Uma parte significativa de meu trabalho envolve a discussão sobre o alinhamento da segurança da informação com as necessidades de negócio dos clientes. Ultimamente, com o frenesi que se montou em cima de regulamentações como o PCI, tenho percebido que mais e mais empresas baseiam sua estratégia de segurança no simples cumprimento das regulamentações.
Mas, enquanto as empresas que mantêm uma estratégia sólida de gerenciamento de riscos têm facilidade em passar nas auditorias regulatórias, as que adotam o processo inverso dificilmente conseguem garantir a segurança dos negócios. Neste artigos procuro levantar e discutir alguns dos principais erros cometidos pelas empresas "baseadas" em regulamentações e como elas deveriam proceder para realmente melhorar sua postura de segurança.
O primeiro e principal problema enfrentado pelas empresas baseadas em regulamentações deve-se ao fato de que as entidades regulamentatórias, sejam elas públicas ou privadas, devem levar em consideração que diferentes empresas possuem diferentes necessidades e capacidades e, ao elaborar as regras, as mesmas devem servir para todos os diferentes tipos de empresas afetadas, o que as torna muito genéricas. Tomemos como exemplo o requisito 6.6 do PCI, uma das mais objetivas regulamentações em uso atualmente, que diz, resumidamente, que as empresas devem proteger suas aplicações web contra ataques conhecidos e endereçar novas ameaças e vulnerabilidades no dia-a-dia, utilizando um web application firewall ou a análise de vulnerabilidades na aplicação anualmente e quando ela sofrer alterações.
Analisando este requisito, notamos claramente que a preocupação de quem o redigiu é garantir que as aplicações disponibilizadas na web não se tornem pontos de entrada de ataques, visando à obtenção de informações dos cartões de crédito dos clientes, tema central do PCI. Entretanto, por ter de levar em consideração que diferentes empresas, com diferentes necessidades e capacidades deverão estar aptas a implementá-lo, o requisito acaba sendo muito genérico, fato que é comprovado pelo procedimento de teste para verificação do atendimento do requisito, que solicita apenas que o auditor verifique que um web-application firewall esteja posicionado em frente as aplicações publicadas na internet, para deter e prevenir ataques baseados em web.
Obviamente, é interesse de todas as empresas, com presença na Internet, proteger suas aplicações contra ataques que podem interromper seus negócios e prejudicar sua imagem, entre outras consequências. Uma empresa que trata seus canais de relacionamento com a devida seriedade entende esse risco, o analisa e mede, verificando então quais são as melhores contra-medidas. No caso específico do exemplo citado, do ponto de vista de segurança, todo o software desenvolvido deveria possuir requisitos e validações de segurança desenhados em seu ciclo de vida de desenvolvimento, de modo a permitir a criação e implantação de aplicações seguras. Obviamente, este processo é dispendioso e as empresas baseadas em regulamentação podem simplesmente subsituí-lo por uma caixa colocada na frente dos servidores e que pode ou não estar corretamente configurada.
Neste caso fica fácil perceber a distância entre melhorar a segurança do ambiente e estar adequado a uma regulamentação. É importante, para evitar isso, que as empresas não pulem as etapas de gerenciamento de risco no afã de passarem em uma auditoria, ou que se o fizerem, mantenham um registro disso e voltem ao tema logo após a auditoria.
*Cristiano Silverio é Solutions Architect Manager da Dimension Data, no Brasil.