Informações Sensíveis estão em risco durante o Ciclo de Desenvolvimento e Testes

Bases de dados de teste não devem ter informações identificáveis

08/01/2018 mindsecblog Artigos, LGPD & PRIVACY 0

Sem o devido cuidado informações sensíveis de ambiente produtivo produção podem estar expostas durante ciclo de desenvolvimento.

Um dos maiores desafios enfrentados em tempo de crise é atender a velocidade requerida de negócios ao mesmo tempo controlar e reduzir de riscos e perdas.  Por isto, as empresas cada vez mais se veem obrigadas a assumir ou ignorar riscos operacionais ou de compliance devido à necessidade de vencer a concorrência através de maior agilidade operacional e maior velocidade em novas criações e lançamentos.

Pesquisa da Ernst Young aponta que  56% das empresas acreditam que funcionários são prováveis fontes de ataques e vazamentos de informações sensíveis e 36% afirmam que terceiros com acesso à empresa são responsáveis por perdas operacionais. A Bitglass, em seu relatório Insider Threat, afirma que 59% das ameaças internas são devido a usuários com privilégio de acesso, 48% devido a terceiros e 46% devido a outros funcionários que possuem acesso as informações em algum momento do seu ciclo de desenvolvimento; Segunda a Bitglass, 57% os vazamentos são devido a descuidos e imprudência, 53% são ataques maliciosos e que 57% dos respondentes apontam como maior ativo de risco as bases de dados com informações de clientes, propriedade intelectual, dados estratégicos ou dados financeiros sensíveis.

Devido a este cenário de risco é imperativo que se criem processos ágeis e que garantam a segurança para o avanço e crescimento seguro da empresa.

Segundo o Instituto Forrester, o Data Masking é uma das iniciativas de maior ROI para redução de risco de exposição e perda de dados sensíveis. A Forrester aponta um payback em apenas 5,4 meses, com benefícios acentuados em 63% de Produtividade e 26% na redução de custos em desenvolvimento, testes e manutenção. A Forrester aponta ainda que 90% da empresas preferem a técnica de Data Masking a criar bases de dados específicas para testes.

Data Masking é o processo que permite o uso de informações, em formato adequado, para desenvolvimento e testes ao mesmo tempo que protege a confidencialidade de dados privados ou estratégicos.

Entre as técnicas de Data Masking podemos destacar:

  • Randomização não determinística: substituição de valores por outros de mesmo formato randomicamente;
  • Blurring: Adição de variação randômica ao valor original;
  • Nulling: Substituição do valor original por um valor nulo, por ex. Substituir um valor válido por #### ou **** ou “branco”;
  • Máscara Repetitiva: Substituição de um determinado tipo de valor por uma valor mascarado mantendo a integridade de sua formatação;
  • Substituição: Randomicamente substituir um valor por outro dentro da mesma base ou a partir de uma lista de valores pré-montada externa;
  • Regras especiais: Substituição de valores seguindo regras especiais de formação e formatação;
  • Tokenization: Substituição de valores a partir de um token ou chave externa possibilitando a recuperação do valor original por engenharia reversa.

As melhores práticas de Data Masking requerem que a companhia saiba qual informação deve ser protegida, quem é autorizado a vê-la, qual aplicação usa a informação, onde ela reside em ambiente de produção e não-produção e qual o relacionamento das informações entre as diversas bases de dados.  Porém embora pareça simples no papel, muitas empresas enfrentam graves problemas de exposição de dados sensíveis justamente pela dificuldade de mapeá-los, correlacioná-los e em criar processos adequados e ágeis para disponibilizá-los de forma protegida em ambientes de desenvolvimento e testes ou para a manipulação em caso de diagnósticos de problemas. Muitas vezes dados sensíveis como CPF e Números de Cartões são usados como chaves de pesquisa em banco de dados e não podem ser omitidos das bases usadas para testes e desenvolvimento, o que dificulta ainda mais a sua proteção e ocultação.

Muitas empresas focam seus esforços em melhorar o controle de acesso, limitando os profissionais que possuem acesso às informações sensíveis em ambiente de produção, ignorando os riscos operacionais e legais da não aplicação destes controles em ambientes de desenvolvimento e testes, onde os mesmos dados sensíveis, mesmo que em quantidade reduzida, passam a residir de forma aberta e sem controle,  acessíveis a profissionais internos e terceiros que não deveriam ter acesso, violam legislações de privacidade e regulamentações internacionais como o PCI (Payment Card Industry) e SOX (Sarbanes-Oxley).

Privacidade de Dados é um dos mais importantes problemas a ser endereçado nos processos de gerenciamento de desenvolvimento e testes nos dias de hoje. Dados privados e estratégicos não devem ser comprometidos durante o ciclo de desenvolvimento, teste e/ou diagnósticos, portanto, compreender o uso da tecnologia de Data Masking , utilizar uma abordagem correta e implementar processos ágeis e otimizados é fundamental para o sucesso das operações e redução de riscos das empresas.

Para trabalhar o tema e conseguir apoio do CRO – Chief Risk Officer, dentro da empresa, algumas perguntas podem ser utilizadas:

  • As Informações Sensíveis estão protegidas durante o ciclo de desenvolvimento e testes?
  • Qual o Risco de informações sensíveis estarem protegidas apenas em produção?
  • Informações usadas para Desenvolvimento e Teste podem colocar sua empresa em risco .
  • Usar informações privadas desprotegidas em ambiente de Desenvolvimento e Teste é ilegal .
  • Você sabe qual o risco que está correndo nos ambientes de teste e desenvolvimento de sua empresa?

 

por MindSec
Sobre mindsecblog 2437 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

Seja o primeiro a comentar

Deixe sua opinião!