Em nosso artigo introdutório sobre segurança de perímetro abordamos a questão sob o ponto de vista do Framework de Cibersegurança do National Institute of Standards and Technology (NIST), criado com o objetivo de “oferecer uma forma de organizar, conduzir e implantar o planejamento de metas de segurança”. No núcleo do CSF estão uma série de diretrizes e práticas desenvolvidas “de forma a comunicar atividades de cibersegurança e seus resultados por toda a organização, desde o nível executivo até o nível operacional”. O framework está baseado em 5 funções simultâneas e contínuas:
– Identificar os riscos para os sistemas, dados e outros bens;
– Proteger a infraestrutura crítica limitando acesso aos bens, treinando colaboradores, assegurando a integridade dos dados e implementando procedimentos e sistemas;
– Detectar eventos que poderiam ser ataques;
– Responder quando um evento é detectado, e;
– Recuperar seus serviços o mais rápido possível após um ataque;
Neste artigo, focaremos na primeira função, a Identificação dos riscos. Esse enfoque se dará sob a perspectiva dos dados — o principal bem de qualquer corporação, independente do seu tamanho ou mercado — e de sua classificação. Também demonstraremos como a definição de estratégias para a proteção do perímetro passam obrigatoriamente por essa classificação.
Classificar para proteger
Para identificar os riscos inerentes aos dados de propriedade ou sob responsabilidade de uma determinada organização é preciso, em primeiro lugar, classificar estes dados.
Em um artigo publicado no fórum do SANS Institute, o especialista em segurança Xavier Mertens, ao discorrer sobre classificação de dados, lembra que a tarefa não é algo novo. “Por muito tempo, organizações internacionais e militares estão ‘classificando dados’” (basta pensar nos conceitos de dado “ultra secreto”, “dado confidencial”, etc.). Segundo Mertens, a classificação pode ser definida como “uma série de processos e ferramentas que ajudam as organizações a saber que dado é usado, como ele é protegido, e que nível de acesso [a ele] será implementado”.
Trata-se de um desafio nada desprezível, especialmente quando consideramos o grande volume de dados de variados níveis de importância, usados, manipulados e armazenados nos ambientes corporativos.
Devido a essa complexidade, muitas companhias podem considerar a análise e classificação de informação como algo dispendioso, preferindo “investir na contratação de serviços de suporte em tecnologia para identificar qual informação deveria ser protegida e qual deveria ser o nível desta proteção”, segundo o paper “Information Classification — Who, Why and How” produzido por Susan Fowler.
No entanto, de acordo com Fowler, não podem haver políticas internas de segurança sem classificação de dados: “classificação da informação é a personificação da tolerância da organização aos riscos inerentes à informação”, afirma.
Entre as razões apontadas pelo documento para proceder com a classificação da informação estão:
– Satisfazer controles regulatórios. Ex: a indústria de pagamentos submete o gerenciamento de dados de pagamento (números de cartões, informações dos proprietários e outras informações) aos padrões definidos pelo órgão Payment Card Industry Security Standards Council (PCI SSC). Estes controles também podem ser definidos por governos ou através de contratos.
– Sinalizar o comprometimento com a proteção dos dados de consumidores. O que, eventualmente, pode gerar vantagens competitivas em relação a empresas que não valorizam a proteção dos dados. Em um cenário de vazamentos constantes de dados corporativos e de seus clientes, essa não é uma vantagem desprezível.
– Melhorar resultados de auditoria, ao fornecer a auditores critérios realistas de medição de conformidade e metas mais claras de evolução para os colaboradores.
Dados estão no centro da estratégia de segurança, não importa a extensão do perímetro
Como vimos, na raiz da identificação dos riscos está a classificação dos dados e o estabelecimento do seu grau de importância para o negócio.
Um outro paper publicado pelo SANS (Building the New Network Security Architecture for the Future) afirma que “não importa que tecnologia venha a se tornar dominante ou como a rede de uma organização será no futuro, sempre haverá necessidade de olhar para os dados que trafegam na rede. A visibilidade destes dados é a chave do ponto de vista do monitoramento, promovendo insights sobre o que está acontecendo na rede”
Ou seja, há uma necessidade clara de que a estratégia da segurança da informação tenha foco em dados e em suas respectivas criticidades, a despeito do tamanho da organização ou sua complexidade.
Desafios recentes ilustram melhor essa necessidade. Na Europa, desde maio está em vigor o GDPR (General Data Protection Regulation), regulação que obrigará empresas a garantir “um consentimento mais claro para o uso das informações das pessoas”, aplicando multas pesadas para empresas que “falharem na proteção destes dados”. No Brasil, também em maio, foi sancionada uma lei similar, que — quando entrar em vigor, em um ano e meio— irá regulamentar o uso, a proteção e a transferência de dados pessoais como nome, endereço, e-mail e situação patrimonial de cidadãos brasileiros.
Concluindo: não é possível proteger aquilo que não se conhece. Se as companhias não implementarem o quanto antes rotinas de classificação de dados será cada vez mais difícil responder a desafios atuais e futuros, de novas regulamentações a ameaças externas e internas que podem levar ao roubo e vazamento de dados.