O longo caminho para o PCI

Os dois próximos anos serão os anos da implementação da certificação PCI-DSS no Brasil, destinada a aperfeiçoar a segurança das compras via cartões de pagamento e reduzir as perdas por fraude. Mas o caminho será longo. Um bom exemplo é o procedimento de compra dos passaportes de acesso a um parque de diversões em São Paulo. O processo realizado via Internet é fácil, tranquilo e seguro; e os dados não são coletados ou armazenados em nenhum momento pelo Parque. Mas o problema começa após a compra!

Para entrar no parque os clientes que fizeram a compra via Internet são obrigados a preencher e assinar um formulário com nome, documento de identidade, número do cartão de crédito, bandeira e data de validade. Esse formulário, completamente inútil já que a cobrança é automática no ato da transação via Internet, é então empilhado no guichê de entrada do parque, e depois recolhido, manuseado e visto por deus sabe lá quem.

E assim temos o absurdo da situação. O parque de diversões não armazena os dados de cartão de crédito em seus servidores, mas o faz em papel, da maneira mais vulnerável possível e ainda assinados, facilitando, em muito, o trabalho dos fraudadores!

Data Loss Prevention

O modelo de proteção digital adotado pela indústria é hoje fortemente baseado no conceito de defesa em profundidade, no qual tecnologias são distribuidas ao longo da rede, servidores e estações a fim de impedir que pessoas não autorizadas tenham acesso à rede, servidores, aplicações e dados; e que aquelas autorizadas tenham acesso somente ao que deveriam acessar. É o que os americanos chamam de “bad guy out, good guy in”. No centro e no final de tudo está, ou deveria estar, o dado, a informação, aquela cuja confidencialidade, integridade e disponibilidade devem ser garantidas.

Não há nada de errado no modelo acima, salvo que no fundo ninguém tem certeza se o dado, a informação, a proteger está realmente protegido pelo arsenal de tecnologias e produtos instalados. Não que as tecnologias sejam incapazes de proteger o dado de novas técnicas e métodos de ataque. Elas são, mas a questão é outra. Quem disse que o dado a proteger está realmente intocado no disco rígido de um servidor e que não irá vazar via o correio eletrônico ou um dispositivo USB qualquer?

O problema é que a vida real é complicada. E cada vez se complica mais. Os novos ambientes de negócio estão exigindo teias de compartilhamento cada vez mais complexas. A fronteira entre o usuário externo e interno está cada vez mais cinzenta com as tecnologias de acesso remoto e o crescimento e facilitação do trabalho a partir de casa ou em viagem. O trabalho remoto exige que o funcionário, mesmo quilômetros e quilômetros de distância, trabalhe como se estivesse sentado em sua mesa de trabalho, caso ainda tenha uma em sua empresa. Podemos ainda incluir a integração cada vez mais necessária e real entre empresas clientes, fornecedoras e parceiras, aliado às novas tecnologias móveis, aos novos recursos de negócios na Internet, às novas possibilidades de interação com clientes e empregados, às soluções inovadoras como VoIP e virtualização (para citar apenas duas).

Tudo isso trouxe para a mesa de discussão uma nova abordagem para a segurança de dados, focada justamente no dado ou na informação. Como tudo novo, ainda há muitos nomes. Alguns chamam de data loss prevention (prevenção de perda de dados) ou DLP, já que gostamos muito de siglas. Outros usam a sigla DLP, mas com uma pequena diferença: Data Leakage Prevention (prevenção de vazamento de dados). Há ainda uma corrente chamando isso de data-centric security (segurança centrada em dados). Em todos eles a discussão é a mesma: como proteger os dados de problemas vindos de dentro ou de fora, armazenados ou “em viagem”, em servidores centrais ou em computadores pessoais.

O grande desafio é que o DLP usa mas não se resume a tecnologias. É um processo. O início está em responder e entender quais são realmente os dados a proteger. Quais dados, caso percam sua confidencialidade, integridade ou disponibilidade irão me trazer prejuizos ou irão quebrar algum contrato ou regulamento de negócios? Onde estão esses dados? Estão armazenados em servidores ou em estações? Estão sendo transmitidos por onde? Estão viajando em notebooks? Como classificar e manter a classificação dos dados? Como compartilhar a informação com segurança? Como eliminar os dados quando não mais precisar deles?

Alguém que conheça as normas de segurança perguntaria “qual a novidade nisso?”. Realmente as perguntas acima estão mesmo na primeira versão da norma britânica BS7799 ainda na década de 80, que deu origem a ISO/IEC 17799 e a versão atual na ISO 27000. Muitas empresas se preocupam há anos com esse tema e possuem políticas de segurança da informação que tratam a questão da segurança do dado ou da informação. Qual a diferença? Não seria isto algo requentado, e pior, vendido como se fosse algo novo? Ou será que as pessoas (leia-se empresas) que não fizeram o que que deveriam ter feito estão agora se mexendo?

Para as questões acima eu coloco duas questões chaves que trouxeram o DLP para o centro da discussão:

(1) Como eu já comentei, o aumento da complexidade no uso e compartilhamento da informação. Está muito complicado controlar o acesso à informação ao mesmo tempo que as regulações – sejam governamentais ou de mercado (como o PCI-DSS para o mercado de cartões de crédito) – aumentam as exigências para que tal controle seja eficiente e demonstrável. Esse aumento da complexidade aumentou a demanda por tecnologias.

(2) O amadurecimento, aperfeiçoamento ou mesmo surgimento de tecnologias e produtos para auxiliar o controle e proteção dos dados. Exemplos dessas tecnologias estão em produtos para controle do uso de portas USB, controle de acesso a redes sem-fio, análise de conteúdo em emails e tráfego de rede a procura de dados confidenciais, entre muitos outros exemplos.

Um outro desafio é a nossa capacidade (de quem vende e de quem compra soluções) em reduzir tudo a tecnologias ou produtos. É o típico caso de uma empresa que compra um determinado produto classificado como DLP e acha que resolveu o problema (estejam certo que muitos e muitos produtos virão agora com a tarja “DLP”). Data Loss Prevention não é, e nunca será, um projeto de instalação de software. É um processo constante de conhecer, classificar, proteger e monitorar os dados, estejam eles onde estiverem. Indo mais além, é necessário um alto nível de customização para cada empresa, já que os dados tem a ver com o negócio de cada empresa. Muda a empresa, muda como os dados nela serão tratados.

Então como começar? O primeiro passo é abrir aquele velho livrinho empoeirado com o título “Política de Segurança da Informação”. Se este não existir ou estiver muito velho e desatualizado, seria o caso de abrir outro livro: a ISO/IEC 17799-1 ou ISO/IEC 27002. As normas podem ser adquiridas em português na ABNT (www.abnt.org.br). Mas não se pode cair na armadilha, comum no passado, de tentar criar uma política de segurança “completa”. Tem que ser algo simples, que todo mundo entenda. As normas darão as informações necessárias e servirão como guia para alcançar os objetivos.

Se a empresa possui e usa sua política de segurança, então estamos no segundo passo, que é a implementação de soluções, caso sejam necessárias. Quanto mais a empresa estiver avançada em termos de conscientização e aplicação da política, mais fácil será essa fase. Mesmo assim não podemos esquecer que o DLP não protege a infraestrutura. Indo mais além, ele não está preocupado com a infraestrutura, embora esta ainda necessite ser protegida. A preocupação está no dado que viaje e descansa dentro da infraestrutura, e durante o seu ciclo de vida.

A maior vantagem do DLP é a aproximação das equipes de proteção com as áreas de negócio. Executivos de negócio não conhecem, ou pelo menos não precisam conhecer, redes e TI. Eles não estão interessados se a rede está protegida ou não, e sim seu o seu negócio, se o seu dado – seja ele qual for – está protegido ou não.