As boas práticas de segurança da informação compartilhadas por analistas do Gartner durante a Conferência Segurança e Gestão de Risco 2017, em São Paulo
Que a moeda corrente da nova ordem econômica global são os dados, o “novo petróleo”, já não é mais novidade. O que, sim, desponta como algo novo em relação a esse ativo é a maneira como a segurança pode — aliás, deve — ser trabalhada daqui para frente.
Segundo o Gartner, CISOs e suas equipes têm a missão de adaptar técnicas de segurança para a era digital, marcada por soluções disruptivas (na esteira de recursos como big data, analytics, DevOps e blockchain), e onde os dados (e os perímetros, as linhas imaginárias que separam uma empresa — seus computadores, servidores, etc. — de outras redes, geralmente a internet) permeiam quase todos os lugares.
“A verdade é que nós tínhamos uma visão de mundo binária que não existe mais. Branco ou preto, bom ou mau, a resposta é que não temos certeza em qualquer extremo. Pode ser qualquer um dos dois. Ou os dois. (…) Ambiguidade é a nova realidade. Adotem o cinza”, orientou Claudio Neiva, vice-presidente de pesquisas do Gartner, durante o keynote de abertura da Conferência Segurança & Gestão de Risco 2017, nos dias 8 e 9 de agosto, em São Paulo.
Em outras palavras, deve-se trabalhar uma visão holística de cibersegurança. Uma política que seja não apenas abrangente, mas também flexível e adaptável. Que, resiliente, esteja em sintonia com velocidade dos negócios. Sempre preparada para a mudança.
Na definição do Gartner, tal postura é refletida pela abordagem Carta (Continuous Adaptive Risk and Trust Assessment, ou análise continua e adaptável de risco e confiança), conforme publicou, em primeira mão, o Computerworld.
“Dados não são gerados da mesma forma, logo não podem ser tratados de maneira padrão”
Essa foi uma das principais orientações passadas por Brian Reed, diretor de pesquisas da entidade, durante a sessão que traçou o panorama da segurança de dados em 2017 para além das tendências — como big data, analytics, inteligência artificial e machine learning.
Assim como outros oradores do evento, Reed destacou o crescimento exponencial de diferentes objetos conectados à Internet (calcula-se mais de 20 bilhões até 2020), chamando atenção para a necessidade de um tratamento diferenciado pelas equipes de segurança às peculiaridades, frequências e protocolos associados a cada um deles.
Por isso, alertou ele, “deve-se mudar a abordagem tradicional, centrada na proteção da infraestrutura [a partir de soluções como firewall e IDS], e direcioná-la à segurança do dado em si. Pois, se você tiver um parceiro que acessa suas informações remotamente, tais recursos serão insuficientes”.
Preconizada pela Carta, essa abordagem de segurança da informação puxada pelos negócios digitais mescla adaptação da arquitetura (atenta ao contexto) e práticas eficazes de segurança (orientadas por políticas e controles claros), conforme modelo abaixo.
Mas, para proteger o “dado em si”, em primeiro lugar é necessário saber o que se está protegendo: qual o valor, a sensibilidade, a importância das informações em jogo. “Mas infelizmente muitas empresas esperam o pior acontecer para depois criar uma política de classificação de dados”, lamentou Reed.
Trabalho em cadeia
O cuidado com a informação, segundo o diretor de pesquisas do Gartner, deve envolver toda a organização, do baixo ao alto escalão, assim como terceiros. Uma política de segurança que englobe o negócio de ponta a ponta, horizontal e verticalmente.
“A informação está em todo lugar — e deve estar. Não apenas em seus data centers. Ela é difusa, em constante movimento e transformação, criando, assim, desafios à segurança da informação”, contextualizou Reed. “E não há um único fornecedor ou produto que vá resolver essas questões. O importante é que você tenha em mente onde ela está e como controlá-la, quem a está acessando e como preservar a segurança do tráfego”, completou.
Melhores práticas: checklist
Nesse sentido, concluiu Reed, é necessário que a área de segurança se dedique tanto à visualização e interpretação dos dados quanto a tomadas de decisão neles baseadas.
Para ajudá-lo a se preparar para o novo mindset de política de segurança de dados, o Computerworld separou abaixo um conjunto de dicas passadas por Reed ao final de sua apresentação no evento:
— Envolva stakeholders, usuários finais, profissionais de segurança e risco, e outras partes interessadas;
— Alinhe a governança de segurança de dados com a de governança de dados;
— Priorize controles para mitigar riscos e potenciais ameaças;
— Determine os ativos de dados e o apetite de risco do negócio:
— Descubra os ativos de dados existentes, classifique-os, e determine as necessidades de acesso a eles:
— Tome atitude ao descobrir esses dados, não o faça apenas pela descoberta em si;
— Acompanhe o fluxo de dados, a intersecção de silos e a transformação decorrente: explore as capacidades que você eventualmente já possua e trabalhe ferramentas de DCAP para combinar silos de dados e infraestrutura;
— Comece pequeno, aprenda ao mesmo tempo em que estiver trabalhando, depois expanda.
Fonte: Computerworld
Sobre o Autor