Repensando a próxima geração de ameaças à segurança corporativa

junho 21, 2016

Especialistas em segurança estão preocupados em garantir que seus bens corporativos estejam a salvo. Os funcionários não possuem mais livre acesso aos sistemas corporativos. Agora, os DBAs devem operar para garantir que hardwares virtualizados dêem aos trabalhadores a capacidade de trabalhar remotamente e a certeza de que seu trabalho e informações individuais estejam seguras e organizadas.

O Novo Modelo de Segurança

Ao invés de possuir e controlar cada componente (aplicações de ponta a ponta, informações, sistema, armazenamento e servidores etc.), os empregados utilizam seus próprios aparelhos para obter informações e aplicações, mesmo em sistemas abertos. As administrações de nuvem e arranjos de SaaS são facilitadas por organizações terceirizadas, então um datacenter seguro acaba sendo uma pequena parte de um ambiente de troca de informações. Todas essas partes em movimento põe em perigo as informações corporativas.

Não é uma grande surpresa os especialistas em segurança estarem perdendo o sono com CAPEX/OPEX, recursos humanos e outras empresas comerciais controladas – e, além disso, praticamente qualquer outra organização que esteja tentando proteger suas informações. Ainda, a verdade cruel é que não há volta para os tempos de TI sólida, sistemas seguros e representantes de secretárias, e não há motivo para nos apegarmos aos modelos de segurança destinados àquela época.

Com a portabilidade sendo, no momento, uma necessidade central dos negócios – e o consumo de TI alterando a maneira que os indivíduos consideram os avanços que eles utilizam – a necessidade de reconsiderar a segurança faz um paralelo com os requisitos para conteinerização e BYOD. Amplamente falando, a equipe de TI confronta dois desafios entrelaçados:

  1. Atender as demandas dos empregados – As empresas devem atender as necessidades de maior flexibilidade e mobilidade para trabalhar em qualquer dispositivo, em qualquer lugar, em qualquer rede, com o espectro completo de aplicações locais, em nuvem e móveis e serviços à disposição.
  2. Abordar a vulnerabilidade crítica de informações privadas (ou seja, PII, PHI, e PCI), segredos comerciais, Propriedade Intelectual e outros dados valiosos em todas as áreas-chave, incluindo controle de acesso, exploração de aplicativos e engenharia física e social, além de garantir a proteção em repouso, em trânsito e em uso, em servidores e dispositivos.

A importância dessa missão não pode ser exagerada. A digitalização está ilimitadamente ampliando o volume de informações dentro do esforço comum, juntamente com o desenvolvimento fenomenal em rupturas de informações, infortúnio de informações e o cibercrime. Desconsiderando a portabilidade, até mesmo a segurança mais aterrada não pode garantir a segurança contra erros humanos e pessoas de dentro mal intencionadas.

Uma virtude (e revés) do antigo modelo de segurança era a sua simplicidade

Uma vez que o usuários entrassem com credenciais válidas, eles poderiam acessar e extrair todos os dados que quisessem. Claro, esta simplicidade acabou permitindo violações de dados e ataques de alto nível.

O novo modelo deve ser tão simples quanto o antigo, adequado a cada demanda de acesso a dados e escolha baseada em valor, protegendo e guiando as informações no caminho correto para o modo como trabalham agora. A chave é criar um caminho lógico para lidar com o acesso. Pense nele nos termos das Cinco Questões:

  1. Quem está tentando acessar os dados?
  2. Quais os dados eles estão tentando acessar?
  3. Quando isso está acontecendo?
  4. Onde está o usuário?
  5. Por que eles precisam deste acesso?

Em resposta a essas questões, os especialistas em segurança precisam ter em mente as condições para permitir o acesso às informações. A equipe de TI pode até “robotizar” o procedimento considerando o perfil do trabalhador e seu histórico.

Colocando as 5 Questões em prática

Os novos modelos de segurança que levam em consideração estas 5 Questões são versáteis. Eles podem obter conhecimento sobre a conduta do cliente e estar atentos no caso de alguém entrar com certificações de um novo dispositivo ou uma nova área. Isso não é apenas confirmar quem você é através da sua ID e determinar se as informações que você está solicitando é relevante para as duas necessidades.

Por exemplo, a pergunta sobre “quem” deve ser considerar em contraste com a pergunta sobre “o que”. Informações mais sensíveis exigem um peso de aprovação maior, um controle mais incessante e abordagens mais rigorosas. O Diretor de TI não teria o desejo de ter o peso de representantes de níveis inferiores utilizando informações abertas com sistemas de confirmação de multicomponentes e logins refeitos por todo o dia de trabalho. Entretanto, informações mais delicadas podem precisar de um filtro de ID do trabalhador, dando informações biométricas ou submetendo-o a reconhecimento facial por webcam. Algumas trocas devem ser limitadas a máquinas e sistemas particulares confiáveis.

Da mesma forma, o “quem” deve ser verificado de acordo com o “quando” e “onde”. Esta é a primeira vez que um representante tem acesso às 3 da manhã? É seguro dizer que ele(a) está tentando conseguir informações delicadas de outro lugar? A informação em questão tem um local com uma tarefa ou unidade de especialidade totalmente distinta? Um redirecionamento do padrão pode não restringir muito bem o acesso, mas ele criaria um aviso obrigando mais esclarecimentos.

A estrutura deve, da mesma forma, ter conhecimento do “porquê”, com a capacidade presciente de compreender calendários e agendas de viagens, quando as pessoas são susceptíveis a precisar do acesso mais tarde, ou como as necessidades vão se desenvolver à luz de mudanças na participação do trabalhador na associação. Isso pode diminuir a necessidade de mediação humana e manter a imparidade indevida longe da sua força de trabalho dinâmica e versátil.

Como informações ou indivíduos são mais versáteis, os últimos componentes deste novo modelo de segurança ajudam a defender a associação do perigo em qualquer situação: criptografia e auditabilidade. Onde as informações residirem, tanto localmente quanto em trânsito, elas devem ser embaralhadas para que mesmo um colapso nas estratégias ou procedimentos não as deixe indefesas. Tanto para o exame interno quanto para a agradabilidade administrativa, é vital confirmar e registrar cada troca com o objetivo de que o acesso às informações seja completamente auditável.

Básico, porém robusto, este modelo lógico de acesso às informações tem a vantagem adicional de ter componente pertinentes e substanciais, ao invés de critérios mais finos e subjetivos utilizados como uma parte do passado. A consolidação da portabilidade e adaptabilidade com controle granular, o acesso lógico permite que indivíduos façam a utilização de informações mais proeminente em mais configurações para conduzir eficiência e qualidade sem apresentar riscos. Ao invés de noites em claro, é disso que são feitos os sonhos das equipes de TI.

Powered by Rock Convert
Equipe de Redação

Autor

Equipe de Redação

Deixa uma resposta