Resolvendo Todos Os Problemas Do Windows E Outros Programas

Gerentes de TI veem risco de segurança em dispositivos de armazenamento portátil

Lenny Goodman, um diretor de IS da Baptist Memorial Health Care Corp. em Memphis, disse que sua empresa recentemente se viu lidando com uma proliferação de unidades de porta USB plug-and-play de propriedade do usuário que representavam um risco de segurança para dados confidenciais de pacientes.

O novo paradigma é que era difícil copiar muitos dados para um disquete e não permitíamos gravadores de CD. De repente, porém, surge a unidade flash USB com enorme capacidade, instalação zero, etc. Muito útil, muito arriscado - arriscado tanto como forma de saída de dados quanto de malware, disse Goodman. Tínhamos que fazer algo.



O resultado: o Baptist Memorial criou políticas rígidas sobre o uso de pen drives, iPods e outros dispositivos de armazenamento portáteis padronizando os pen drives com criptografia nativa e proteção por senha. A HIPAA exige que todas as organizações de saúde desenvolvam uma metodologia para contabilizar todas as mídias removíveis, disse Goodman.



Mas com mais de 42 milhões de iPods da Apple Computer Inc. vendidos até agora apenas nos EUA, a ameaça de roubo de dados ou perda de download de informações em um dispositivo com porta USB está crescendo exponencialmente, de acordo com analistas.

Um iPod é apenas armazenamento no final de um fio, disse John Webster, analista sênior e fundador do Data Mobility Group em Nashua, N.H. Você já vê pessoas correndo com iPods, usando-os como dispositivos de backup. Os dispositivos de armazenamento USB são uma fonte potencial de vazamento de dados.



Em reação às preocupações dos gerentes de TI sobre ameaças de perda de dados, os fornecedores de TI estão oferecendo segurança para dispositivos de memória flash.

Pen drive USB da Kingston

Kingston Technology Company Inc. esta semana introduzido uma unidade flash USB que protege os dados usando proteção por senha e criptografia AES baseada em hardware de 128 bits.

Oferecendo até 4 GB de armazenamento seguro, o dispositivo DTE Privacy Edition da Kingston foi projetado para atender aos requisitos de segurança e conformidade de nível empresarial. A unidade possui um mecanismo que bloqueia usuários em potencial após 25 tentativas consecutivas de senha sem sucesso.



No mês passado, a SanDisk Corp. em Sunnyvale, Califórnia, anunciou que aumentará a segurança em sua linha de unidades flash USB e cartões móveis usando a tecnologia TrustedFlash. TrustedFlash combina a arquitetura de controlador de 32 bits da SanDisk com um mecanismo criptográfico integrado para fornecer criptografia em tempo real.

Eric Ouellet, vice-presidente de pesquisa de segurança da Gartner Inc. em Stamford, Connecticut, disse que apenas cerca de 10% das empresas têm políticas relacionadas a dispositivos de armazenamento removíveis.

Na verdade, é um problema bastante grande, disse Ouellet. Você tem muito espaço sobre essas coisas agora. Você pode escolher um iPod ou MP3 player com 60 GB ou mais. Você pode colocar um pequeno banco de dados sobre eles. É apenas uma questão de tempo antes de ouvirmos sobre alguém perdendo dados por causa disso.

Ele sugere que as empresas considerem um software de monitoramento de unidade flash em PCs e laptops de empresas como a Pointsec Mobile Technologies, Inc. em Estocolmo e a Utimaco Safeware Inc. em Foxboro, Massachusetts, que podem bloquear unidades USB ou exigir que tenham criptografia e proteção por senha para funcionar.

Para uma solução gratuita, mas sem sofisticação, Ouellet disse que as empresas podem usar os recursos de bloqueio nativos da plataforma Windows.

Vimal Vaidya, CEO da Red Cannon Security Inc., com sede em Freemont, Califórnia, disse que começou o teste beta do drive criptografado da Kingston há cerca de nove meses. Sua empresa agora possui centenas deles e os revende com sua própria criptografia e proteção por senha, bem como com monitoramento de dispositivos e software de relatórios.

Você pode rastrear usuários de dispositivos de porta USB e monitorar o que é copiado para um dispositivo e o que é retirado do dispositivo. Você também pode definir políticas sobre como o dispositivo deve ser usado, disse Vaidya.

A Kingston disse que tem como alvo as empresas e o mercado B2B com seu cartão de memória. O roteiro de produtos da empresa inclui o agrupamento do dispositivo USB com software que permite aos funcionários de TI definir o acesso de segurança baseado em funções às portas, o que significa que o dispositivo pode ser configurado para ser somente leitura para alguns usuários. Outra oferta de software planejada pela Kingston gerenciará o fluxo de dados para uma unidade USB e criará uma trilha de auditoria.

O Baptist Memorial, que atualmente usa a versão de 1 GB do drive USB de Kingston, é uma corporação de US $ 1 bilhão com 20 hospitais e uma rede de ambulatórios e instalações de cirurgia ambulatorial, clínicas e outras instalações de saúde.

Goodman disse que, além do risco de segurança, sua empresa está tentando coibir o uso inadequado de recursos corporativos, por isso também implantou um aplicativo de monitoramento de porta USB e aplicação de políticas da Safend Inc., com sede na Filadélfia

a mais nova atualização de recursos do Windows está aqui

Sentimos que estamos à frente de nossa indústria em geral no reconhecimento da extrema exposição de dispositivos USB plug-and-play ultrapequenos e de capacidade ultraperiférica, disse Goodman.

Os funcionários da Apple foram questionados sobre se eles têm planos de aumentar a segurança dos produtos iPod, mas não quiseram comentar .;

A Baptist Memorial Health Care Corp., em Memphis, adotou uma abordagem de quatro frentes para proteger os dados que poderiam vazar por meio de dispositivos portáteis:

1 Conduzir programas de conscientização executiva e administrativa e desenvolver uma política administrativa que fosse aplicável.

2 Audite o ambiente de TI e encontre todos os dispositivos conectados (USB, serial, Fire Wire, wireless e infravermelho).

3 Implemente a tecnologia de controle de portas e desligue dispositivos específicos que não tinham justificativa e aprovação comercial legítima.

Quatro. Fornece um dispositivo padrão corporativo para fins de transporte de dados aprovados.