Quando falamos em segurança, pensamos na típica tríade: CID (Confidencialidade, Integridade e Disponibilidade). Mas, o que descobri durante minha trajetória profissional foi que as pessoas bem educadas a respeito de segurança e aquelas que estão realmente comprometidas com essa questão, trabalham em torno de uma única questão: ficar extremamente concentrados em garantir a confidencialidade. Claro […]
Quando falamos em segurança, pensamos na típica tríade: CID (Confidencialidade, Integridade e Disponibilidade). Mas, o que descobri durante minha trajetória profissional foi que as pessoas bem educadas a respeito de segurança e aquelas que estão realmente comprometidas com essa questão, trabalham em torno de uma única questão: ficar extremamente concentrados em garantir a confidencialidade.
Claro que não preciso nem dizer que confidencialidade é, de fato, importante. Mas, se pensamos melhor, o que o vazamento de algumas informações impactam no negócio? Isso depende das circunstâncias. A propriedade intelectual foi comprometida? Os planos de marketing foram compartilhados com os concorrentes? Ou um grande plano de aquisição da companhia tornou-se público e isso elevou o valor das ações da empresa às alturas?
Os impactos imediatos de um problema de confidencialidade, na maior parte dos casos, não são tão ruins como as pessoas imaginam.
Agora, pense em por que a TI é utilizada hoje na maior parte dos negócios, indústrias e organizações. E leve em conta o fato da disponiblidade dos dados e sistemas ser de extrema importância. Por exemplo, imagine o que acontece se o ERP (sistema de gestão empresarial) parar de funcionar por um dia ou dois. Como isso afeta os números da companhia, chama a atenção do board (principais executivos) e exige investimentos extras – para corrigir o problema?
Esse tipo de brecha ligada à disponibilidade gera uma perda imediata e palpável. Todo mundo tem ciência de que o problema necessita de uma ação imediata, uma vez que afeta diretamente a estabilidade e, em casos extremos, a sobrevivência das empresas.
Tendo em conta essa questão de que a disponibilidade deve ser o principal tema para a segurança da informação, vamos ao segundo parâmetro mais importante: a integridade.
Sim, os sistemas e os dados não precisam estar só disponíveis, existe uma necessidade deles armazenarem e fornecerem informações confiáveis e detalhadas, as quais vão ajudar a tomar as decisões estratégicas, criar relatórios financeiros confiáveis e montar os objetivos de negócio.
Uma simples falha na integridade não é ruim e pode ser – em circunstâncias normais – rapidamente detectada e corrigida. De qualquer forma, se voltarmos ao tema acima (disponibilidade), entendemos que qualquer coisa que afete os dados e os sistemas terão impacto em curto prazo, seja criando problemas para a auditoria, fazendo com que a empresa perca um cliente por conta de ter preparado uma proposta com o preço errado ou, ainda, oferecendo uma informação equivocada ao usuário.
A prática mostra que o número de falhas de integridade é proporcional aos problemas de negócios gerados por elas.
A terceira questão que precisa ser analisada é a confidencialidade. Muitas regras e legislações específicas de mercado são orientadas a garantir a segurança e a privacidade das informações. E o vazamento de dados e o crescimento da publicidade em torno das regras que as companhias têm adotado para evitar esse tipo de problema confirmam que as organizações estão preocupadas em criar melhores práticas para evitar o vazamento de dados.
O melhor a fazer é entender que todos os três parâmetros são, de fato, importantes, e todas as empresas deveriam estar atentas a eles.
Crescimento exponencial das ameaças
Para tornar o cenário ainda mais complicado, vale entender que as ameaças – que aproveitam as vulnerabilidades das organizações – estão crescendo de maneira exponencial a cada ano. Um recente relatório revelou que, em 2009, aumentou em 9% os ataques provenientes apenas dos países do leste europeu.
++++
A própria indústria de segurança tem aumentado o número de produtos, como uma clara resposta a esse incremento dos ataques. Os mais recentes números de 2008 mostram que mais de 285 milhões de brechas. Qual o motivo? Ou melhor, por que as empresas não podem resolver esses problemas facilmente?
Tudo o que sabemos – ou deveríamos saber – é que precisamos lidar com questões financeiras e que isso leva a uma diferenciação entre liquidez, segurança e retorno sobre investimento. Para solucionar isso, aqui vai meu conselho:
Em uma era marcada por brechas de segurança na área de TI, as discussões normais entre tecnologia e negócios giram apenas em torno das funcionalidades e dos requerimentos necessários para justificar os investimentos. A segurança, em si, é uma pequena parte dessa decisão.
Enquanto uma série de esforços estão direcionados ao tema (segurança), simplesmente avalie a quantidade de pacotes fornecidos pela indústria e analise de forma objetiva: essas soluções oferecem, realmente, a qualidade adequada? Provavelmente não.
Sempre, os esforços de segurança devem vir acompanhados de recursos, pessoas, tempo e liderança. Mas quem quer gastar dinheiro em algo que não pode ser visto e ainda não aconteceu? Toda boa infraestrutura de segurança carrega com ela um grande preço.
E quanto a segurança é suficiente? Para responder a essa questão, vale conversar com os principais executivos de negócio. Eles precisam definir que tipo de riscos eles podem assumir. Lembre-se: os profissionais de TI não têm de criar o lugar mais seguro do planeta, mas devem garantir um ambiente seguro o suficiente para os objetivos dos negócios.
