Profissionais de segurança: função da criptografia e Big Data nas empresas

A Forrester Research lançou na última semana um relatório escrito pelo analista John Kindervag chamado ?Killing Data?. Pelo documento, os profissionais de segurança não fazem o suficiente para tornar os dados corporativos inatingíveis pelos ladrões.

A Dark Reading conversou com Kindervag sobre as ideias do material e para discutir a importância da codificação no ambiente ameaçador em que vivemos.

Acompanhe os principais trechos da entrevista na sequência:

Dark Reading: Gosto da  ideia de envenenamento dos bens para criminosos para dificultar a proliferação de dados roubados. Você pode falar um pouco mais sobre o que significa matar os dados para os criminosos?

John  Kindervag: Ficou claro que, ou mantínhamos o controle por camadas, ou poderíamos resolver o problema de uma forma mais concreta. E a forma concreta parece ser tirar o valor dos dados. Se não for possível ver os dados, então não tem porque roubá-los.Nossa  opinião é que o padrão dos dados será codificado. A codificação vai desestimular os invasores. Gosto de dizer que a codificação cobre vários falhas. Pode-se estragar a segurança em várias áreas, mas se a criptografia for feita corretamente, reduz-se o perigo significativamente.

Dark Reading: Parece que há alguns desafios para alcançar o padrão de estado de codificação de dados. Claro que o gerenciamento de senha é um deles e também um que as empresas não realizam bem. Por que o gerenciamento de senhas é tão importante?

Kindervag: Muitas pessoas se focam na tecnologia por trás da codificação ? os algoritmos, e todo esse tipo de coisa soa atraente, como um filme de espionagem ou algum tipo de programa de TV no qual quebram código em dois segundos. A realidade é que essa é a parte fácil. É toda padronizada.

Onde é possível errar é no gerenciamento específico, e as pessoas não pensam nela. Converso com clientes que dizem o tempo todo: ?Bem, não queremos perder nossas senhas então enviamos por e-mail para três ou quatro pessoas?.

Isso não é gerenciamento de senhas empresarial. O gerenciamento de senhas é sobre como lidar com condições de senhas, revogação de senhas ? todos esses problemas. Agora, estamos o tratando como profissionais, tendo em vista coisas como protocolo interoperabilidade de gerenciamento desses códigos. Essa sim é uma visão empresarial.

Se seu gerenciamento de senhas é concreto, é possível ter todo o tipo de codificação de subsistemas implantados em diferentes soluções para dispositivos móveis, laptops, centro de dados, e-mail; mas é necessário manter o gerenciamento de senhas o mais centralizado possível. E também se deve  mantê-lo o mais automatizado possível, porque o processo é o que mais importa e não se deve  contar apenas com o Active Directory ou algo do tipo para realizar o gerenciamento de senhas.

Dark Reading: Em seu relatório, você quebrou a estratégia típica de codificação em três componentes principais: codificação de endpoint, e-mail e database e armazenamento de rede. Você pode nos dizer como as peças desse quebra-cabeça funcionam?

Kindervag: O que realmente estamos procurando é a transição em estado de dados. Então em diferentes momentos, é necessário fazer transição de dados de uma pessoa para outra ou em um estado a outro. É aí que esses produtos têm seu papel.

Quando é necessário mandar um relatório para outra pessoa é preciso fazer uma codificação prévia. Não é comum se preocupar muito com o PKI [processo que utiliza chaves públicas e certificados digitais para garantir a segurança do sistema]. Isso confunde e, francamente, muitas pessoas têm uma má impressão dos tempos antigos do PKI.  Em vez de um único sistema de codificação que semeie  todo o resto, pode-se agora implantar sistemas individuais de criptografia como um gateway de codificação de e-mail.

E isso não precisa ser do mesmo fornecedor que o produto de codificação de database ou o produto de codificação do laptop. Pode-se escolher três fornecedores diferentes, mas em sua maioria, os conceitos de senha são exatamente os mesmos ou muito, muito similares. Então o que realmente deve ser procurado é um painel ou console de gerenciamento   e toda a codificação será abstraída de duas mãos. No futuro, acreditamos que tudo acontecerá no plano de fundo e será possível um nível de abstração que possibilitará o gerenciamento a distância.

Então, é possível codificar e decodificar de forma geral, com base na sua identidade o no que for ou não necessário para ter acesso a um pedaço específico de dados para realizar seu trabalho.

Dark Reading: Então é por isso que o gerenciamento de senhas é importante: porque você o enxerga como a cola que permite que cada componente do espectro da codificação fiquem juntas?

Kindervag: Sim.

Dark Reading: A codificação de dados é particularmente interessante, porque parece ter percorrido um longo caminho nos últimos anos. Por muito tempo, DBAs [profissionais responsáveis por instalar e gerenciar o banco de dados e seus usuários de forma segura] odiavam a ideia porque eram ruins de desempenho, mas agora esse fato mudu muito com a nova tecnologia de codificação. Você pode falar sobre essa evolução?

Kindervag: A codificação de dados amadureceu muito, acredito que em primeiro lugar levada pela PCI [sigla em inglês para Security Standards Council, ou Conselho de Padrões de Segurança], que exigia que essas bases de dados  tivessem codificação de dados do portador do cartão. Vemos muito mais codificação em coluna onde não é preciso codificar tudo. Vemos também o offloading da codificação em algum tipo de aplicativo ou hardware de módulo de segurança, então não é necessário o uso da CPU, e isso fica claro para o DBA.

Os DBAs não precisam saber se os dados estão codificados ou não. Apenas precisam que sejam armazenados com segurança e que possam ser pesquisados adequadamente. Mas não é o papel deles se os dados são ou não codificados, esta deve ser uma decisão política de negócios. O amadurecimento da codificação de database permitiu que os dois andem juntos sem que o trabalho de manutenção de bases de dados  fique mais difícil.

Dark Reading: Onde estamos com relação à implementação da codificação de database dentro das empresas?

Kindervag: Está muito presente em áreas de dados de custódia, onde há leis. É o que chamamos de dados tóxicos: informações pessoais identificáveis, informações pessoais de saúde e PCI.

Dark Reading: Se quisermos mudar para onde os dados são codificados por padrão, o que acontecerá quando começarmos a lidar com Big Data?

Kindervag: Não há complicação se for feito corretamente e for propriamente abstraído. No relatório ?The Future of Data Security and Privacy: Controlling Big Data?, (O futuro da segurança e privacidade de dados: controlando Big Data), levou à ideia de que agora temos todos estes dados agregados como Big Data, e que deve haver vários problemas, então quebramos a questão em três seções: definição, dissecação e defesa.

Em ?definição?, há a descoberta e classificação dos dados (Onde meus dados estão localizados e quão tóxicos são?).  Depois, em dissecação, há inteligência de dados e análise de dados (Qual valor pode ser tirado desses dados?). Em defesa, temos avaliação, inspeção, desfazer-se e exterminar.  A ideia é avaliar os dados corretamente, é preciso inspecionar quem está tomando controle, é preciso se livrar dos dados que não são necessários, ou exterminá-los, que é a tecnologia de extermínio de dados, como a usada em tokens e a codificação.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini