Já faz um tempo assisti a uma palestra de uma pessoa da Symantec onde Segurança e Disponibilidade eram apresentadas como coisas distintas. Há alguns dias também saiu no portal da Módulo um artigo do Rafael Cardoso dos Santos comentando isso:
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=457&pagenumber=0&idiom=0
Eu me senti desconfortável com a idéia por ser uma afronta aos conceitos básicos. Porém, meditando um pouco sobre o assunto cheguei a conclusão que abordar Disponibilidade separadamente pode ser mesmo uma boa estratégia. Por que?
Porque os níveis de criticidade dos processos e informações diferem muito em termos de Confidencialidade, Integridade e Disponibilidade. Criar sistemas de classificação que englobem as 3 características é algo extremamente complexo e com poucos resultados práticos (as pessoas não entendem e não usam). Portanto, vejo com bons olhos a idéia de usar duas classificações, uma para "segurança" e outra para "disponibilidade". Mas por que complicar assim?
É de praxe (e o correto) priorizar as ações e investimentos de acordo com o nível de risco atrelado à informação. E aí que a coisa começa a ficar diferente. Assim que começarmos a identificação dos pontos prioritários vamos ouvir "o Sistema X é o mais crítico" do pessoal de negócio. O que é um sistema mais crítico? Na visão deles, isso significa "sem ele não ganho dinheiro", ou seja DISPONIBILIDADE! Enquanto isso, aqueles sisteminhas em teste, rodando no servidor embaixo da mesa, cheio de dados confidenciais, nem é lembrado no levantamento. E é ali que as informações vão vazar. Portanto, pode ser benéfico separar as coisas.
A própria identificação do nível de confidencialidade de sistemas deve ser feita com auxílio dos especialistas em segurança. Isso porque muita gente envolvida no processo não junta as pontas "valor da informação" e "informação dentro do sistema". Aí a classificação sai errada. Se o especialista em segurança aprender com o pessoal de negócio que tipo de informação é crítica em termos de confidencialidade ele poderá identificar junto aos responsáveis pelos sistemas quais deles lidam com essas informações. Muita gente de negócio não imagina que por trás do sistema que mostra na tela a informação X pode haver a informação Y. E, se perguntarmos o quanto a informação daquele sistema é confidencial, ele vai responder pensando em X, não em Y. Se o especialista em segurança aprender com ele o valor de X e Y terá mais condições de conversar com o pessoal técnico e identificar o impacto de Y no risco proveniente daquele sistema.
Augusto, você está viajando! Não estou não. A maior parte dos vazamentos de informação sensível acontece em pontos nos quais o negócio nem sabia que tinha este tipo de informação. "Era só um teste". Se as pessoas soubessem cada monstruosidade que acontece nos testes, pagariam o necessário para criar um ambiente seguro para eles.
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=457&pagenumber=0&idiom=0
Eu me senti desconfortável com a idéia por ser uma afronta aos conceitos básicos. Porém, meditando um pouco sobre o assunto cheguei a conclusão que abordar Disponibilidade separadamente pode ser mesmo uma boa estratégia. Por que?
Porque os níveis de criticidade dos processos e informações diferem muito em termos de Confidencialidade, Integridade e Disponibilidade. Criar sistemas de classificação que englobem as 3 características é algo extremamente complexo e com poucos resultados práticos (as pessoas não entendem e não usam). Portanto, vejo com bons olhos a idéia de usar duas classificações, uma para "segurança" e outra para "disponibilidade". Mas por que complicar assim?
É de praxe (e o correto) priorizar as ações e investimentos de acordo com o nível de risco atrelado à informação. E aí que a coisa começa a ficar diferente. Assim que começarmos a identificação dos pontos prioritários vamos ouvir "o Sistema X é o mais crítico" do pessoal de negócio. O que é um sistema mais crítico? Na visão deles, isso significa "sem ele não ganho dinheiro", ou seja DISPONIBILIDADE! Enquanto isso, aqueles sisteminhas em teste, rodando no servidor embaixo da mesa, cheio de dados confidenciais, nem é lembrado no levantamento. E é ali que as informações vão vazar. Portanto, pode ser benéfico separar as coisas.
A própria identificação do nível de confidencialidade de sistemas deve ser feita com auxílio dos especialistas em segurança. Isso porque muita gente envolvida no processo não junta as pontas "valor da informação" e "informação dentro do sistema". Aí a classificação sai errada. Se o especialista em segurança aprender com o pessoal de negócio que tipo de informação é crítica em termos de confidencialidade ele poderá identificar junto aos responsáveis pelos sistemas quais deles lidam com essas informações. Muita gente de negócio não imagina que por trás do sistema que mostra na tela a informação X pode haver a informação Y. E, se perguntarmos o quanto a informação daquele sistema é confidencial, ele vai responder pensando em X, não em Y. Se o especialista em segurança aprender com ele o valor de X e Y terá mais condições de conversar com o pessoal técnico e identificar o impacto de Y no risco proveniente daquele sistema.
Augusto, você está viajando! Não estou não. A maior parte dos vazamentos de informação sensível acontece em pontos nos quais o negócio nem sabia que tinha este tipo de informação. "Era só um teste". Se as pessoas soubessem cada monstruosidade que acontece nos testes, pagariam o necessário para criar um ambiente seguro para eles.
