A Informatica Corporation, fornecedora independente de soluções de software de integração de dados, constatou em seu relatório Financial Data at Risk in Development: A Call for Data Masking, que cerca de 84% das empresas usam informações reais de seus clientes durante o desenvolvimento e teste de software, 70% utilizam dados de consumidores e 51% usam informações de crédito, débito e outros dados de pagamentos.
Apesar da sensibilidade dos dados, o uso de proteção ainda está longe de ser difundido, já que 45% não protegem as informações reais usadas em desenvolvimento e teste. A maioria das organizações não sabe dizer se já tiveram seus dados perdidos ou roubados. Cerca de 75% dos entrevistados não têm certeza se suas empresas seriam capazes de detectar roubo ou perda acidental de informações usadas no desenvolvimento ou em testes.
O relatório revela o uso indiscriminado de dados reais pelas instituições financeiras nas suas atividades de desenvolvimento e teste de aplicações. Isto as expõe ao risco de não cumprir com regulamentações específicas do segmento e à perda de clientes, já que 31% dos entrevistados trocariam de instituição financeira caso suas informações pessoais fossem comprometidas por uma quebra de sigilo dos dados. Esta informação é ainda mais alarmante, pois foi identificado que 38% tiveram falhas envolvendo dados reais em ambientes de teste e desenvolvimento e 12% não têm certeza se tiveram falhas ou não. Para 54% o incidente resultou na interrupção das operações, 39% sofreram deserção de clientes e 35% perderam receita.
Outro ponto identificado pela pesquisa é que o outsourcing e o cloud computing aumentam o risco de segurança. O desenvolvimento e as atividades de testes terceirizadas e/ou envolvendo o uso de recursos de computação em nuvem apresentam fatores de risco adicionais. Dos que terceirizam o desenvolvimento ou teste, 51% compartilham dados reais com terceiros e apenas 35% não terceirizam por questões de segurança. Enquanto isso, 41% usam recursos da nuvem para o desenvolvimento e teste, mas apenas 25% estão confiantes ou muito certas com relação à segurança em um ambiente de nuvem.
O estudo foi realizado em parceria com o Ponemon Institute, tem como base entrevistas feitas com mais de 430 profissionais do segmento financeiro e aponta que proteger dados sigilosos é de fundamental importância para evitar grandes prejuízos. "Estas não são as únicas empresas aque não protegem adequadamente os dados durante suas atividades de desenvolvimento e teste, mas certamente enfrentam riscos maiores e regulamentações mais rígidas que a maioria das organizações", analisa Adam Wilson, gerente geral de acompanhamento do ciclo de vida da informação da empresa. "Um caminho para gerenciar este risco e ter conformidade contínua pode ser a adoção do padrão Data Masking, que amplia o programa de segurança de dados além das aplicações de produção, o que faz com que o crescente número de cópias que são mantidas para desenvolvimento, teste, treinamento e geração de relatórios em acordo com a regulamentação sejam adequadamente desidentificados".
A pesquisa indica o mascaramento de dados como uma saída para contornar esse problema. De acordo com o gerente, é preciso investir em tecnologias chave para transformar ou evitar que sejam facilmente acessíveis os dados confidenciais, sem diminuir a riqueza dos dados para possibilitar os testes e o desenvolvimento. "Esta ferramenta ajuda a proteger informações de identificação pessoal ou dados sobre cartões de pagamentos detalhados, ao mascará-los in-flight ou in-place.
Desta forma, dados totalmente funcionais e reais podem ser usados com segurança nos ambientes de desenvolvimento, teste e outros ambientes de não-produção, bem como em ambientes terceirizados ou off-shore".
Segundo Wilson, a tecnologia que a companhia aponta como caminho para maior segurança faz com que dados confidenciais sejam descaracterizados com algoritmos, ofuscando os dados, porém retendo seu formato original e suas propriedades para que as aplicações continuem funcionando de forma adequada durante as atividades de desenvolvimento e teste. Outra forma para contornar a exposição desnecessária das informações confidencias é a supervisão executiva centralizada: criar um ponto único de responsabilidade em nível executivo e implementar políticas e procedimentos para garantir a segurança dos dados reais da sua empresa em ambientes de não-produção.
"As organizações de serviços financeiros estão entre as mais altamente reguladas e conscientes a respeito de riscos em todo o mundo e apesar disso, apenas 34% das que responderam à pesquisa acreditam que tiveram sucesso ao proteger a privacidade dos clientes nos ambientes de desenvolvimento e teste", diz Larry Ponemon, fundador do Instituto parceiro nesta sondagem.
"Esperamos que o levantamento ajude a alertar o setor quanto aos riscos a que está sujeito ao usar dados não-protegidos no desenvolvimento".
- Dados em risco