Bruce Schneier é um dos papas da segurança cibernética, tendo já desenvolvido diversos trabalhos acadêmicos, livros e blogs a respeito do tema. Recentemente, ele fez uma colocação interessante e polêmica: os dados são ativos tóxicos para as organizações.
Seu ponto de vista é que uma parcela considerável dos incidentes de segurança em grande escala e que ganham manchetes globais, envolvem o roubo de dados pessoais de clientes e cidadãos – que estão sob custódia por uma empresa ou agência de governo. São aqueles incidentes que derrubam o valor de ações, causam perdas de clientes e processos na justiça, encerram carreiras de executivos de segurança e de tecnologia. Alguns exemplos recentes incluem: roubo e vazamento de documentos sobre propriedade de ativos off-shore, em escritório no Panamá; roubos de milhões de dados de cartão de crédito em estabelecimentos de varejo; roubo de informações pessoais e financeiras em bases de dados de contribuintes; e até roubo de dados sobre casos extraconjugais de milhões de pessoas em sites de relacionamentos.
Por trás destes incidentes, encontramos criminosos cada vez mais motivados e melhor equipados. Organizações criminosas ou mesmo agências de inteligência. As motivações são diversas, mas principalmente fraude, chantagem ou obtenção de vantagens políticas. Ou seja, a ameaça é real e todas as organizações, especialmente as (muitas) que armazenam dados de milhões de pessoas, são um alvo em potencial. Nesse sentido, armazenar dados torna-se tão perigoso quanto armazenar resíduo nuclear.
Por outro lado, vivemos em uma era dominada pelo conceito de que coletar e armazenar grandes quantidades de dados (e usá-los de forma inteligente) é vital para estabelecer diferenciais competitivos. Conceitos de Big Data e Data Analytics são peças-chave nas estratégias de negócio e de tecnologia.
Busca-se coletar o máximo possível de dados sobre interações com clientes. Quais transações fizeram, quando, onde estavam fisicamente etc. e armazená-los por tempo indefinido. O custo de armazenamento tende aceleradamente para baixo. As tecnologias para acessar os dados armazenados com maior rapidez, e tê-los replicados, também evoluíram de modo a facilitar e baratear o processo. E pode-se pensar que mesmo o dado que hoje não tem valor, pode ser monetizado amanhã em algum modelo de negócio inovador. Então… se custa cada vez menos coletar e armazenar, por que não fazê-lo?
Talvez Bruce Schneier esteja exagerando ao classificar os dados como tóxicos. Mas não deixa de ser válido que ele chame a atenção para o fato de que as empresas estão armazenando quantidades cada vez maiores de dados e que, ao fazê-lo, o risco de incidentes como roubo e vazamento acelera de modo proporcional. Ou seja, ainda que o custo de armazená-los esteja em declínio, o risco de fazê-lo cresce de forma explosiva. É vital que os riscos sejam conhecidos e que soluções adequadas a cada caso sejam implementadas para evitar o pior.
Há inúmeras soluções no mercado para isolamento dos dados. Algumas, como a microssegmentação, pode ser realizada de forma simples e ágil. Trata-se de uma solução definida por software, que não requer mudanças na infraestrutura e pode ser implementada de forma incremental e sem ruptura tecnológica. E pode proteger transações com criptografia fim-a-fim. Por exemplo, desde um smartphone onde o consumidor instala o aplicativo para interagir com a empresa, passando pela Internet, e até mesmo por dentro de redes corporativas, até chegar ao servidor seguro de destino.
No final do dia, é uma decisão de negócio definir qual dado faz sentido coletar e por quanto tempo armazená-lo. Mas note que deve ser igualmente estratégica a decisão de analisar os riscos representados por cada dado armazenado, e protegê-los adequadamente para evitar que os mesmos sejam o pivô de uma tragédia corporativa.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.
