais sobre como a Dell EMC pode ajudar as empresas de médio porte com suas necessidades de tecnologia, visite nosso site dedicado em soluções para empresas de médio porte.

Para um estudo mais detalhado, leia o relatório de pesquisa “A experiência dos funcionários: A pesquisa revela a importância da tecnologia para despertar a motivação, aprimorar a produtividade e fortalecer a segurança”.

Recursos adicionaisDell Endpoint Security

Dell ProSupport

Dell Financial Services

Sobre a pesquisa A Dell EMC patrocinou uma pesquisa com 1.327 funcionários de empresas de médio porte. Empresas de médio porte consistem em organizações com 100 a 499 funcionários. A pesquisa abrangeu as regiões da América do Norte, Europa Ocidental, Japão, América Latina e Índia. Os setores verticais incluíram Educação, Energia, Finanças, Logística de fabricação e Varejo, Área de saúde, Mídia e entretenimento, Tecnologia e P&D. Os entrevistados na pesquisa foram consultados no verão de 2018.

Copyright © 2019 Dell, Inc. ou suas subsidiárias. TODOS OS DIREITOS RESERVADOS. Dell, EMC, Dell EMC e outras marcas comerciais são marcas comerciais da Dell Inc. ou de suas subsidiárias. Outras marcas comerciais podem pertencer a seus respectivos proprietários. Nenhuma parte deste documento pode ser reproduzida ou transmitida em nenhum formato nem por nenhum meio, eletrônico ou mecânico, incluindo fotocópia e gravação para qualquer finalidade sem o consentimento prévio, por escrito, da Dell, Inc. ou suas subsidiárias. ESTE WHITE PAPER SE DESTINA SOMENTE A FINS INFORMATIVOS E PODE CONTER ERROS DE DIGITAÇÃO E IMPRECISÕES TÉCNICAS. O CONTEÚDO É APRESENTADO NO ESTADO EM QUE SE ENCONTRA E SEM GARANTIAS EXPLÍCITAS OU IMPLÍCITAS DE NENHUM TIPO.