As plataformas digitais conseguem conectar pessoas, em torno de um objetivo comum, em uma extensão global, sendo basicamente movidas a software. Mas como o arquiteto de software consegue injetar segurança em uma plataforma digital, mantendo a integridade de sistemas de informação, sem comprometer a experiência do usuário e , ao mesmo tempo, garantir um serviço sempre disponível, com dados precisos e informações sensíveis muito bem protegidas? A tríade CIA pode ajudar a tornar isso possível.
A tríade de Segurança
O acrônimo CIA (Confidentiality, Integrity, Availability) refere-se ao tripé mais primordial, e básico, quando falamos em segurança da informação.
Os três elementos da tríade são tão conhecidos em segurança da informação que praticamente todas as definições da área (e todos os ataques cibernéticos) são derivadas das palavras confidencialidade, integridade e disponibilidade.
Balanceando a tríade CIA para Plataformas Digitais
Plataformas digitais são modelos de negócios que funcionam por meio de tecnologias. Trata-se de um ambiente online que conecta quem produz a quem consome, permitindo uma relação de troca, muito além da simples compra e venda.
Segundo Elemar Jr, no livro “Manual do Arquiteto de Software”, A segurança da informação, sem dúvida nenhuma, é um concern arquitetural e também um atributo de qualidade. Assim sendo, a fase arquitetural da construção de uma plataforma digital é o momento chave para o sucesso da plataforma como um todo, incluindo sua segurança.
Para projetar uma segurança cibernética aderente ao negócio e não apenas restritiva, o arquiteto de software deve ter em mente, de forma muito clara, quais os objetivos que seu negócio e seu produto final querem atingir. Sendo bastante prático, se aplicarmos a tríade CIA com o máximo de restrições possíveis, em qualquer cenário, o produto final terá, no melhor dos casos, uma usabilidade sofrível. Assim, dosar e priorizar as medidas de segurança , levando em consideração os riscos aceitáveis para o negócio, é a melhor estratégia.
Um exemplo simples desse balanceamento entre Confidencialidade, Integridade e Disponibilidade são as plataformas de streaming de vídeo. Nesse cenário, a disponibilidade da plataforma é levada bastante a sério e tem um budget bastante polpudo. Afinal de contas é extremamente prejudicial para a imagem da empresa que os assinantes não possam assistir suas séries no fim de semana.
A confidencialidade dos dados dos assinantes das plataformas de streaming também é priorizada, pois contêm dados sensíveis e informações de pagamento que são do interesse de atacantes cibernéticos. Apesar de levada a sério, a confidencialidade, neste cenário, não tem um nível de risco tão elevado quanto o apresentado em instituições bancárias, por exemplo.
Ainda, no mesmo cenário, a integridade de sistemas de informação tem um grau de importância bem menor, já que a perda de alguns pacotes ou a perda momentânea de qualidade de um filme, não afetará a companhia de maneira tão impactante. Ainda assim, vale lembrar que priorizar a aplicação de medidas de segurança, de acordo com o negócio, não significa negligenciar algum dos pontos da tríade, e todos eles devem ser analisados e tratados.
Como implementar Segurança da Informação em Plataformas Digitais?
O software é o pilar central de uma Plataforma Digital e o arquiteto de software junto com seu time, deve ficar atento às seguintes recomendações para garantir a segurança dos dados:
Reduza os acessos e privilégios ao mínimo possível
Um bom planejamento da hierarquia de acessos de um sistema é essencial. Além de acessos de usuários, lembre-se que serviços também têm privilégios junto ao SO e devem ser projetados obedecendo o mínimo acesso possível.
Decomponha sistemas em “contextos delimitados de segurança”
Componentes independentes devem ter acesso apenas a recursos relacionados às atividades que cumprem. (Ex. Um módulo Financeiro não deve acessar dados e usuários do RH e vice versa).
Estabeleça relações de confiança entre componentes
A interação entre componentes deve ser planejada. Quanto maior o acoplamento aferente de um componente, maiores são os riscos para a segurança. Sempre que possível, a restrição de acessos de fontes não planejadas deve ser garantida em infraestrutura, adotando certificados ou outros mecanismos de identificação entre componentes e serviços.
Monitore os sistemas constantemente
Todos os eventos sensíveis relacionados à segurança devem ser monitorados e logados em bases não violáveis. Em cenários de segurança de alto impacto, todas as alterações em “entidades” críticas devem ser armazenadas e gerenciadas em bases de dados append-only.
Adote medidas defensivas em diversos níveis
Componentes com criticidade para a segurança não devem “confiar” em verificações prévias, por isso, implementam e avaliam solicitações de outros componentes seguindo alguma forma de controle de acesso;
Projete segurança como se os ofensores pudessem ler o manual
Segurança por obscuridade não existe nos tempos atuais. Não projete sistemas de segurança assumindo que seus “segredos” estão seguros. Eventualmente, dados e estratégias preservados de maneira ingênua se tornam públicos.
Não reinvente a roda
Em grande parte das situações, não é uma boa ideia desenvolver em casa soluções já consagradas, como algoritmos de criptografia, mecanismos de identidade, tecnologias de persistência, etc, o que pode comprometer a integridade de sistemas de informação.
Gestão da segurança: Por onde devo começar?
Avalie se, em sua plataforma digital, a confidencialidade, integridade de sistemas de informação e disponibilidade são aplicadas de maneira equilibrada, sem afetar a usabilidade de sua aplicação. Análise também se você monitora incidentes de segurança em real-time em sua plataforma e se, caso você já tenha sofrido algum incidente, qual pilar do CIA foi comprometido.
A EximiaCo oferece a alocação de um Chief Security Officer em sua empresa para atuar na gestão de segurança de seus dados, adequando seus processos de acordo às normas e leis vigentes para evitar falhas de segurança que possam gerar prejuízos para seu negócio. Conheça nossa solução de CSO as a Service e entre em contato conosco para que possamos lhe ajudar a solucionar este e outros desafios tecnológicos.