Cybersecurity: as camadas eficientes da proteção

Geralmente, a proteção da informação deve ser pensada para todo o seu ciclo de vida: na sua criação, em trânsito, em processamento, em repouso e no seu descarte. Na etapa de sua criação, deve-se atentar para a definição dos usuários autorizados ao acesso desta informação. Podemos entender a informação em trânsito como aquela que está sendo transmitida durante um diálogo, transferência de arquivos ou distribuição física. Em repouso, é a informação latente, não manipulada, como arquivos físicos ou bancos de dados. A informação em processamento é aquela que está sendo manipulada para convertê-la, como quando os aplicativos acessam os dados para obter resultados. Neste estado, a informação original deve ser protegida. Por último, o descarte da informação deve ser realizado de forma a evitar a recuperação não autorizada.
A proteção da informação não é um processo meramente tecnológico, deve-se também considerar a conscientização dos usuários das informações para tratar conteúdo confidencial (informação de clientes, inteligência competitiva, know how operacional) de acordo com as normas e políticas corporativas. Para garantir a segurança das informações sensíveis nas empresas, os gestores de tecnologia, riscos e de negócios devem pensar em múltiplos processos de controle, desde proteção lógica da transmissão de dados, passando pela criptografia dos bancos de dados, até a proteção ao acesso à memória durante o processamento dos dados.
Para um conjunto de controles mais eficiente, sugiro aplicar o conceito de defesa em profundidade (defense-in-depth), adequando o grau de proteção à classificação de cada informação corporativa. Pense nisso como os anéis do tronco de uma árvore, no qual a informação a ser protegida encontra-se no círculo mais interno. Cada um deles é uma camada de segurança, complementar e modular. Por isso mesmo, deve-se identificar aonde os investimentos devem ser mais ou menos depositados, de acordo com a criticidade da informação em análise.
Se pensarmos do ponto de vista arcaico da segurança física, onde você colocaria as jóias da coroa? Obviamente na torre mais alta, com guardas, ponte levadiça e crocodilos protegendo todo o castelo. Considerando o lado da tecnologia, algumas soluções compatíveis seriam segurança perimetral (firewall), IPS/IDS, controle de aceso, criptografia etc. – em alguns casos, estes investimentos sairiam mais caros que o custo da própria informação.
Por outro lado, se a empresa classificar adequadamente as informações, entre não críticas e críticas ou confidenciais, os investimentos em controles de segurança tornam-se mais eficientes (menos complexos, mais assertivos e mais baratos), protegendo de fato a propriedade intelectual da organização.
Quebra de segurança
Há problemas gerados a partir do ambiente externo à organização. Não somente por usuários mal-intencionados, mas também pelos que não possuem a devida consciência do problema. Para evitarmos isso é preciso:
a) Garantir que quem acessa a informação seja quem deva acessá-la: Neste caso, devemos privilegiar as soluções de controle de autenticação e o provisionamento dos acessos. Devemos levar ao usuário soluções que lhe proporcione a usabilidade e segurança (porque esses conceitos não são necessariamente antagônicos);
b) Garantir que quem acessa o conteúdo esteja ciente do seu valor: aqui devemos investir na conscientização e nos programas internos de treinamento.
c) Garantir que as informações confidenciais não serão enviadas para o ambiente externo de forma sem autorização e monitoramento.
Caso o problema seja externo, devemos contar com soluções que nos permitam garantias de disponibilidade dos sistemas, como as soluções de Anti-DDoS (Anti Distributed Denial of Service). Segurança não é uma simples questão de fechar acessos, mas sim de avaliarmos quem pode entrar e quem pode sair nos sistemas em um cenário em que o avanço da tecnologia é fundamental na gestão dos negócios. (*) Diretor de Big Data e Security da Atos América do Sul.