A maioria dos profissionais de segurança da informação conceitua a segurança através de três aspectos básicos: confidencialidade integridade e disponibilidade. Isto ocorre devido à grande influência de frameworks e metodologias internacionalmente consolidadas. Entretanto existe um conceito primário associado a segurança da informação que não está sendo adequadamente focado no cenário nacional – a rastreabilidade.
O conceito de rastreabilidade está diretamente relacionado ao controle sobre o fluxo da informação. É necessário identificar de forma ágil e simples como determinada informação se relaciona com o negócio. As perguntas parecem óbvias, mas nem sempre são respondidas. Qual a origem desta informação e para onde esta informação vai? Quais os links existentes entre as informações.?
A discussão sobre esse tema entre os profissionais de segurança da informação não é mera casualidade. O que tem acontecido é que a prática de proteção das informações tem sido sensivelmente prejudicada pela dificuldade de identificação das informações e seus relacionamentos. Garantir a segurança das informações sem identificar claramente seu fluxo é uma tarefa praticamente impossível. A solução pode parecer simples – identificar este fluxo. Porém as informações nem sempre seguem fluxos bem definidos, nem sempre são facilmente rastreáveis.
O mapeamento de processos de negócio muitas vezes se confunde com o mapeamento do próprio fluxo da informação, isto ocorre devido a um fator simples: a informação tem se caracterizado como o principal ativo da maioria dos negócios. Seguir o fluxo dos processos quase sempre significa seguir o fluxo das informações.
Considere a seguinte situação: identifica-se em um banco de dados um conjunto de informações incorretas. Existem no mínimo três formas de inserção de dados neste banco – cadastro pessoal, cadastro telefônico e cadastro realizado por certa empresa terceirizada. Como identificar qual das formas de inserção não estão atendendo à política de integridade? Talvez o problema ocorra apenas com cadastros telefônicos. Como aplicar os controles de segurança da forma correta, evitando sobrecarregar os processos de cadastro que não representam ameaça?
Uma análise de risco detalhada pode identificar estas fraquezas no sistema. Entretanto fica claro que sem o controle total sobre o fluxo das informações e sua forma de interação com os processos de negócio, até mesmo a tarefa de realizar uma análise de risco poderá ser demasiadamente complexa.
O paradigma de que garantir a segurança da informação reside exclusivamente na garantia da confidencialidade, da integridade e da disponibilidade está para ser quebrado. Não defendo que a visão original está incorreta, entretanto apresento um conceito que vem sendo amplamente discutido entre os profissionais de segurança do mundo todo, principalmente na Europa. Outros conceitos também bastante discutidos são a necessidade de garantia da autenticidade e a legalidade das informações. É importante não se prender exclusivamente à confidencialidade, integridade e disponibilidade.
A questão que deve ser considerada é: Como garantir a confidencialidade, a integridade e a disponibilidade das informações sem conhecer detalhadamente a forma com que essa informação se relaciona com os processos de negócio? Qual é o grau de confiança das análises de risco levando em consideração às complexas relações e caminhos que a informação assume dentro de uma organização ou entre organizações? Não seria necessário inicialmente disseminar uma cultura de controle total e rastreabilidade sobre a informação para depois garantir a adequada aplicação de segurança em suas diversas etapas de relacionamento?
O que está sendo verificado é que antes de salvaguardar a confidencialidade, integridade e a disponibilidade é necessário que haja um trabalho inicial sobre o controle do fluxo da informação. É preciso analisar com detalhes o relacionamento das informações com os processos de negócio da empresa. Este novo conceito de rastreabiilidade representa um requisito tão fundamental quanto os já bastante discutidos alicerces que configuram a tríade da segurança da informação.
Em resumo, sem conhecer os caminhos e formas da informação torna-se complexo garantir a sua confidencialidade, integridade e disponibilidade. Divulgar nas diversas áreas da organização o que significa rastreabilidade e exigir sua aplicação irá permitir o aumento da segurança, uma vez que é sensivelmente mais simples proteger o que se controla. É fortemente aconselhável divulgar através da organização o conceito de rastreabilidade e exigir que as diversas áreas da empresa interajam propiciando links adequados que irão facilitar os processos de segurança.
O conceito de rastreabilidade está diretamente relacionado ao controle sobre o fluxo da informação. É necessário identificar de forma ágil e simples como determinada informação se relaciona com o negócio. As perguntas parecem óbvias, mas nem sempre são respondidas. Qual a origem desta informação e para onde esta informação vai? Quais os links existentes entre as informações.?
A discussão sobre esse tema entre os profissionais de segurança da informação não é mera casualidade. O que tem acontecido é que a prática de proteção das informações tem sido sensivelmente prejudicada pela dificuldade de identificação das informações e seus relacionamentos. Garantir a segurança das informações sem identificar claramente seu fluxo é uma tarefa praticamente impossível. A solução pode parecer simples – identificar este fluxo. Porém as informações nem sempre seguem fluxos bem definidos, nem sempre são facilmente rastreáveis.
O mapeamento de processos de negócio muitas vezes se confunde com o mapeamento do próprio fluxo da informação, isto ocorre devido a um fator simples: a informação tem se caracterizado como o principal ativo da maioria dos negócios. Seguir o fluxo dos processos quase sempre significa seguir o fluxo das informações.
Considere a seguinte situação: identifica-se em um banco de dados um conjunto de informações incorretas. Existem no mínimo três formas de inserção de dados neste banco – cadastro pessoal, cadastro telefônico e cadastro realizado por certa empresa terceirizada. Como identificar qual das formas de inserção não estão atendendo à política de integridade? Talvez o problema ocorra apenas com cadastros telefônicos. Como aplicar os controles de segurança da forma correta, evitando sobrecarregar os processos de cadastro que não representam ameaça?
Uma análise de risco detalhada pode identificar estas fraquezas no sistema. Entretanto fica claro que sem o controle total sobre o fluxo das informações e sua forma de interação com os processos de negócio, até mesmo a tarefa de realizar uma análise de risco poderá ser demasiadamente complexa.
O paradigma de que garantir a segurança da informação reside exclusivamente na garantia da confidencialidade, da integridade e da disponibilidade está para ser quebrado. Não defendo que a visão original está incorreta, entretanto apresento um conceito que vem sendo amplamente discutido entre os profissionais de segurança do mundo todo, principalmente na Europa. Outros conceitos também bastante discutidos são a necessidade de garantia da autenticidade e a legalidade das informações. É importante não se prender exclusivamente à confidencialidade, integridade e disponibilidade.
A questão que deve ser considerada é: Como garantir a confidencialidade, a integridade e a disponibilidade das informações sem conhecer detalhadamente a forma com que essa informação se relaciona com os processos de negócio? Qual é o grau de confiança das análises de risco levando em consideração às complexas relações e caminhos que a informação assume dentro de uma organização ou entre organizações? Não seria necessário inicialmente disseminar uma cultura de controle total e rastreabilidade sobre a informação para depois garantir a adequada aplicação de segurança em suas diversas etapas de relacionamento?
O que está sendo verificado é que antes de salvaguardar a confidencialidade, integridade e a disponibilidade é necessário que haja um trabalho inicial sobre o controle do fluxo da informação. É preciso analisar com detalhes o relacionamento das informações com os processos de negócio da empresa. Este novo conceito de rastreabiilidade representa um requisito tão fundamental quanto os já bastante discutidos alicerces que configuram a tríade da segurança da informação.
Em resumo, sem conhecer os caminhos e formas da informação torna-se complexo garantir a sua confidencialidade, integridade e disponibilidade. Divulgar nas diversas áreas da organização o que significa rastreabilidade e exigir sua aplicação irá permitir o aumento da segurança, uma vez que é sensivelmente mais simples proteger o que se controla. É fortemente aconselhável divulgar através da organização o conceito de rastreabilidade e exigir que as diversas áreas da empresa interajam propiciando links adequados que irão facilitar os processos de segurança.
