Segurança cibernética x gestão de dados mestre

A exposição de dados de até 14 milhões de clientes da Verizon em julho de 2017¹ foi um enorme constrangimento, especialmente para uma organização que se apresenta como uma consultoria especializada em segurança cibernética. Afinal de contas, a Verizon elabora o relatório de Investigações de Violação de Dados (DBIR) anualmente, que documenta as maiores ameaças cibernéticas que seus clientes podem enfrentar no próximo ano e como evitá-las. A ironia é que a própria Verizon se tornou um ponto de dados para seus futuros relatórios.

Como aconteceu em outras violações, um fornecedor externo foi responsável por configurações incorretas que permitiram o acesso aberto a informações de usuários da Verizon. Esse incidente reforça a preocupação sobre como profissionais de segurança podem controlar todos os dados e as diferentes configurações existentes em departamentos da empresa. A boa notícia é que, nos últimos anos, diversas organizações de TI deram início a projetos de gestão de dados mestre (MDM) para ajudar a sanar essa situação.

Contar com configurações padrão que são documentadas e equipes bem treinadas para seguir esses padrões ajuda muito. Mas é notório que um dos maiores fatores de risco é o humano - e as pessoas cometem erros. Sejam intencionais ou não, erros introduzem oportunidades para violações. Um desses erros pode ocorrer quando a equipe de segurança cibernética de uma organização não está envolvida como interessada em projetos de TI como MDM.

O que é MDM?

MDM² é um esforço para racionalizar bancos de dados diferentes e sobrepostos a fim de garantir precisão, integridade e consistência de dados corporativos. Múltiplos bancos de dados com várias versões de dados que podem não ser consistentes no cenário de banco de dados de uma organização podem ser causados por silos na organização, fusões e aquisições e outros problemas.

O exemplo mais comum da razão pela qual isso é um problema é quando informações de um cliente não estão precisas entre todos os bancos de dados. Isso pode causar erros danosos de comunicação com clientes, com potencial de afetar a reputação da empresa.

Há dois métodos para condensar dados em um ambiente de MDM: consolidados e federados. Em um sistema consolidado, os dados são consolidados e distribuídos por uma fonte centralizada. Em um sistema federado, há uma visão virtual dos dados, que são condensados e distribuídos por múltiplas fontes.

Por que o MDM é uma consideração de segurança cibernética

Em uma época na qual MDM e business intelligence (BI) são termos comuns no mundo empresarial, as organizações ainda tentam entender como manter dados atualizados entre vários sistemas e, ainda mais difícil, como gerar relatórios dos dados. A maios consideração para qualquer profissional de segurança é o fato de que os dados apresentam enormes riscos corporativos.

Com informações de identificação pessoal (PII), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) dos EUA, o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), a Lei Sarbanes-Oxley (SOX) dos EUA e a Regulação de Proteção Geral de Dados (GDPR) da UE, para citar apenas algumas leis e regulações gerais que governam a proteção de dados, a dificuldade está em saber para onde todos os dados vão e como estão sendo usados. Eles estão armazenados de modo distribuídos, são transferidos entre múltiplas redes e hospedados em vários data centers? Alguém na organização realmente sabe responder essas perguntas? Raramente há um diagrama de dados que mapeia onde todas as informações são armazenadas. Até mesmo a equipe de MDM tem dificuldades para acompanhar cada novo aplicativo e ferramenta de relatórios que extrai dados para um novo lugar.

Essas incertezas colocam o MDM sob o escopo de gestão de riscos. Embora muitos voltem para uma estrutura, como a Organização Internacional de Padronização (ISO)/Comissão Eletrotécnica Internacional (IEC) série 27000 ou Publicação Especial (SP) 800-53 do Instituto Nacional Americano de Padrões e Tecnologia (NIST) e adotem uma abordagem de compliance, há diversos exemplos nos quais a prática falha em proteger informações sensíveis.

Outro risco está nas sombras, onde não há supervisão real. A maioria dos profissionais de segurança cibernética nunca leva em conta a qualidade da informação como um risco de segurança. Mas, se informações incorretas sobre um problema sério forem liberadas, o risco de reputação pode afetar a receita da organização. Depois que isso acontece, a recuperação é difícil e, em alguns casos, quase impossível. Devido ao escopo desse tipo de risco, uma das considerações seria em qual ponto a equipe de risco operacional deve ser envolvida.

MDM no domínio de segurança cibernética

Então, o que a equipe de segurança cibernética deve fazer para minimizar e mitigar o risco inerente ao MDM? Proteger o MDM de forma adequada é semelhante a proteger outros aplicativos, processos e dados. Há cinco áreas que devem ser levadas em conta:

1. Governança de MDM
2. O projeto inicial de MDM
3. Os padrões e políticas sobre MDM
4. Como proteger as ferramentas de MDM
5. Como proteger os processos de MDM

Governança de MDM
Em alguns grupos de segurança cibernética, o termo “governança” é usado no lugar de “compliance”. Neste artigo, o termo “governança” é definido em congruência com governança corporativa em relação a direitos de decisões: quem é responsável pelas decisões em qual nível sobre MDM. Obviamente, isso precisa ser definido com antecedência.

Os detalhes de design de governança de uma organização para MDM serão decididos na estrutura de governança de segurança cibernética/TI/corporativa atual em vigor na organização. As recomendações de delineação de governança de MDM a seguir podem servir como um ponto de partida para discussão:

• A empresa é responsável pelas decisões sobre dados e aplicativos, mas não pelas ferramentas ou processos sobre os dados.
• O departamento de TI é responsável pelas decisões sobre armazenamento físico de dados, as plataformas/locais para aplicativos que usam os dados e as ferramentas e processos sobre os dados.
• A equipe de segurança cibernética é responsável pelas decisões sobre proteção de MDM e os dados.

O projeto inicial de MDM
A equipe de segurança cibernética deve estar claramente envolvida como interessada no início de qualquer iniciativa de MDM para ajudar a definir e aplicar padrões e políticas relevantes de segurança cibernética.

A relação da equipe de segurança cibernética com a organização de TI empresarial e os usuários deve ser boa o bastante para que a equipe esteja informada sobre os projetos com dados durante as etapas iniciais/de planejamento. Dito isso, a equipe precisa estar sempre atenta para projetos de MDM (ou quaisquer projetos com dados) uma vez que a empresa e as organizações de TI podem nem sempre entender a necessidade pelo envolvimento obrigatório da equipe.

Como padrão mínimo, o departamento de segurança cibernética deve participar do comitê de arquitetura que avalia cada projeto durante as fases inicial e de planejamento.

Padrões e políticas sobre MDM
Processos básicos precisam incluir bom controle de acesso de dados projetado para cargos e conforme a necessidade de ser informado. Além disso, os dados devem ser protegidos durante ambos processos de armazenamento e transmissão. Dessa forma, a criptografia deve ser um requisito padrão para qualquer informação sensível ou exclusiva.

A retenção de dados precisa ser definida com cronogramas de backup altamente detalhados, datas de vencimento e métodos de destruição. Deve-se ter atenção redobrada quando dados e relatórios são baixados para desktops/notebooks para processamento por analistas de negócios.

Com os princípios básicos em vigor, a equipe de MDM deve ser necessária para manter um mapa de dados atual (tutoriais³ sobre como criar mapas de dados estão disponíveis na Internet), que deve ser atualizado como parte de cada projeto de MDM e/ou alteração de dados. Como padrão mínimo, o mapa de dados deve ser avaliado trimestralmente a fim de garantir que reflita o cenário real de dados.

Como parte da gestão do mapa de dados, a equipe de segurança cibernética precisa garantir que haja uma visão clara de quando e por que razão os dados saem da rede da organização. É extremamente importante, independentemente do tipo, que os dados sejam identificados, documentados, classificados e acompanhados, juntamente com a identidade do destinatário. A classificação inclui o tipo de dados e o nível de sensibilidade de dados. O acompanhamento é importante a fim de garantir que a empresa saiba quais informações são enviadas para onde. Todas essas informações se tornam parte do mapa de dados e precisam ser atualizadas como parte de qualquer evento de controle de alteração associado.

Como proteger as ferramentas de MDM
Proteger as ferramentas de MDM da empresa não é diferente de aplicar padrões e processos de segurança cibernética a outros aplicativos de TI. É importante estar absolutamente certo que as configurações de segurança estejam definidas corretamente e que as políticas e procedimentos de gestão de acesso e identidade (IAM) da organização para acesso às ferramentas estejam firmemente em vigor e tenham sua conformidade avaliada regularmente. Além disso, deve-se ter cuidado para garantir que os padrões de segurança cibernética para aplicação de patches de segurança sejam seguidos.

Como proteger os processos de MDM
Dependendo da organização e de como a equipe de segurança está envolvida em projetos e implementações de TI, o MDM pode ser revisado como parte do processo de ciclo de vida de desenvolvimento de software (SDLC), outra considerações para o conselho de revisão de arquitetura ou um item para o processo de controle de alterações. O segredo é ter as oportunidades necessárias para avaliar os dados, sua sensibilidade e como são protegidos. Uma só avaliação não é suficiente, uma vez que os dados de um aplicativo serão processados várias vezes ao longo de sua vida útil, algo que pode mudar os requisitos de segurança.

Incidentes recentes com violações e vazamento de dados indicam que terceiros representam as maiores vulnerabilidades hoje em dia. Com isso em mente é importante que a equipe de segurança cibernética assuma o papel de avaliação de contratos com terceiros e garanta a conformidade contínua com eles. Isso é necessário a fim de garantir sólidos requisitos de proteção de dados, definir metodologias aceitáveis de proteção de dados, traçar responsabilidades no caso de uma violação de dados, obrigar níveis de seguros cibernéticos e traçar a resposta adequada para a mídia no caso de um incidente.

Primeiros passos

Se a equipe de segurança cibernética da organização já não estiver envolvida nos esforços de MDM, ela deve ser envolvida imediatamente ou o mais breve possível, uma vez que empresa e organizações de TI aproveitam os benefícios do MDM. Felizmente, os papeis e responsabilidades de cada equipe são bem definidos, algo que vai tornar mais produtivo o envolvimento da equipe de segurança cibernética nesses novos esforços.

A conversa com a equipe de segurança cibernética pode começar com o fato de que dados são ativos poderosos que merecem uma segurança cinco estrelas e que a equipe de segurança cibernética quer ajudar a equipe de MDM a proteger seus dados. Demonstrar respeito pelo valor dos dados e da equipe de MDM vai ajudar a firmar uma relação baseada em interesses em comum. É essencial evitar ser excessivamente rigoroso, já que isso pode deteriorar rapidamente a relação entre as equipes.

Conforme o contato é definido, a documentação de projeto pode ser solicitada. Após um estudo minucioso, é recomendável começar com os princípios básicos de criptografia de dados de MDM, tanto em descanso quanto em trânsito, com foco em informações sensíveis e valiosas. Após a criptografia ser tratada, é possível começar a aplicar o restante dos padrões e políticas da organização de segurança cibernética ao novo projeto, incluindo IAM, gestão de patches e retenção de dados. Isso vai permitir que a equipe de MDM continue a ser responsável pelos dados enquanto incorpora uma visão de segurança cibernética.

Quaisquer novas tecnologias ou processos que serão necessários pelo projeto precisam ser analisados e, se necessário, novos padrões e/ou políticas de segurança cibernética desenvolvidos para abordá-las. Além disso, é importante identificar quaisquer ferramentas que serão usadas para que a equipe de segurança cibernética possa garantir que estão protegidas. Continuamente, a solidez da segurança de qualquer ferramenta de acesso que possa ser usada pelos analistas de dados da empresa deve ser avaliada.

Para proteger corretamente os dados de MDM no futuro, mapas de dados detalhados precisam ser desenvolvidos e mantidos ao longo do ciclo de vida dos dados. Após a implementação inicial de MDM, a segurança de seus dados e procedimentos precisa ser incluída nos processos de revisão padrão da organização.

Por fim, o ponto mais importante é que deve haver confiança, respeito mútuo e sólidas relações de trabalho entre TI, organização de negócios e equipe de segurança cibernética. Não contar com essas relações em vigor pode expor a organização a um risco cibernético.

Notas Finais

¹ Whittaker, Z.; “Millions of Verizon Customer Records Exposed in Security Lapse,” ZDNet, 12 de julho de 2017, www.zdnet.com/article/millions-verizon-customer-records-israeli-data/
² Informatica, Glossary of Terms, What Is Master Data Management (MDM)? https://www.informatica.com/services-and-training/glossary-of-terms/master-data-management-definition.html
³ Database Answers, Master Data Management Tutorial, www.databaseanswers.org/tutorial4_mdm_in_crm/index.htm