Cybersecurity: as camadas eficientes da proteção

Na opinião de Luis Casuscelli, diretor de Big Data e Security da Atos América do Sul, para garantir a segurança das informações sensíveis nas empresas, os gestores de tecnologia, riscos e de negócios devem pensar em múltiplos processos de controle

Compartilhar:

* Por Luis Casuscelli

Dados de mercado apontam que, enquanto no Brasil o valor de cada dado roubado pode chegar a U$ 78, na Europa o número chega a U$ 217. Somente no setor de Pharma, por exemplo, o custo médio global pode chegar a U$ 365. Diante deste cenário, cada empresa busca proteger a informação de maneira distinta. Quanto vale a imagem da sua organização? Quanto custa recuperar a confiança dos consumidores? Se você se questiona sobre esses pontos, é claro que está buscando proteger sua empresa.

Geralmente, a proteção da informação deve ser pensada para todo o seu ciclo de vida: na sua criação, em trânsito, em processamento, em repouso e no seu descarte. Na etapa de sua criação, deve-se atentar para a definição dos usuários autorizados ao acesso desta informação. Podemos entender a informação em trânsito como aquela que está sendo transmitida durante um diálogo, transferência de arquivos ou distribuição física. Em repouso, é a informação latente, não manipulada, como arquivos físicos ou bancos de dados. A informação em processamento é aquela que está sendo manipulada para convertê-la, como quando os aplicativos acessam os dados para obter resultados. Neste estado, a informação original deve ser protegida. Por último, o descarte da informação deve ser realizado de forma a evitar a recuperação não autorizada.

A proteção da informação não é um processo meramente tecnológico, deve-se também considerar a conscientização dos usuários das informações para tratar conteúdo confidencial (informação de clientes, inteligência competitiva, know how operacional) de acordo com as normas e políticas corporativas. Para garantir a segurança das informações sensíveis nas empresas, os gestores de tecnologia, riscos e de negócios devem pensar em múltiplos processos de controle, desde proteção lógica da transmissão de dados, passando pela criptografia dos bancos de dados, até a proteção ao acesso à memória durante o processamento dos dados.

Para um conjunto de controles mais eficiente, sugiro aplicar o conceito de defesa em profundidade (defense-in-depth), adequando o grau de proteção à classificação de cada informação corporativa. Pense nisso como os anéis do tronco de uma árvore, no qual a informação a ser protegida encontra-se no círculo mais interno. Cada um deles é uma camada de segurança, complementar e modular. Por isso mesmo, deve-se identificar aonde os investimentos devem ser mais ou menos depositados, de acordo com a criticidade da informação em análise.

Se pensarmos do ponto de vista arcaico da segurança física, onde você colocaria as jóias da coroa? Obviamente na torre mais alta, com guardas, ponte levadiça e crocodilos protegendo todo o castelo. Considerando o lado da tecnologia, algumas soluções compatíveis seriam segurança perimetral (firewall), IPS/IDS, controle de aceso, criptografia etc. – em alguns casos, estes investimentos sairiam mais caros que o custo da própria informação.

Por outro lado, se a empresa classificar adequadamente as informações, entre não críticas e críticas ou confidenciais, os investimentos em controles de segurança tornam-se mais eficientes (menos complexos, mais assertivos e mais baratos), protegendo de fato a propriedade intelectual da organização.

Quebra de segurança
Há problemas gerados a partir do ambiente externo à organização. Não somente por usuários mal-intencionados, mas também pelos que não possuem a devida consciência do problema. Para evitarmos isso é preciso:

a) Garantir que quem acessa a informação seja quem deva acessá-la: Neste caso, devemos privilegiar as soluções de controle de autenticação e o provisionamento dos acessos. Devemos levar ao usuário soluções que lhe proporcione a usabilidade e segurança (porque esses conceitos não são necessariamente antagônicos);

b) Garantir que quem acessa o conteúdo esteja ciente do seu valor: aqui devemos investir na conscientização e nos programas internos de treinamento.

c) Garantir que as informações confidenciais não serão enviadas para o ambiente externo de forma sem autorização e monitoramento.

Caso o problema seja externo, devemos contar com soluções que nos permitam garantias de disponibilidade dos sistemas, como as soluções de Anti-DDoS (Anti Distributed Denial of Service). Segurança não é uma simples questão de fechar acessos, mas sim de avaliarmos quem pode entrar e quem pode sair nos sistemas em um cenário em que o avanço da tecnologia é fundamental na gestão dos negócios.

* Luis Casuscelli é diretor de Big Data e Security da Atos América do Sul

Conteúdos Relacionados

Security Report | Overview

Vulnerabilidade permite espionagem a entidades de defesa no Oriente Médio, alerta relatório

Operação atribuída ao grupo Stealth Falcon explorou a CVE-2025-33053 para instalar malware furtivo via WebDAV; Microsoft corrigiu a vulnerabilidade no...
Security Report | Overview

Brasil lidera ranking de vazamento de dados com mais de 7 bilhões de registros, afirma pesquisa

Relatório aponta que 550 milhões de cookies brasileiros ainda estão ativos e podem ser usados por hackers para roubo de...
Security Report | Overview

GenAI será ferramenta crítica no enfrentamento de fraudes bancárias, alertam especialistas

Durante o Febraban Tech, marca da B3 apresentou novo recurso do Neoway Seeker, que usa GenAI para gerar resumos inteligentes...
Security Report | Overview

Organização anuncia novo VP LATAM, Fellipe Canale

Executivo retorna à companhia em que atuou como country manager entre 2020 e 2022