Thursday, July 31, 2003

Rastreabilidade: Controlando o Fluxo das Informações

André Palma, consultor da Axur Information Security.

A maioria dos profissionais de segurança da informação conceitua a segurança através de três aspectos básicos: confidencialidade integridade e disponibilidade. Isto ocorre devido à grande influência de frameworks e metodologias internacionalmente consolidadas. Entretanto existe um conceito primário associado a segurança da informação que não está sendo adequadamente focado no cenário nacional – a rastreabilidade.

O conceito de rastreabilidade está diretamente relacionado ao controle sobre o fluxo da informação. É necessário identificar de forma ágil e simples como determinada informação se relaciona com o negócio. As perguntas parecem óbvias, mas nem sempre são respondidas. Qual a origem desta informação e para onde esta informação vai? Quais os links existentes entre as informações.?

A discussão sobre esse tema entre os profissionais de segurança da informação não é mera casualidade. O que tem acontecido é que a prática de proteção das informações tem sido sensivelmente prejudicada pela dificuldade de identificação das informações e seus relacionamentos. Garantir a segurança das informações sem identificar claramente seu fluxo é uma tarefa praticamente impossível. A solução pode parecer simples – identificar este fluxo. Porém as informações nem sempre seguem fluxos bem definidos, nem sempre são facilmente rastreáveis.

O mapeamento de processos de negócio muitas vezes se confunde com o mapeamento do próprio fluxo da informação, isto ocorre devido a um fator simples: a informação tem se caracterizado como o principal ativo da maioria dos negócios. Seguir o fluxo dos processos quase sempre significa seguir o fluxo das informações.

Considere a seguinte situação: identifica-se em um banco de dados um conjunto de informações incorretas. Existem no mínimo três formas de inserção de dados neste banco – cadastro pessoal, cadastro telefônico e cadastro realizado por certa empresa terceirizada. Como identificar qual das formas de inserção não estão atendendo à política de integridade? Talvez o problema ocorra apenas com cadastros telefônicos. Como aplicar os controles de segurança da forma correta, evitando sobrecarregar os processos de cadastro que não representam ameaça?

Uma análise de risco detalhada pode identificar estas fraquezas no sistema. Entretanto fica claro que sem o controle total sobre o fluxo das informações e sua forma de interação com os processos de negócio, até mesmo a tarefa de realizar uma análise de risco poderá ser demasiadamente complexa.

O paradigma de que garantir a segurança da informação reside exclusivamente na garantia da confidencialidade, da integridade e da disponibilidade está para ser quebrado. Não defendo que a visão original está incorreta, entretanto apresento um conceito que vem sendo amplamente discutido entre os profissionais de segurança do mundo todo, principalmente na Europa. Outros conceitos também bastante discutidos são a necessidade de garantia da autenticidade e a legalidade das informações. É importante não se prender exclusivamente à confidencialidade, integridade e disponibilidade.

A questão que deve ser considerada é: Como garantir a confidencialidade, a integridade e a disponibilidade das informações sem conhecer detalhadamente a forma com que essa informação se relaciona com os processos de negócio? Qual é o grau de confiança das análises de risco levando em consideração às complexas relações e caminhos que a informação assume dentro de uma organização ou entre organizações? Não seria necessário inicialmente disseminar uma cultura de controle total e rastreabilidade sobre a informação para depois garantir a adequada aplicação de segurança em suas diversas etapas de relacionamento?

O que está sendo verificado é que antes de salvaguardar a confidencialidade, integridade e a disponibilidade é necessário que haja um trabalho inicial sobre o controle do fluxo da informação. É preciso analisar com detalhes o relacionamento das informações com os processos de negócio da empresa. Este novo conceito de rastreabiilidade representa um requisito tão fundamental quanto os já bastante discutidos alicerces que configuram a tríade da segurança da informação.

Em resumo, sem conhecer os caminhos e formas da informação torna-se complexo garantir a sua confidencialidade, integridade e disponibilidade. Divulgar nas diversas áreas da organização o que significa rastreabilidade e exigir sua aplicação irá permitir o aumento da segurança, uma vez que é sensivelmente mais simples proteger o que se controla. É fortemente aconselhável divulgar através da organização o conceito de rastreabilidade e exigir que as diversas áreas da empresa interajam propiciando links adequados que irão facilitar os processos de segurança.

1 comment:

dghnfgj said...

I would gold für wow cultivate courage.buy wow gold “Nothing is so mild wow gold cheap and gentle as courage, nothing so cruel and pitiless as cowardice,” syas a wise author. We too often borrow trouble, and anticipate that may never appear.”wow gold kaufen The fear of ill exceeds the ill we fear.” Dangers will arise in any career, but presence of mind will often conquer the worst of them. Be prepared for any fate, and there is no harm to be freared. If I were a boy again, I would look on the cheerful side. life is very much like a mirror:sell wow gold if you smile upon it,maple mesos I smiles back upon you; but if you frown and look doubtful on it,cheap maplestory mesos you will get a similar look in return. Inner sunshine warms not only the heart of the owner,world of warcraft power leveling but of all that come in contact with it. “ who shuts love out ,in turn shall be shut out from love.” If I were a boy again, I would school myself to say no more often.billig wow gold I might cheap mesos write pages maple meso on the importance of learning very early in life to gain that point where a young boy can stand erect, and decline doing an unworthy act because it is unworthy.wow powerleveling If I were a boy again, I would demand of myself more courtesy towards my companions and friends,wow leveling and indeed towards strangers as well.Maple Story Account The smallest courtesies along the rough roads of life are wow powerleveln like the little birds that sing to us all winter long, and make that season of ice and snow more endurable. Finally,maple story powerleveling instead of trying hard to be happy,archlord online gold as if that were the sole purpose of life, I would , if I were a boy again, I would still try harder to make others happy.