O triângulo mágico da segurança

Quando falamos em segurança, pensamos na típica tríade: CID (Confidencialidade, Integridade e Disponibilidade). Mas, o que descobri durante minha trajetória profissional foi que as pessoas bem educadas a respeito de segurança e aquelas que estão realmente comprometidas com essa questão, trabalham em torno de uma única questão: ficar extremamente concentrados em garantir a confidencialidade.

Claro que não preciso nem dizer que confidencialidade é, de fato, importante. Mas, se pensamos melhor, o que o vazamento de algumas informações impactam no negócio? Isso depende das circunstâncias. A propriedade intelectual foi comprometida? Os planos de marketing foram compartilhados com os concorrentes? Ou um grande plano de aquisição da companhia tornou-se público e isso elevou o valor das ações da empresa às alturas?

Os impactos imediatos de um problema de confidencialidade, na maior parte dos casos, não são tão ruins como as pessoas imaginam.

Agora, pense em por que a TI é utilizada hoje na maior parte dos negócios, indústrias e organizações. E leve em conta o fato da disponiblidade dos dados e sistemas ser de extrema importância. Por exemplo, imagine o que acontece se o ERP (sistema de gestão empresarial) parar de funcionar por um dia ou dois. Como isso afeta os números da companhia, chama a atenção do board (principais executivos) e exige investimentos extras – para corrigir o problema?

Esse tipo de brecha ligada à disponibilidade gera uma perda imediata e palpável.  Todo mundo tem ciência de que o problema necessita de uma ação imediata, uma vez que afeta diretamente a estabilidade e, em casos extremos, a sobrevivência das empresas.

Tendo em conta essa questão de que a disponibilidade deve ser o principal tema para a segurança da informação, vamos ao segundo parâmetro mais importante: a integridade.

Sim, os sistemas e os dados não precisam estar só disponíveis, existe uma necessidade deles armazenarem e fornecerem informações confiáveis e detalhadas, as quais vão ajudar a tomar as decisões estratégicas, criar relatórios financeiros confiáveis e montar os objetivos de negócio.

Uma simples falha na integridade não é ruim e pode ser – em circunstâncias normais – rapidamente detectada e corrigida. De qualquer forma, se voltarmos ao tema acima (disponibilidade), entendemos que qualquer coisa que afete os dados e os sistemas terão impacto em curto prazo, seja criando problemas para a auditoria, fazendo com que a empresa perca um cliente por conta de ter preparado uma proposta com o preço errado ou, ainda, oferecendo uma informação equivocada ao usuário.

A prática mostra que o número de falhas de integridade é proporcional aos problemas de negócios gerados por elas.

A terceira questão que precisa ser analisada é a confidencialidade. Muitas regras e legislações específicas de mercado são orientadas a garantir a segurança e a privacidade das informações. E o vazamento de dados e o crescimento da publicidade em torno das regras que as companhias têm adotado para evitar esse tipo de problema confirmam que as organizações estão preocupadas em criar melhores práticas para evitar o vazamento de dados.

O melhor a fazer é entender que todos os três parâmetros são, de fato, importantes, e todas as empresas deveriam estar atentas a eles.

Crescimento exponencial das ameaças

Para tornar o cenário ainda mais complicado, vale entender que as ameaças – que aproveitam as vulnerabilidades das organizações – estão crescendo de maneira exponencial a cada ano. Um recente relatório revelou que, em 2009, aumentou em 9% os ataques provenientes apenas dos países do leste europeu.