Proteger o dado em si mitiga o risco em plataformas vulneráveis

 

por Willem van Dinteren

 

No dia 30 de agosto, acordamos com mais uma notícia sobre uma megafraqueza de segurança, que expõe dados pessoais e financeiros referentes a 50 milhões de transações, realizadas desde 2007 por uma fintech de meios de pagamento.

 

Esse incidente, diferente de outros que por vezes contam com a participação de “insiders”, foi de fato a exploração de uma vulnerabilidade do banco de dados. O que me faz pensar na seguinte pergunta: proteger o dado, ou o banco de dados?

 

Essa é na verdade uma pergunta tendenciosa e proposital, pois a reflexão que convido a todos a fazer é: para uma situação como essa não seria ótimo ter os dados do banco criptografados?

 

Sim, criptografar o banco de dados SIM!!!

 

Para muitos clientes com quem converso a principal preocupação é com a performance do banco. Isso é de fato preocupante e deve ser levado em consideração, porém não deve ser fator de paralisia. Até porque, os fabricantes de criptografia para bancos de dados, também se preocupam com isso.

 

Mas, deixando de lado os aspectos técnicos, volto à reflexão – uma ferramenta que eventualmente proteja o banco de dados teria sua efetividade até certo ponto… nesse caso estamos lidando com uma coisa extremamente efêmera, que são as novas a vulnerabilidades aparecendo todos os dias. E sua linha de defesa do banco de dados fatalmente em algum momento falharia, pois esse tipo de proteção, quando pensamos em vulnerabilidades, precisaria ser monitorada e cuidada diariamente, o que gera uma grande necessidade de dedicação dos profissionais na atuação proativa e especializada.  Acrescente a isso a “natureza do banco de dados”, um ambiente que além preocupações de segurança recebe o zelo de um DBA, tal qual uma mãe para com um filho. Isso significa que, do ponto de vista desse profissional, ele deseja que o Serviço esteja sempre no ar (disponibilidade, é um dos pilares da Segurança da Informação) e assim se fazem justas e honestas suas angústias em relação ao que esse “cara da segurança” vai aplicar de políticas de proteção e que podem impactar na produção.

 

Assim, lá vai outro conceito batido da Segurança da Informação: “Segurança se faz em camadas”.

 

E, com esse pensamento, não seria interessante poder contar com uma camada de segurança que protegesse o dado na eventualidade de um vazamento?

 

E é aí que a criptografia faria sentido.

 

Nesse caso, com um volume de atuação técnica bem menor do que algumas soluções de proteção do banco necessitam e com uma característica interessante: dado criptografado é dado inútil…

 

Não invalido qualquer outra camada de proteção pré-existente. Apenas convido a todos à reflexão sobre o valor da criptografia em uma situação como essa.