Garantindo a segurança de dados em plataformas digitais

Wendel Siota

As plataformas digitais conseguem conectar pessoas, em torno de um objetivo comum, em uma extensão global, sendo basicamente movidas a software. Mas como o arquiteto de software consegue injetar segurança em uma plataforma digital, mantendo a integridade de sistemas de informação, sem comprometer a experiência do usuário e , ao mesmo tempo, garantir um serviço sempre disponível, com dados precisos e informações sensíveis muito bem protegidas? A tríade CIA pode ajudar a tornar isso possível.

A tríade de Segurança

O acrônimo CIA (Confidentiality, Integrity, Availability)  refere-se ao tripé mais primordial,  e básico, quando falamos em segurança da informação. 

Os três elementos da tríade são tão conhecidos em segurança da informação que praticamente todas as  definições da área (e todos os ataques cibernéticos)  são derivadas  das palavras confidencialidade, integridade e disponibilidade.

Balanceando a tríade CIA para Plataformas Digitais

Plataformas digitais são modelos de negócios que funcionam por meio de tecnologias. Trata-se de um ambiente online que conecta quem produz a quem consome, permitindo uma relação de troca, muito além da simples compra e venda. 

Segundo Elemar Jr, no livro “Manual do Arquiteto de Software”, A segurança da informação, sem dúvida nenhuma, é um concern arquitetural e também um atributo de qualidade.  Assim sendo, a fase arquitetural da construção de uma plataforma digital é o momento chave para o sucesso da plataforma como um todo, incluindo sua segurança.

Para projetar uma segurança cibernética aderente ao negócio e não apenas restritiva, o arquiteto de software deve ter em mente, de forma muito clara, quais os objetivos que seu negócio e seu produto final querem atingir. Sendo bastante prático, se aplicarmos a tríade CIA com o máximo de restrições possíveis, em qualquer cenário, o produto final terá, no melhor dos casos, uma usabilidade sofrível. Assim, dosar e priorizar as medidas de segurança , levando em consideração os riscos aceitáveis para o negócio, é a melhor estratégia.

Um exemplo simples desse balanceamento entre Confidencialidade, Integridade e Disponibilidade são as plataformas de streaming de vídeo. Nesse cenário, a disponibilidade da plataforma é levada bastante a sério e tem um budget bastante polpudo. Afinal de contas é extremamente prejudicial para a imagem da empresa que os assinantes não possam assistir suas séries no fim de semana.

A confidencialidade dos dados dos assinantes das plataformas de streaming também é priorizada, pois contêm dados sensíveis e informações de pagamento que são do interesse de atacantes cibernéticos. Apesar de levada a sério, a confidencialidade, neste cenário, não tem um nível de risco tão elevado quanto o apresentado em instituições bancárias, por exemplo.

Ainda, no mesmo cenário, a integridade de sistemas de informação tem um grau de importância bem menor, já que a perda de alguns pacotes ou a perda momentânea de qualidade de um filme, não afetará a companhia de maneira tão impactante. Ainda assim, vale lembrar que priorizar a aplicação de medidas de segurança, de acordo com o negócio, não significa negligenciar algum dos pontos da tríade, e todos eles devem ser analisados e tratados.

Como implementar Segurança da Informação em Plataformas Digitais?

O software é o pilar central de uma Plataforma Digital e o arquiteto de software junto com seu time, deve ficar atento às seguintes recomendações para garantir a segurança dos dados:

Reduza os acessos e privilégios ao mínimo possível

Um bom planejamento da hierarquia de acessos de um sistema é essencial. Além de acessos de usuários, lembre-se que serviços também têm privilégios junto ao SO e devem ser projetados obedecendo o mínimo acesso possível.

Decomponha sistemas em “contextos delimitados de segurança”

Componentes independentes devem ter acesso apenas a recursos relacionados às atividades que cumprem. (Ex. Um módulo Financeiro não deve acessar dados e usuários do RH e vice versa).

Estabeleça relações de confiança entre componentes

A interação entre componentes deve ser planejada. Quanto maior o acoplamento aferente de um componente, maiores são os riscos para a segurança. Sempre que possível, a restrição de acessos de fontes não planejadas deve ser garantida em infraestrutura, adotando certificados ou outros mecanismos de identificação entre componentes e serviços.

Monitore os sistemas constantemente

Todos os eventos sensíveis relacionados à segurança devem ser monitorados e logados em bases não violáveis. Em cenários de segurança de alto impacto, todas as alterações em “entidades” críticas devem ser armazenadas e gerenciadas em bases de dados append-only.

Adote medidas defensivas em diversos níveis

Componentes com criticidade para a segurança não devem “confiar” em verificações prévias, por isso, implementam e avaliam solicitações de outros componentes seguindo alguma forma de controle de acesso;

Projete segurança como se os ofensores pudessem ler o manual

Segurança por obscuridade não existe nos tempos atuais. Não projete sistemas de segurança assumindo que seus “segredos” estão seguros. Eventualmente, dados e estratégias preservados de maneira ingênua se tornam públicos.

Não reinvente a roda

Em grande parte das situações, não é uma boa ideia desenvolver em casa soluções já consagradas, como algoritmos de criptografia, mecanismos de identidade, tecnologias de persistência, etc, o que pode comprometer a integridade de sistemas de informação

Gestão da segurança: Por onde devo começar?

Avalie se, em sua plataforma digital, a confidencialidade, integridade de sistemas de informação e disponibilidade são aplicadas de maneira equilibrada, sem afetar a usabilidade de sua aplicação. Análise também se você monitora incidentes de segurança em real-time em sua plataforma e se, caso você já tenha sofrido algum incidente, qual pilar do CIA foi comprometido.

A EximiaCo oferece a alocação de um Chief Security Officer em sua empresa para atuar na gestão de segurança de seus dados, adequando seus processos de acordo às normas e leis vigentes para evitar falhas de segurança que possam gerar prejuízos para seu negócio. Conheça nossa solução de CSO as a Service e entre em contato conosco para que possamos lhe ajudar a solucionar este e outros desafios tecnológicos.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

SOLUÇÕES EXIMIACO

Gestão em Segurança da Informação

Ambientes mais seguros para sua empresa crescer com confiança.

Manual do CSO

Como atuar com excelência na gestão de segurança corporativa.
Especialista em segurança da informação

NOVOS HORIZONTES PARA O SEU NEGÓCIO

Nosso time está preparado para superar junto com você grandes desafios tecnológicos.

Entre em contato e vamos juntos utilizar a tecnologia do jeito certo para gerar mais resultados.

Insights EximiaCo

Confira os conteúdos de negócios e tecnologia desenvolvidos pelos nossos consultores:

Engenharia de Software

Três vantagens reais de utilizar orquestradores BPM para serviços

Arquiteto de software e solução com larga experiência corporativa
Desenvolvimento de Software

Os principais desafios ao adotar testes

Especialista em Testes e Arquitetura de Software
Arquitetura de Dados

Insights de um DBA na análise de um plano de execução

Especialista em performance de Bancos de Dados de larga escala

Acesse nossos canais

Simplificamos, potencializamos e aceleramos resultados usando a tecnologia do jeito certo

EximiaCo 2022 – Todos os direitos reservados

0
Queremos saber a sua opinião, deixe seu comentáriox
()
x

Garantindo a segurança de dados em plataformas digitais

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Condição especial de pré-venda: R$ 14.000,00 - contratando a mentoria até até 31/01/2023 e R$ 15.000,00 - contratando a mentoria a partir de 01/02/2023, em até 12x com taxas.

Tenho interesse nessa capacitação

Para solicitar mais informações sobre essa capacitação para a sua empresa, preencha o formulário a seguir:

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse nessa solução

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse neste serviço

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

× Precisa de ajuda?