As regulamentações aumentam a segurança?

Uma parte significativa de meu trabalho envolve a discussão do alinhamento da segurança da informação, com as necessidades de negócio dos clientes. Ultimamente, com o frenesi que se montou em cima de regulamentações como o PCI, tenho percebido que mais e mais empresas baseiam sua estratégia de segurança no simples cumprimento das regulamentações.

Enquanto as empresas que mantém uma estratégia sólida de gerenciamento de riscos têm facilidade em passar nas auditorias regulatórias, as que adotam o processo inverso dificilmente conseguem garantir a segurança dos negócios. Neste artigos procuro levantar e discutir alguns dos principais erros cometidos pelas empresas “baseadas” em regulamentações e como elas deveriam proceder para realmente melhorar sua postura de segurança.

O primeiro e principal problema enfrentado pelas empresas baseadas em regulamentações deve-se ao fato de que as entidades regulamentatórias, sejam elas públicas ou privadas, devem levar em consideração que diferentes empresas possuem diferentes necessidades e capacidades e, ao elaborar as regras, as mesmas devem servir para todos os diferentes tipos de empresas afetadas, o que as torna muito genéricas. Tomemos como exemplo o requisito 6.6 do PCI, uma das mais objetivas regulamentações em uso atualmente, que diz, resumidamente, que as empresas devem proteger suas aplicações web contra ataques conhecidos e endereçar novas ameaças e vulnerabilidades no dia-a-dia, utilizando um web application firewall ou a análise de vulnerabilidades na aplicação anualmente e quando ela sofrer alterações.

Analisando este requisito, notamos claramente que a preocupação de quem o redigiu é garantir que as aplicações disponibilizadas na web não se tornem pontos de entrada de ataques, visando à obtenção de informações dos cartões de crédito dos clientes, tema central do PCI. Entretanto, por ter de levar em consideração que diferentes empresas, com diferentes necessidades e capacidades deverão estar aptas a implementá-lo, o requisito acaba sendo muito genérico, fato que é comprovado pelo procedimento de teste para verificação do atendimento do requisito, que solicita apenas que o auditor verifique que um web-application firewall esteja posicionado em frente as aplicações publicadas na internet, para deter e prevenir ataques baseados em web.

Obviamente, é interesse de todas as empresas, com presença na Internet, proteger suas aplicações contra ataques que podem interromper seus negócios e prejudicar sua imagem, entre outras consequências. Uma empresa que trata seus canais de relacionamento com a devida seriedade entende esse risco, o analisa e mede, verificando então quais são as melhores contra-medidas. No caso específico do exemplo citado, do ponto de vista de segurança, todo o software desenvolvido deveria possuir requisitos e validações de segurança desenhados em seu ciclo de vida de desenvolvimento, de modo a permitir a criação e implantação de aplicações seguras. Obviamente, este processo é dispendioso e as empresas baseadas em regulamentação podem simplesmente subsituí-lo por uma caixa colocada na frente dos servidores e que pode ou não estar corretamente configurada.

Neste caso fica fácil perceber a distância entre melhorar a segurança do ambiente e estar adequado a uma regulamentação. É importante, para evitar isso, que as empresas não pulem as etapas de gerenciamento de risco no afã de passarem em uma auditoria, ou que se o fizerem, mantenham um registro disso e voltem ao tema logo após a auditoria.

. Por: Cristiano Silverio , Solutions Architect Manager da Dimension Data, no Brasil. || Perfil: Dimension Data - empresa multinacional focada em serviços de tecnologia da informação e provedora de soluções de planejamento, desenvolvimento, suporte e gerenciamento de infra-estruturas de TI, com faturamento anual de US$ 4.5 bilhões, reportado em 2008, a Dimension Data atua em cerca de 40 países. A empresa acumula larga experiência em segurança, ambiente operacional, tecnologias de armazenamento e contact center, além de criação de redes, oferecendo competências exclusivas em consultoria, integração e serviços de gestão para criar soluções personalizadas para seus clientes. No Brasil, a Dimension Data atua desde 1995 com foco nas áreas de Comunicações Convergentes, Segurança e Gerenciamento de Serviços.