Cybersecurity: as camadas eficientes da proteção

Na opinião de Luis Casuscelli, diretor de Big Data e Security da Atos América do Sul, para garantir a segurança das informações sensíveis nas empresas, os gestores de tecnologia, riscos e de negócios devem pensar em múltiplos processos de controle

Compartilhar:

* Por Luis Casuscelli

Dados de mercado apontam que, enquanto no Brasil o valor de cada dado roubado pode chegar a U$ 78, na Europa o número chega a U$ 217. Somente no setor de Pharma, por exemplo, o custo médio global pode chegar a U$ 365. Diante deste cenário, cada empresa busca proteger a informação de maneira distinta. Quanto vale a imagem da sua organização? Quanto custa recuperar a confiança dos consumidores? Se você se questiona sobre esses pontos, é claro que está buscando proteger sua empresa.

Geralmente, a proteção da informação deve ser pensada para todo o seu ciclo de vida: na sua criação, em trânsito, em processamento, em repouso e no seu descarte. Na etapa de sua criação, deve-se atentar para a definição dos usuários autorizados ao acesso desta informação. Podemos entender a informação em trânsito como aquela que está sendo transmitida durante um diálogo, transferência de arquivos ou distribuição física. Em repouso, é a informação latente, não manipulada, como arquivos físicos ou bancos de dados. A informação em processamento é aquela que está sendo manipulada para convertê-la, como quando os aplicativos acessam os dados para obter resultados. Neste estado, a informação original deve ser protegida. Por último, o descarte da informação deve ser realizado de forma a evitar a recuperação não autorizada.

A proteção da informação não é um processo meramente tecnológico, deve-se também considerar a conscientização dos usuários das informações para tratar conteúdo confidencial (informação de clientes, inteligência competitiva, know how operacional) de acordo com as normas e políticas corporativas. Para garantir a segurança das informações sensíveis nas empresas, os gestores de tecnologia, riscos e de negócios devem pensar em múltiplos processos de controle, desde proteção lógica da transmissão de dados, passando pela criptografia dos bancos de dados, até a proteção ao acesso à memória durante o processamento dos dados.

Para um conjunto de controles mais eficiente, sugiro aplicar o conceito de defesa em profundidade (defense-in-depth), adequando o grau de proteção à classificação de cada informação corporativa. Pense nisso como os anéis do tronco de uma árvore, no qual a informação a ser protegida encontra-se no círculo mais interno. Cada um deles é uma camada de segurança, complementar e modular. Por isso mesmo, deve-se identificar aonde os investimentos devem ser mais ou menos depositados, de acordo com a criticidade da informação em análise.

Se pensarmos do ponto de vista arcaico da segurança física, onde você colocaria as jóias da coroa? Obviamente na torre mais alta, com guardas, ponte levadiça e crocodilos protegendo todo o castelo. Considerando o lado da tecnologia, algumas soluções compatíveis seriam segurança perimetral (firewall), IPS/IDS, controle de aceso, criptografia etc. – em alguns casos, estes investimentos sairiam mais caros que o custo da própria informação.

Por outro lado, se a empresa classificar adequadamente as informações, entre não críticas e críticas ou confidenciais, os investimentos em controles de segurança tornam-se mais eficientes (menos complexos, mais assertivos e mais baratos), protegendo de fato a propriedade intelectual da organização.

Quebra de segurança
Há problemas gerados a partir do ambiente externo à organização. Não somente por usuários mal-intencionados, mas também pelos que não possuem a devida consciência do problema. Para evitarmos isso é preciso:

a) Garantir que quem acessa a informação seja quem deva acessá-la: Neste caso, devemos privilegiar as soluções de controle de autenticação e o provisionamento dos acessos. Devemos levar ao usuário soluções que lhe proporcione a usabilidade e segurança (porque esses conceitos não são necessariamente antagônicos);

b) Garantir que quem acessa o conteúdo esteja ciente do seu valor: aqui devemos investir na conscientização e nos programas internos de treinamento.

c) Garantir que as informações confidenciais não serão enviadas para o ambiente externo de forma sem autorização e monitoramento.

Caso o problema seja externo, devemos contar com soluções que nos permitam garantias de disponibilidade dos sistemas, como as soluções de Anti-DDoS (Anti Distributed Denial of Service). Segurança não é uma simples questão de fechar acessos, mas sim de avaliarmos quem pode entrar e quem pode sair nos sistemas em um cenário em que o avanço da tecnologia é fundamental na gestão dos negócios.

* Luis Casuscelli é diretor de Big Data e Security da Atos América do Sul

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

SulAmérica aposta em tecnologia para redução de custos com fraudes

A operadora prevê redução de mais de 10% com a prevenção de irregularidades, que recebe, em média, mais de 5...
Security Report | Overview

Brasil é 2° lugar em fraudes no mundo e já exporta crimes

Pouca efetividade em fiscalização e baixo investimento em tecnologia consolidaram o país como um dos lugares mais perigosos no ambiente...
Security Report | Overview

Players anunciam aliança global estratégica para oferecer ciberresiliência mais abrangente

Aliança fornece serviços de resiliência cibernética aos clientes para melhorar a continuidade dos negócios, reduzir custos e aumentar a agilidade...
Security Report | Overview

Epidemia de ransomware e expansão da IA em cibersegurança são destaques em relatório

Os pontos altos do relatório anual incluem uma análise sobre a difusão do ransomware desde 2023 e que segue avançando...