Dados como centro de uma estratégia de segurança de perímetro

Tempest Security
Aug 31, 2018 · 4 min read
Photo by rawpixel on Unsplash

Em nosso artigo introdutório sobre segurança de perímetro abordamos a questão sob o ponto de vista do Framework de Cibersegurança do National Institute of Standards and Technology (NIST), criado com o objetivo de “oferecer uma forma de organizar, conduzir e implantar o planejamento de metas de segurança”. No núcleo do CSF estão uma série de diretrizes e práticas desenvolvidas “de forma a comunicar atividades de cibersegurança e seus resultados por toda a organização, desde o nível executivo até o nível operacional”. O framework está baseado em 5 funções simultâneas e contínuas:

- Identificar os riscos para os sistemas, dados e outros bens;

- Proteger a infraestrutura crítica limitando acesso aos bens, treinando colaboradores, assegurando a integridade dos dados e implementando procedimentos e sistemas;

- Detectar eventos que poderiam ser ataques;

- Responder quando um evento é detectado, e;

- Recuperar seus serviços o mais rápido possível após um ataque;

Neste artigo, focaremos na primeira função, a Identificação dos riscos. Esse enfoque se dará sob a perspectiva dos dados — o principal bem de qualquer corporação, independente do seu tamanho ou mercado — e de sua classificação. Também demonstraremos como a definição de estratégias para a proteção do perímetro passam obrigatoriamente por essa classificação.

Classificar para proteger

Para identificar os riscos inerentes aos dados de propriedade ou sob responsabilidade de uma determinada organização é preciso, em primeiro lugar, classificar estes dados.

Em um artigo publicado no fórum do SANS Institute, o especialista em segurança Xavier Mertens, ao discorrer sobre classificação de dados, lembra que a tarefa não é algo novo. “Por muito tempo, organizações internacionais e militares estão ‘classificando dados’” (basta pensar nos conceitos de dado “ultra secreto”, “dado confidencial”, etc.). Segundo Mertens, a classificação pode ser definida como “uma série de processos e ferramentas que ajudam as organizações a saber que dado é usado, como ele é protegido, e que nível de acesso [a ele] será implementado”.

Trata-se de um desafio nada desprezível, especialmente quando consideramos o grande volume de dados de variados níveis de importância, usados, manipulados e armazenados nos ambientes corporativos.

Devido a essa complexidade, muitas companhias podem considerar a análise e classificação de informação como algo dispendioso, preferindo “investir na contratação de serviços de suporte em tecnologia para identificar qual informação deveria ser protegida e qual deveria ser o nível desta proteção”, segundo o paper “Information Classification — Who, Why and How” produzido por Susan Fowler.

No entanto, de acordo com Fowler, não podem haver políticas internas de segurança sem classificação de dados: “classificação da informação é a personificação da tolerância da organização aos riscos inerentes à informação”, afirma.

Entre as razões apontadas pelo documento para proceder com a classificação da informação estão:

- Satisfazer controles regulatórios. Ex: a indústria de pagamentos submete o gerenciamento de dados de pagamento (números de cartões, informações dos proprietários e outras informações) aos padrões definidos pelo órgão Payment Card Industry Security Standards Council (PCI SSC). Estes controles também podem ser definidos por governos ou através de contratos.

- Sinalizar o comprometimento com a proteção dos dados de consumidores. O que, eventualmente, pode gerar vantagens competitivas em relação a empresas que não valorizam a proteção dos dados. Em um cenário de vazamentos constantes de dados corporativos e de seus clientes, essa não é uma vantagem desprezível.

- Melhorar resultados de auditoria, ao fornecer a auditores critérios realistas de medição de conformidade e metas mais claras de evolução para os colaboradores.

Dados estão no centro da estratégia de segurança, não importa a extensão do perímetro

Como vimos, na raiz da identificação dos riscos está a classificação dos dados e o estabelecimento do seu grau de importância para o negócio.

Um outro paper publicado pelo SANS (Building the New Network Security Architecture for the Future) afirma que “não importa que tecnologia venha a se tornar dominante ou como a rede de uma organização será no futuro, sempre haverá necessidade de olhar para os dados que trafegam na rede. A visibilidade destes dados é a chave do ponto de vista do monitoramento, promovendo insights sobre o que está acontecendo na rede”

Ou seja, há uma necessidade clara de que a estratégia da segurança da informação tenha foco em dados e em suas respectivas criticidades, a despeito do tamanho da organização ou sua complexidade.

Desafios recentes ilustram melhor essa necessidade. Na Europa, desde maio está em vigor o GDPR (General Data Protection Regulation), regulação que obrigará empresas a garantir “um consentimento mais claro para o uso das informações das pessoas”, aplicando multas pesadas para empresas que “falharem na proteção destes dados”. No Brasil, também em maio, foi sancionada uma lei similar, que — quando entrar em vigor, em um ano e meio— irá regulamentar o uso, a proteção e a transferência de dados pessoais como nome, endereço, e-mail e situação patrimonial de cidadãos brasileiros.

Concluindo: não é possível proteger aquilo que não se conhece. Se as companhias não implementarem o quanto antes rotinas de classificação de dados será cada vez mais difícil responder a desafios atuais e futuros, de novas regulamentações a ameaças externas e internas que podem levar ao roubo e vazamento de dados.

SideChannel-BR

Tempest Security

Written by

Empresa líder no mercado brasileiro de segurança da informação e combate a fraudes digitais, atuando desde o ano 2000.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade