Pesquisa de dados sensiveis

Os usuários costumam armazenar dados confidenciais, como números de cartão de crédito, números de CPF, endereços em seus sites, e com o tempo isso pode expor uma organização a riscos significativos de perda de dados.
Vou precisar aprender como localizar estes dados através de acesso remoto, armazenados tipo no Word, e Excel.
Podem me dar uma dica, por menor que seja com certeza vai me ajudar e muito.
Grata,
Aline

Seja bem vinda ao fórum @alinemansur!

Vou tentar abordar algumas coisas comentadas por você, espero que sejam úteis:

Com exceção dos endereços dos sites, que ficam no histórico do navegador, vejo que dados pessoas como CPF ficam armazenados para agilizar um cadastro, ficando pré cadastrado nas configurados no navegador e/ou no Gerenciador de Credenciais do Windows (vi que usa Windows e vou usá-lo como base):

Veja que na imagem abaixo, a esquerda mostra a origem do armazenamento e a direita quando foi modificado pela ultima vez, podendo exibir a senha ou excluir:

Podendo acessar as configurações de senha do navegador (google Chrome, por exemplo) e excluir, assim como no gerenciador de senhas do próprio Windows (conforme mencionado acima).

O risco de perda de informação seria mais em caso de infecção ou exposição e uma VPN não confiável, dentre as possibilidades.

Acredito que seja pouco provável que uma pessoa tenha um planilha com o nome: Senhas, pesquisar planilhas com essa finalidade seria um pouco improvável de encontrar. Caso encontre e o usuário tenha se precavido, provavelmente estará bloqueada para exibição, justamente para evitar que vejam as senhas salvas.

Mais provável o usuário ter um bloco de notas na naveta com as senhas.

Muitíssimo obrigada por sua imediata resposta.
A partir dela é que percebi o quanto minha pergunta foi mal formulada.
Reformulando…

Considere o seguinte cenário: Fui contratada pela Thespation Internation Food para auditar suas máquinas em relação à compliance GDPR / LGPD.
Podem ou não existir diversas informações sensíveis de clientes em suas bases de dados, tais como documentos do Word ou Excel contendo por exemplo, sexo, religião e cor de seus funcionários.
Agora a minha dúvida:
como não posso estar fisicamente em cada uma das estações de trabalho (lugares podem ser muito diferentes uns dos outros, considere como requisito a acesso remoto.)
Preciso entender este mecanismo para desenhar uma solução mais adequada ao cliente.
Caso apenas de estudo, mas o problema é muito real aí fora.
Se puder continuar ajudando, manda brasa.

Nesse ponto, consigo ainda observar duas possibilidades: auditar os micros clientes (funcionários e clientes, caso seja o caso) e o pessoal que administra quem trabalho, digamos que seja o RH, por exemplo.

Para as máquinas dos cliente ainda é válido o meu primeiro comentário, porem é necessário que a politica de acesso seja verificada, para que não exista a possibilidade de um usuário possuir permissão de escrita em disco, já evitando acréscimo de informações extras, visto que a estação de trabalho é uma ferramenta corporativa e não um micro doméstico, porem vai depender da politica de segurança adotada pela área de TI.

Segundo caso, vamos supor que a área de RH tenha um sistema de cadastro de funcionários e que nele tenha uma informação que não esteja de acordo, como citados exemplos acima; nesse caso seria interessante informar que aquele determinado dado não é necessário e que, na verdade, está ferindo as politicas predeterminadas. Acredito que seja mais por esse lado mesmo, um sistema central com dados cadastrados, para que outros sistemas acessem, não imagino alguém montado uma planilha para tal finalidade, mas não duvido também.

Um detalhe importante é que a empresa é responsável pelo armazenamento de dados e pode ser responsabilizada em caso de vazamentos.

Se você tiver um banco de dados de palavras chaves, você pode montar um sistema de pesquisa que pesquise palavras dentro de documentos e os exclua automaticamente OU mova este documento para análise.
A ferramenta de busca do Windows XP era excelente neste quesito de pesquisas. Você conseguia filtra EXATAMENTE o que queria e onde queria.

É muito por aí Miura, porém terei que me atentar ao acesso remoto.
Pode ser que a máquina tenha sido incorporada às operação recentemente e eu não conheça nada do seu conteúdo, sendo assim terei que buscar os dados às cegas.
A lógica do seu raciocínio é essa mesma.

thespation, no mínimo, você entendeu claramente o problema. O que eu busco é como fazer isso quando uma máquina está na Praça Vermelha em Moscou e a outra na praça da Paz Celestial em Pequim.
Se o cliente usa toda a plataforma dele na nuvem, como exemplo Office 365 e Azure, as ferramentas para isso já existem nativamente.
Mas e quando é tudo misturado, como na realidade são as coisas?
Se um hacker, sem o seu conhecimento, nem mesmo a menor suspeita, entra na sua máquina e descobre aquela imagem, como é que se você for o dono da máquina não vai conseguir?
Sei que minha explicação está longe de ser a melhor porém estou evoluindo.
Valeu e muito por sua ajuda, não desista por gentileza.

Pensei em algumas alternativas, mas antes seria interessante tirar alguma dúvida:

Essas máquinas que precisam ser auditadas fazem parte de um domínio de rede com usuário estabelecido pela organização ou seria de funcionário autônomo? Aquele que usa máquina própria para atividades do serviço e ainda usa a máquina para fins pessoais.

Pergunto isso porque as soluções podem ser diferentes, inclusive a ferramenta de acesso remoto.

Vamos considerar os dois cenários.
BYOD hoje é moda, todos trabalham usando seu próprio dispositivo, até quando não podem o celular está presente. rs…
Pode acontecer também de determinado conjunto de máquinas estarem atreladas a um servidor de domínio.
Acredito que estou vendo a luz no fim do túnel.

1. Considerando uma máquina de rede e que o usuário que usa o micro não necessariamente precisa saber que está sendo auditado, visto que é algo preestabelecido e todos passarão por isso:
   Buscaria saber quem é responsável pelo escritório, alguém que posso auxiliar e tenha o conhecimento para informar quem saberia dizer quais são as máquinas, caso todas as máquinas necessitem passar por esse procedimento, é fundamental que um notebook guardado em um gaveteiro não fique de lado. Normalmente a equipe de informática tem um inventário de micros.

Acredito que seja o senário mais fácil, pois uma máquina em rede e em contato com alguém de suporte que tenha a senha adm, é possível acessar a maquina remotamente (bastando ter o IP, exemplo: \10.10.10.55\c$ para acessar a raiz do disco C:).

Com isso teria acesso as pastas, poderia buscar as informações salvas em documentos de textos, planilhas, pdf, entre outros e caso necessitasse abrir determinado aplicativo com o perfil do usuário, teria que realizar um acesso remoto e acompanhar mesmo.

2. Para micros fora de domínio: Aqui podemos dividir em 2, os que, por ventura, o usuário é adm do micro e os que não são:
   Para os que não são complica bastante, pois não conseguirá instalar uma ferramenta que possa ser usada como cliente em caso de acesso remoto e pode não ter o conhecimento nem paciência para colaborar. Usuário reativo agressivo é super difícil de lidar, ainda mais quando acha que você está tentando fazer algo conta ele.

Não sei se tem alguma ferramenta de acesso remoto, porem vou te indicar o Skype. Por que o Skype?

• Efetua ligação e vídeo conferencia: ideal se apresentar e deixar claro o que pretende fazer.
• Compartilhamento de tela
• Funciona na versão Web, não há necessidade de instalar e ainda é possível realizar o acesso remoto, permitindo até quem não é adm da máquina compartilhar contigo.

Nesse caso, acesso e busca de informações nos micros pessoais, seria interessante buscar informaçãos de quais são os limites, pois acredito que se uma determinada pessoa tiver uma pasta chamada: Documentos do meu filho e ver abrir documento um a um, essa pessoa possa se ofender, acredito que dependa muito da forma que vai explicar no inicio da coverda.

Sem palavras.

Eu poderia suportar, embora não sem dor, que tivessem morrido todos os meus amores… mas enlouqueceria se morressem todos os meus amigos!!!
Vinícius de Moraes

Neste tipo de cenário, se for orientado a empresa entrar com um solicitação proibitiva de uso de equipamentos pessoais OU autorização mediante a instalação da determinada ferramenta, futuramente caso algum imprevisto ocorra, não seria um argumento base para defesa da própria empresa? Inclusive, pensando na CLT Brasileira, possibilidade de demissão por justa causa?

Olá Miura, bom dia!
Acredito que sim, porém não se esqueça que à luz da legislação, a responsabilidade será da empresa não do recurso.

Desde que as regras sejam claras e você de alguma forma concordou, sim, pode ser punido e até demitido com base nessa regra. Exemplificando, trabalhei em uma lugar que me deram uma apostila com 34 páginas de regras internas e eu tinha que assinar um termo informando que estava de acordo.

Também passei por outros clientes que não era assim, porem eventualmente me informavam que existia uma regra, porem não apresentavam essa regra por escrito nem de onde vinha, parecia mais um dito popular, desse modo a empresa pode até te demitir, mas não informará o real motivo.

Quanto a vazamento de informações, o ideal é que um notebook tenha senha na bios e criptografia com senha forte, para caso seja furtado em trajeto não comprometa vazamento de informações empresarias.

Sim! Mas como dito, infelizmente não temos como prever quem utilizará ou como utilizarão os equipamentos pessoais, como você própria disse acima:

A empresa SEMPRE será a responsável, porém, caso algo ocorra, a empresa pode entrar com uma ação judicial (Desde que previamente assinado em contrato) em cima do funcionário que desacatou a ordem da empresa. Isto não resolveria o seu trabalho, porém é uma forma da empresa tentar minimizar o uso indevido de dispositivos.

Essa thread foi interessantíssima. A LGPD vem aí e tem muita gente que não está preparada.
Eu recomendo a série de episódios que o podcasts Segurança Legal vem fazendo sobre o tema.

Olá @alinemansur, conseguiu progredir com esse assunto?

Acabei citando uma resposta desse tópico e fiquei curioso sobre o desenrolar.