Novas Tecnologias e Práticas para a Segurança da Informação

A abrangência da segurança da informação vai muita além da detecção e eliminação de vírus, controle de acessos indevidos, assinaturas digitais, criptografia e classificação das informações. Os principais ativos organizacionais definidos pelo modelo de governança corporativa, tem a informação como seu principal fundamento. A prosperidade das organizações tem relação direta com a forma como as informações são interpretadas e utilizadas. As características da informação são: confidencialidade, integridade e disponibilidade. Toda informação tem um ciclo de vida: manuseio, armazenamento, transporte e descarte. O grande desafio da gestão eficiente dos negócios é se antecipar aos eventos de quebra de segurança das informações.

Acontecimentos recentes de espionagem de chamadas telefônicas da Chanceler da Alemanha Angela Merkel, divulgação de informações confidenciais por Edward Snowden e inúmeras invasões de sites de empresas conhecidas com roubos de dados, incluindo instituições financeiras, têm mostrado a importância das empresas administrarem, cuidadosamente, seus dados. As consequências de uma má administração dos dados podem ser catastróficas.

No passado era difícil monitorar e analisar grandes volumes de dados por restrições das tecnologias de hardware e limitações dos softwares. Atualmente, com as tecnologias “in-memory” de armazenamento de dados, big data, ferramentas de análise avançada de dados em ambientes escaláveis de infraestrutura dos data centers, como Cloud Computing, é possível melhorar os controles dos processos e detectar fraudes em seu estágio inicial.

Pequenos desvios do comportamento dos dados podem indicar a existência de uma fraude na organização. Com as novas tecnologias é possível correlacionar vários parâmetros com milhares de dados e analisar, em tempo real, o comportamento dos consumidores, dos processos, econômicos, de transações eletrônicas, entre outras.

Os principais componentes de uma estratégia de segurança da informação são:

  • Prevenção – ações de planejamento e implantação de processos robustos e avaliação contínua em tempo real para reduzir o risco de ameaças e vulnerabilidades, intervindo e bloqueando um ataque sem causar danos ao sistema;
  • Detecção – abordagens para identificar comportamentos anômalos e descobrir intrusões, detectar códigos maliciosos e outras atividades ou eventos que possam interromper o fornecimento de energia elétrica e coletar evidências das tentativas de ataques para a contínua reavaliação do sistema e ações legais contra os agressores;
  • Resposta – aplicação de ações imediatas para evitar os efeitos de um incidente, incluindo salvar vidas, proteção da propriedade e atender às necessidades básicas da população;
  • Recuperação – coordenar a execução do plano de recuperação dos locais e instalações afetadas pelo ataque, reconstituindo as operações para os clientes no menor prazo possível.

O crescimento do uso de dispositivos remotos com tecnologia Internet of Things fará aumentar, consideravelmente, o volume de dados manipulados, transportados e armazenados. Isso cria novas oportunidades de negócios e facilidades para as pessoas e empresas. Entretanto, aumentam os riscos de fraudes e violação de privacidade.

Um exemplo é a substituição dos medidores analógicos de consumo de energia por medidores eletrônicos. Os benefícios são imensos para as distribuidoras de energia, com reduções significativas de custos operacionais e aumento do conhecimento do perfil dos consumidores. Será possível saber quando o consumidor ligou o ferro elétrico ou a máquina de lavar roupas. Nessa aplicação, deve-se monitorar, continuamente, a existência de fraudes e proteção das informações dos consumidores.

A monitoração desse novo ambiente de negócios requer novas práticas de gestão e novas funcionalidades de softwares. Nesse novo cenário, os processos de negócios devem considerar controles internos para detectar quebra da segurança da informação.

Desta forma, a visão de gestão da segurança da informação deve envolver, diretamente, os processos de negócios e seus gestores devem compartilhar a responsabilidade com a áreas de tecnologia da informação da empresa.

A nova plataforma tecnológica de segurança da informação deve considerar modelos de gestão, análise de risco, conformidade com a legislação e normas internas, gestão de ativos, gestão de portfólios de projetos, técnicas de melhoria contínua de processo, big data, ferramentas avançadas de análise de dados, além dos softwares de segurança tradicionais.

Apresento a seguir um conjunto de softwares e modelos de gestão para o novo ambiente de segurança da informação:

  • GRCGovernance, Risk Management and Compliance – Software que gerencia funções de trabalho como: controles e mapeamento de políticas; rotinas de trabalhos (workflows); funções de pesquisa; repositório de dados; avaliações de risco e painéis de controle (dashboards);
  • SIEMSecurity Information Event Management – software de gerenciamento centralizado para armazenar dados de segurança (informações de registros e eventos apenas) para simplificar o gerenciamento de incidentes de segurança e a emissão de relatórios de conformidade;
  • AMSAsset Management System – software de gerenciamento de ativos tangíveis e intangíveis para gestão de todo o ciclo de vida do ativo (concepção, construção, comissionamento, operação, manutenção, reparação, modificação, substituição e descarte);
  • PPMPortfolio Project Management – software de gestão centralizada de grupos de projetos, auxiliando a determinar o mix ideal de recursos para a entrega e melhorar as metas operacionais e financeiras de uma organização, respeitando as restrições impostas pelos clientes, objetivos de negócios e estratégias;
  • Six-Sigma – metodologia de melhoria contínua de processos com o objetivo de eliminar falhas através do uso de um conjunto de técnicas e ferramentas estatísticas;
  • Softwares de Segurança – conjunto de software para proteção e monitoração da segurança: firewalls, antivírus, criptografia, gestão de identidade, governança e gerenciamento de interfaces de dados entre sistemas internos e externos;
  • Testes de Conformidade – comissionamento da infraestrutura tecnologia com testes integrados de software para garantir a conformidade das especificações e reduzir a incidência de erros no sistema;
  • Big Data – tecnologia para armazenamento de grandes volumes de dados com grande velocidade de acesso;
  • Advanced Data Analytics – ferramentas de análise avançada de dados para prever eventos e comportamentos futuros, auxiliando na definição de novas estratégias de negócios e identificação de potenciais problemas nos processos e fraudes.

Investimentos em segurança da informação não devem ser atribuídos apenas para a área de TI. As áreas de negócios devem considerar a revisão de seus processos e incluir mecanismos de prevenção, detecção, resposta e recuperação das informações de negócios. Novas tecnologias e práticas de monitoração devem ser implementadas para evitar fraudes e quebras de segurança. Os investimentos em segurança podem ser utilizados para planejamento estratégico de Marketing para a definição de novos produtos e modelos de negócios, aproveitando a tecnologia de Big Data e as ferramentas avançadas de análise de dados.