Informações Sensíveis estão em risco durante o Ciclo de Desenvolvimento e Testes.

Informações Sensíveis estão em risco durante o Ciclo de Desenvolvimento e Testes. Devido a este cenário de risco é imperativo que se criem processos ágeis e que garantam a segurança para o avanço e crescimento seguro da empresa. 

Segundo o Instituto ForresterData Masking é uma das iniciativas de maior ROI para redução de risco de exposição e perda de dados sensíveisForrester aponta um payback em apenas 5,4 meses, com benefícios acentuados em 63% de Produtividade e 26% na redução de custos em desenvolvimento, testes e manutenção. A Forrester aponta ainda que 90% da empresas preferem a técnica de Data Masking a criar bases de dados específicas para testes. 

Data Masking é o processo que permite o uso de informações, em formato adequado, para desenvolvimento e testes ao mesmo tempo que protege a confidencialidade de dados privados ou estratégicos. 

Entre as técnicas de Data Masking podemos destacar: 

  • Randomização não determinística: substituição de valores por outros de mesmo formato randomicamente; 
  • Blurring: Adição de variação randômica ao valor original; 
  • Nulling: Substituição do valor original por um valor nulo, por ex. Substituir um valor válido por #### ou **** ou branco; 
  • Máscara Repetitiva: Substituição de um determinado tipo de valor por uma valor mascarado mantendo a integridade de sua formatação; 
  • Substituição: Randomicamente substituir um valor por outro dentro da mesma base ou a partir de uma lista de valores pré-montada externa; 
  • Regras especiais: Substituição de valores seguindo regras especiais de formação e formatação; 
  • Tokenization: Substituição de valores a partir de um token ou chave externa possibilitando a recuperação do valor original por engenharia reversa. 

As melhores práticas de Data Masking requerem que a companhia saiba qual informação deve ser protegida, quem é autorizado a vê-la, qual aplicação usa a informação, onde ela reside em ambiente de produção e não-produção e qual o relacionamento das informações entre as diversas bases de dados.  Porém embora pareça simples no papel, muitas empresas enfrentam graves problemas de exposição de dados sensíveis justamente pela dificuldade de mapeá-los, correlacioná-los e em criar processos adequados e ágeis para disponibilizá-los de forma protegida em ambientes de desenvolvimento e testes ou para a manipulação em caso de diagnósticos de problemas. Muitas vezes dados sensíveis como CPF e Números de Cartões são usados como chaves de pesquisa em banco de dados e não podem ser omitidos das bases usadas para testes e desenvolvimento, o que dificulta ainda mais a sua proteção e ocultação. 

Muitas empresas focam seus esforços em melhorar o controle de acesso, limitando os profissionais que possuem acesso às informações sensíveis em ambiente de produção, ignorando os riscos operacionais e legais da não aplicação destes controles em ambientes de desenvolvimento e testes, onde os mesmos dados sensíveismesmo que em quantidade reduzida, passam a residir de forma aberta e sem controle,  acessíveis a profissionais internos e terceiros que não deveriam ter acesso, violam legislações de privacidade e regulamentações internacionais como o PCI (Payment Card Industry) e SOX (Sarbanes-Oxley). 

Privacidade de Dados é um dos mais importantes problemas a ser endereçado nos processos de gerenciamento de desenvolvimento e testes nos dias de hoje. Dados privados e estratégicos não devem ser comprometidos durante o ciclo de desenvolvimento, teste e/ou diagnósticos, portanto, compreender o uso da tecnologia de Data Masking , utilizar uma abordagem correta e implementar processos ágeis e otimizados é fundamental para o sucesso das operações e redução de riscos das empresas. 

 

Por: Kleber Melo, Consultor de Segurança da MindSec e redator do Blog Minuto da Segurança 

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Informações Sensíveis estão em risco durante o Ciclo de Desenvolvimento e Testes. – Information Security
  2. Informações Sensíveis estão em risco durante o Ciclo de Desenvolvimento e Testes – Neotel Segurança Digital
  3. LGPD: desafios e oportunidades da nova lei de dados
  4. GDPR: US$ 126 milhões em multas e crescendo

Deixe sua opinião!