IGTI Blog
A importância da priorização nos investimentos de Segurança

A importância da priorização nos investimentos de Segurança

Conteúdo revisado em jan/20 

O que é fundamental para gerir com sabedoria os investimentos em Segurança da Informação?

Fundamento significa base, alicerce, pilar; os fundamentos precisam ser sólidos para que sustentem e deem base a tudo que vem depois. Em segurança da informação os nossos pilares fundamentais são: confidencialidade, integridade e disponibilidade (C.I.D.).

Seja um procedimento ou documento, seja um processo ou tecnologia os fundamentos serão sempre os mesmos, isso há 20 anos ou daqui a outros 20. Vejamos:

  • A Política de segurança da informação (PSI) é um documento que busca garantir C.I.D. das informações; quando em um trecho da PSI lê-se: “não compartilhe seu usuário e senha”, o que estamos buscando é evitar que uma informação confidencial seja acessada por pessoa não autorizada.
  • A criptografia é um exemplo de tecnologia que busca manter a integridade e a confidencialidade das informações. Da mesma forma, outras tecnologias como firewall e IPS estão o tempo todo trabalhando para manter sua rede disponível contra ataques.
  • A Classificação da Informação é composta por uma série de processos estruturados para mapear, classificar e definir o dono e controles aplicáveis a informações públicas, restritas e confidenciais.

A tecnologia, obviamente muda com uma velocidade incrível, algoritmos de criptografia são quebrados e precisam de evolução constante, ameaças como ransonware passam de desconhecidos a noticiados em poucos dias, utilização de dispositivos pessoais (tablets, smartphones) no ambiente corporativo passam a ser preocupação quando antes o que tínhamos que nos ater eram desktops conectados exclusivamente a rede interna.

Leia também: A barreira a ser superada pelo profissional de segurança da informação

Note que foram necessários poucos exemplos tecnológicos para refletirmos o quanto o mundo e os desafios de SI mudaram no decorrer dos últimos anos, mas reflita, os fundamentos mudaram? Certamente não! Novas tecnologias e ameaças surgirão e os fundamentos estarão sempre presentes, devendo guiar nossas ações.

Com tantas ameaças e desafios novos, com tanta tecnologia disponível para proteger nossa rede, a pergunta natural é: onde devo investir meu tempo e dinheiro?

Priorizando os investimentos: tempo e dinheiro

Há três ferramentas interessantes que nos ajudam a priorizar tempo e dinheiro e estas são fortemente conectadas aos fundamentos de segurança da informação: plano de continuidade do negócio, classificação da informação, análise de risco.

O plano de continuidade do negócio tem forte conexão com o fundamento da disponibilidade, sendo que seu principal objetivo é entender os processos de negócio, destacando aqueles cujo a afetação por indisponibilidade é fator crítico para a empresa. Imagine uma empresa de comércio eletrônico, é fácil chegar a conclusão que o site de vendas desta empresa é critico do ponto de vista de disponibilidade e portanto, todos os processos, tecnologias (servidores, ativos de rede, etc) e pessoas envolvidas diretamente com este precisam ser mapeados e priorizados levando em conta qual o tempo máximo que o negócio aceita ficar com este paralisado.

Certamente a tolerância a paralisação é muito baixa e portanto, boa parte da tecnologias que suportam este site de vendas será redundante, as pessoas provavelmente precisarão trabalhar em regime de 24hx7d e os processos serão frequentemente auditados para garantir sua eficiência. Dentro desta mesma empresa, temos inúmeros outros processos, dentre eles podemos escolher para servir de exemplo o processo de folha de pagamento. Note que é um processos crítico, afinal funcionários não ficam satisfeitos caso seus salários atrasem, mas é um processo que tem muito mais tolerância a indisponibilidade do que o site de vendas.

Não seria problema, por exemplo, se os sistemas ficassem indisponíveis por falha de hardware durante 3 dias, desde que não coincidissem com o momento do pagamento dos funcionários, correto? Portanto não precisamos de alocar equipes 24hx7d o mês inteiro e não precisamos ter um ambiente de alta disponibilidade tão sofisticado. Note que com este exemplo simples, foi possível determinar que é necessário investir mais tempo e dinheiro no processo mais critico, do ponto de vista de disponibilidade.

A classificação da informação tem forte conexão com o fundamento da confidencialidade, sendo seu principal objetivo manter informações restritas e confidenciais protegidas de acesso não autorizado. Pensando no exemplo acima, certamente as informações relativas a salários são confidenciais enquanto a lista de produtos e preços negociadas no site da empresa não é (informação pública). Desta forma, ao priorizarmos o nosso tempo e dinheiro focaríamos na proteção das informações relativas a folha de pagamento, seja través do uso de ferramentas de criptografia, seja através do uso mais cuidadoso de ferramentas de controle de acesso ao banco de dados, ferramentas de duplo fator de autenticação, dentre outras.

Cabe ressaltar que apesar de terem fortes conexões com os fundamentos citados, tanto o plano de continuidade como a classificação da informação também tem conexão com os demais fundamentos, afinal ao classificarmos informações também precisamos preocupar com sua integridade e ao cuidar de sua disponibilidade também precisamos garantir, que cópias de backup ou servidores redundantes continuem respeitando a confidencialidade necessária.

O essencial é aceitar que as prioridades mudam ano após ano, portanto casar a análise de riscos com o plano orçamentário da empresa é fator crítico de sucesso para que você tenha cada vez mais assertividade em investir seu precioso tempo e dinheiro no lugar certo.

Em breve falaremos sobre o desafio em fazer o óbvio e como questões que parecem simples podem ser tornar o calcanhar de Aquiles de muitas empresas. Aguarde!

Professor autor: Paulo Gontijo