Mitigar vazamentos de dados internos é um dos grandes desafios enfrentados pelas corporações, desde que se tornaram ativos importantes para a continuidade do negócio. Nesse sentido, a T2S TI apresentou um estudo de caso que indica como a resposta mais eficiente para esse cenário é estabelecer visibilidade sobre as informações e suas interações com os usuários.
“Geralmente, as organizações se preocupam bastante com o que está na superfície, ou seja, com ameaças externas. Mas com frequência, o maior desafio pode estar abaixo dessa visão externa, onde atuam usuários e colaboradores. São nesses espaços que o controle pode estar em falta”, afirmou Vinicius Pulita, Head de Suporte e Implantação de TI da T2S TI, durante apresentação no Security Leaders Rio de Janeiro 2025.
De acordo com o profissional, parte importante desses vazamentos internos ocorrem devido a erros humanos ou decisões intencionadas dos usuários, quando há acesso premeditado a registros confidenciais com vistas a vazar dados em troca de algum benefício. “Esses casos ocorrem, por exemplo, com o envio de um e-mail com dados sigilosos ao destinatário incorreto por negligência, ou publicação de uma informação por orientação de um agente hostil”, explica.
Para mitigar esse risco, Pulita orienta ser necessário implementar uma série de controles no dispositivo, como criptografia de comunicações dentro e fora da companhia. Além disso, outras estratégias são bastante úteis, como monitorar o uso de ferramentas de transmissão de dados, desde e-mails até capturas de tela em dispositivos mobile.
Um exemplo ocorreu em um dos clientes da própria T2S TI, atuante no fornecimento de eletricidade. Neste caso em específico, o Head de Suporte comenta que, em uma situação de vazamento de dados, as maiores ameaças estavam nos impactos financeiros e reputacionais da organização. Portanto, era essencial que eventuais brechas de disseminação como essas fossem fechadas rapidamente.
“Nesse caso, nosso requisito principal era evitar que esses dados sigilosos vazassem para o público. Assim, por meio de uma ação monitorada, é possível criar processos de registros em uma trilha de auditoria do usuário. Isso pode ser bloqueado como forma de evitar o compartilhamento de dados confidenciais”, disse o executivo.
Outra demanda apontada era avançar na implementação de uma solução para mitigar o risco, mas sem atrapalhar a produtividade e o dia a dia dos usuários. Diante disso, a empresa também adotou uma estratégia de marca d’água dinâmica de tela. Ou seja, a ferramenta consegue ser aplicada em dispositivos e pode conter os dados tanto do equipamento como do usuário.
“Eu posso trazer endereço IP, o MAC address, o nome de usuário e campos que eu posso trazer da atividade vector. Isso se torna interessante porque podemos ter diferentes configurações de marca d’água para diferentes grupos de usuário. Por fim, é de interesse das empresas criar a possibilidade desse sistema contar com um requisito particular de cada setor da empresa”, encerra Pulita.
