É preciso proteger também o ambiente de desenvolvimento

Um comportamento muito comum entre as empresas é o de implementar soluções e rotinas visando proteger o acesso as suas bases de dados de produção, sua principal fonte de informações sensíveis. Elas muitas vezes, porém, não protegem da mesma forma seus ambientes de testes e desenvolvimento

A última década foi palco de uma grande transformação na forma como as empresas lidam com suas informações. Se antes o maior desafio dos consultores de segurança era o de convencer as companhias sobre o quão importante era garantir a integridade e confidencialidade de seus dados, o advento da tecnologia e a crescente informatização de muitas atividades de nosso cotidiano contribuíram para o desenvolvimento de uma cultura cada vez mais receptiva à segurança de informação.

Todavia, um comportamento muito comum entre as empresas é o de implementar soluções e rotinas visando proteger o acesso as suas bases de dados de produção, sua principal fonte de informações sensíveis. Tão comum quanto, porém, é a inacreditável omissão com a qual estas mesmas empresas tratam suas bases de testes e desenvolvimento. Visando oferecer uma massa de dados integra, muitas copiam suas bases de produção (com dados reais) para ambientes de homologação, o que possibilita que os desenvolvedores possam trabalhar com um ambiente de testes muito semelhante ao ambiente de produção, diminuindo as chances de problemas ou incompatibilidades ao implementar mudanças ou novas aplicações. O problema é que muitas vezes o ambiente de desenvolvimento não dispõe do mesmo nível de segurança do ambiente de produção, ou ainda pior, é muito comum que as empresas utilizem profissionais de desenvolvimento terceirizados, permitindo que estes tenham contato direto com informações reais, copiadas de produção.

Este tipo de risco seria facilmente eliminado com a utilização de soluções de segurança desenvolvidas especialmente para atender a este tipo de demanda. O mercado já oferece softwares capazes de criar uma cópia “mascarada” da base de produção e disponibiliza-la para desenvolvimento e testes. Diferente da criptografia, estas soluções embaralham o conteúdo das tabelas, mantendo, porém, sua integridade e seus relacionamentos. O campo CPF, por exemplo, é “copiado” para desenvolvimento com números válidos, porém não verdadeiros. Desta forma, o time de desenvolvimento segue tendo um ambiente integro, igual ao de produção, porém, sem expor os dados reais.

Soluções deste tipo evitariam, por exemplo, o incidente ocorrido na última semana com o famoso site de financiamento coletivo Patreon, que confirmou o vazamento de dados de mais de 2,3 milhões de pessoas de seus registros. O site informou que o acesso indevido ocorreu em um servidor de desenvolvimento que continha, justamente, uma cópia de sua base de dados real. O Patreon, aliás, não foi o único caso de vazamento de informações dos últimos dias. No dia 25 de setembro a corretora de varejo Scottrade divulgou nota ao público admitindo que uma falha em sua segurança pode ter comprometido a confidencialidade dos dados de mais de 4 milhões de seus clientes. Já a Experian, assumiu em um comunicado no último dia 01, a responsabilidade pelo vazamento de informações de mais de 15 milhões de clientes da T-Mobile, operadora que utiliza seus serviços de armazenamento de dados para análises de créditos. Tudo isso as vésperas do “National Cyber Security Awareness Month”, uma espécie de mês de conscientização de segurança cibernética, que acontece todo mês de outubro nos EUA.

ExibirMinimizar
aci institute 15 anos compartilhando conhecimento