Brecha na segurança? É preciso melhor a estratégia de divulgação

Cibersegurança é o problema mais sério e complicado para a TI de hoje, e os bons moços parecem desnorteados. Quando empresas como a Sony, RSA, Epsilon e Lockheed Martin sofrem com a melhor forma de responder, publicamente, a um ataque, percebemos que as empresas não sabem como reagir a uma crise de segurança de TI. E, quando um negócio demonstra que não consegue lidar, com eficiência, com problemas sérios, o próximo passo é bem previsível: lidar com os reguladores.

A RSA, uma das mais respeitadas empresas em segurança de TI, teve a chance de escrever um manual de estratégias para reagir às brechas, depois de sofrer um ataque em março passado. Como registrou Kelly Jackson Higgins, da Dark Reading, a RSA não divulgou o ataque, trabalhando, nos bastidores, com clientes para remediar a situação, mas oferecendo pouquíssima informação pública. Com certeza a empresa tinha as melhores intenções ao divulgar o mínimo possível na declaração inicial do presidente Art Coviello sobre o vazamento. Os tokens de seguranças visados eram usados para proteger dados de empresas, por isso, poderiam conter informações úteis aos responsáveis pelo ataque.

Assim que a Lockheed Martin revelou, em junho, que havia sido alvo de ataques (mal sucedidos), usando parte dos dados comprometidos pela brecha da RSA, ocorrida em março, a empresa de segurança ofereceu alguns detalhes a mais. A RSA considerava o ataque limitado às empresas que utilizavam os tokens para proteger propriedade intelectual, disse Corviello, portanto, os esforços que envolviam fornecedores de segurança e agências governamentais tiveram prioridade. A empresa ofereceu, então, a substituição dos tokens de certos grupos de clientes. Talvez, devido aos riscos, a RSA tenha percebido que uma abordagem mais transparente fosse a única opção. Ainda assim, parece que foi uma oportunidade perdida, já que outras empresas não terão muito que aprender com a experiência desses especialistas em segurança.

Eu não sou nenhum especialista em segurança da informação, e é por isso que estou escrevendo. Vendo de fora, me parece que cada brecha de dados é um exercício proposital. Toda empresa precisa aprender essa lição do zero, e o público não sabe que tipo de informação esperar.

Paul Ducklin, chefe de tecnologia na empresa de software de segurança Sophos, sugere quatro pontos que toda empresa deve explicar e clarificar ao declarar vazamento de informações:

– Como o problema surgiu;

– Quais as brechas abertas;

– Como o vazamento será/foi contido; e

– O que está sendo feito para evitar futuros vazamentos.

É um início para uma discussão pública sobre transparência. Para que as empresas tenham qualquer esperança de evitar regulamentações onerosas ao lidar com dados pessoais, elas precisam provar que são sérias (o presidente dos EUA, Barack Obama, propôs um padrão nacional para notificação de brechas).

Mais importante do que evitar regulamentações onerosas é manter a confiança pública.

Mas segurança de dados não é exclusividade de uma indústria. É uma oportunidade de desastre igual para todas – quem colocaria a Sony entre os alvos de maior risco? Uma empresa de remédios ou empresa de automóveis passarão por recall ou problemas de segurança, portanto, essas indústrias desenvolveram normas e expectativas para lidar e revelar problemas.

As empresas precisam de um guia comum para dados, e aquelas com mais em jogo – bancos, empresas de segurança, as gigantes de dados Web e grandes agências federais – deveriam liderar as discussões. Nunca será fácil. Sempre haverá discordâncias, mas as empresas precisam de estratégias melhores do que as que têm hoje ou terão de encarar ainda mais regulamentos.