Cybersecurity: as camadas eficientes da proteção

Na opinião de Luis Casuscelli, diretor de Big Data e Security da Atos América do Sul, para garantir a segurança das informações sensíveis nas empresas, os gestores de tecnologia, riscos e de negócios devem pensar em múltiplos processos de controle

Compartilhar:

* Por Luis Casuscelli

Dados de mercado apontam que, enquanto no Brasil o valor de cada dado roubado pode chegar a U$ 78, na Europa o número chega a U$ 217. Somente no setor de Pharma, por exemplo, o custo médio global pode chegar a U$ 365. Diante deste cenário, cada empresa busca proteger a informação de maneira distinta. Quanto vale a imagem da sua organização? Quanto custa recuperar a confiança dos consumidores? Se você se questiona sobre esses pontos, é claro que está buscando proteger sua empresa.

Geralmente, a proteção da informação deve ser pensada para todo o seu ciclo de vida: na sua criação, em trânsito, em processamento, em repouso e no seu descarte. Na etapa de sua criação, deve-se atentar para a definição dos usuários autorizados ao acesso desta informação. Podemos entender a informação em trânsito como aquela que está sendo transmitida durante um diálogo, transferência de arquivos ou distribuição física. Em repouso, é a informação latente, não manipulada, como arquivos físicos ou bancos de dados. A informação em processamento é aquela que está sendo manipulada para convertê-la, como quando os aplicativos acessam os dados para obter resultados. Neste estado, a informação original deve ser protegida. Por último, o descarte da informação deve ser realizado de forma a evitar a recuperação não autorizada.

A proteção da informação não é um processo meramente tecnológico, deve-se também considerar a conscientização dos usuários das informações para tratar conteúdo confidencial (informação de clientes, inteligência competitiva, know how operacional) de acordo com as normas e políticas corporativas. Para garantir a segurança das informações sensíveis nas empresas, os gestores de tecnologia, riscos e de negócios devem pensar em múltiplos processos de controle, desde proteção lógica da transmissão de dados, passando pela criptografia dos bancos de dados, até a proteção ao acesso à memória durante o processamento dos dados.

Para um conjunto de controles mais eficiente, sugiro aplicar o conceito de defesa em profundidade (defense-in-depth), adequando o grau de proteção à classificação de cada informação corporativa. Pense nisso como os anéis do tronco de uma árvore, no qual a informação a ser protegida encontra-se no círculo mais interno. Cada um deles é uma camada de segurança, complementar e modular. Por isso mesmo, deve-se identificar aonde os investimentos devem ser mais ou menos depositados, de acordo com a criticidade da informação em análise.

Se pensarmos do ponto de vista arcaico da segurança física, onde você colocaria as jóias da coroa? Obviamente na torre mais alta, com guardas, ponte levadiça e crocodilos protegendo todo o castelo. Considerando o lado da tecnologia, algumas soluções compatíveis seriam segurança perimetral (firewall), IPS/IDS, controle de aceso, criptografia etc. – em alguns casos, estes investimentos sairiam mais caros que o custo da própria informação.

Por outro lado, se a empresa classificar adequadamente as informações, entre não críticas e críticas ou confidenciais, os investimentos em controles de segurança tornam-se mais eficientes (menos complexos, mais assertivos e mais baratos), protegendo de fato a propriedade intelectual da organização.

Quebra de segurança
Há problemas gerados a partir do ambiente externo à organização. Não somente por usuários mal-intencionados, mas também pelos que não possuem a devida consciência do problema. Para evitarmos isso é preciso:

a) Garantir que quem acessa a informação seja quem deva acessá-la: Neste caso, devemos privilegiar as soluções de controle de autenticação e o provisionamento dos acessos. Devemos levar ao usuário soluções que lhe proporcione a usabilidade e segurança (porque esses conceitos não são necessariamente antagônicos);

b) Garantir que quem acessa o conteúdo esteja ciente do seu valor: aqui devemos investir na conscientização e nos programas internos de treinamento.

c) Garantir que as informações confidenciais não serão enviadas para o ambiente externo de forma sem autorização e monitoramento.

Caso o problema seja externo, devemos contar com soluções que nos permitam garantias de disponibilidade dos sistemas, como as soluções de Anti-DDoS (Anti Distributed Denial of Service). Segurança não é uma simples questão de fechar acessos, mas sim de avaliarmos quem pode entrar e quem pode sair nos sistemas em um cenário em que o avanço da tecnologia é fundamental na gestão dos negócios.

* Luis Casuscelli é diretor de Big Data e Security da Atos América do Sul

Conteúdos Relacionados

Security Report | Overview

CTIR Gov orienta governo a monitorar sistemas de proteção após Apagão Cibernético

Com a identificação do incidente que colheu a plataforma Falcon, da CrowdStrike, e da Microsoft, O órgão de Prevenção a...
Security Report | Overview

Incidentes de TI estão no topo dos riscos para a continuidade dos negócios, aponta pesquisa

1ª Pesquisa Nacional sobre Maturidade em Gestão de Crises e Continuidade de Negócios, apresentada no segundo trimestre deste ano, identifica...
Security Report | Overview

54% das empresas consideram erros humanos um vetor crítico de ciberataques

Estudo da ManageEngine revelou que ameaças externas ainda são a maioria entre os golpes realizados, mas falhas de funcionários preocupam
Security Report | Overview

Apenas 23% das senhas ativas exigem mais de um ano para serem decifradas

Levantamento da Kaspersky analisa 193 milhões de senhas na darknet e indica que 87 milhões delas poderiam ser descobertas em...