Pergunta relevante hoje quando falamos de segurança da informação não acham? Que tal ampliarmos nossos horizontes no que diz respeito aos nossos dados?

Falando de dados sociais ( dados esses que nós, amigavelmente, cedemos para o mundo externo, sem ninguém nos pedir, expostos em redes sociais das mais diversas), estamos falando de um dado que talvez nem você saiba que faz parte… O Dado de desenvolvimento e homologação (Criei isso agora…)

Vamos aos conceitos para poder desenvolver o raciocínio.

Dados Sociais: Encontrados em redes sociais das mais diversas desde dados pessoais, rede de relacionamento, interesses, profissional, hobby, etc. Esses nos tornam vulneráveis a famigerada engenharia social, tanto à ativa, quanto à marginal.

Engenharia ativa na qual nós somos o alvo direto, e a marginal onde nós somos um pedaço de um plano maior que tem como alvo algo que nos relaciona direto, como outra pessoa ou companhia.

Dados de Desenvolvimento e Homologação:

Estudos recentes na área de segurança da informação revelam que, 65% das grandes empresas não se preocupam em mascarar os dados que são utilizados em desenvolvimento de sistemas ou homologação dos mesmos, ou seja, imagine que os seus dados de pagamento (com exceção o número do cartão de crédito, isso é o que espero das empresas certificadas em PCI) estão em uma base de desenvolvimento acessados por programadores, analistas e consultores. Esses dados podem ou não serem usados para uma atividade maliciosa.

Apenas 12% das empresas usam alguma solução de Data Masking (solução que “embaralha” dados em bases de homologação sem deixar perder a qualidade das informações levando em consideração o escopo das operações) e 23% usam soluções ou práticas parciais de proteção desses dados.

Apesar de nós humanos normais não termos muito poder na segurança desse tipo de dado, fica para os gestores de áreas, que de alguma forma interagem com essas informações em fase de desenvolvimento e homologação, o cuidado… Pois em breve uma companhia poderá ser responsabilizada por vazamento de dados, mesmo em sistemas não produtivos.

Em um ataque estruturado os alvos principais deixaram de serem só bases produtivas, ou seja, as bases de dados operacionais e transacionais, pois hoje temos em ambientes de homologação espelhos em D – N dias dos sistemas de produção e sem dúvida alguma com acesso muito menos restritos ou complexos, quando comparados à sistemas de produção.

Sistemas de Dynamic Data Masking podem ser encontrados para vários escopos, então se em sua empresa o uso de dados reais em sistemas de homologação é uma prática, sugiro criar um plano de médio prazo para ajustar os níveis de segurança da informação com as necessidades operacionais da empresa.

Para uma fraude bem sucedida apenas informação é necessária, e quando se pode obter essas informações em lugares menos protegidos, melhor ainda.

Ops!! Será que a financeira que paga minha moto está usando meus dados em seus sistemas de homologação? Espero que usem o Dynamic Data Masking.