A Queda de um Mito

Durante muito tempo a única pesquisa de referência em Segurança da Informação era o documento anual “Computer Crime and Security Survey” publicado em conjunto pelo Computer Security Institute e o FBI desde 1997. Nos cinco primeiro anos, em média 48% dos eventos relacionados A falhas de segurança foram atribuídos ao “inimigo interno”, funcionários que causavam problemas por desconhecimento, abuso de privilégios e mesmo por pura vontade de prejudicar suas organizações. Nos anos seguintes, este percentual não variou muito e boa parte do mercado assumiu uma unanimidade: o grande culpado pelas falhas de segurança é o funcionário.

Será que esta premissa é real ou o mito realmente caiu?

Entendendo o PCI DSS

No meio da corrida pelo ouro que movimentou a Califórnia do Século XIX, muitos comerciantes aproveitaram a grande quantidade de moeda circulante para vender um elixir que curava tudo: o Snake Oil. De dedo inflamado a dor de cabeça, o remédio tinha propriedades milagrosas. Ou pelo menos era vendido assim. Com o passar do tempo, o termo entrou para o linguajar norte-americano como uma fraude que promete milagres mas é incapaz de fazer mais que um placebo. O autor, pesquisador e profissional de IT Security, Bruce Schneier, usou o termo em seu blog ao se referir a forma como alguns produtos de criptografia estavam sendo vendidos.

Belas palavras que impressionam um leigo, porém ao serem analisadas por um profissional com um mínimo de conhecimento sobre o assunto não passam desta definição: belas palavras.Os padrões de segurança estabelecidos pelo Payment Card Industry (PCI) Council são referenciados por muitas pessoas desta forma, como um conjunto de regras simplista criado para satisfazer a necessidade de mostrar aos clientes das operadoras de cartão de crédito que seus dados estão sendo protegidos. Esta visão me parece primária e equivocada, pois a adoção de qualquer padrão de segurança pode cair no mesmo erro. Durante a minha carreira já vi empresas de diversos setores implementarem Planos Diretores de Segurança da Informação que deixavam todos os auditores que tinham pouco pouco tempo para fazer o seu trabalho satisfeitos, mas não resistiam a uma análise um pouco mais profunda.

Independente de qual seja o padrão de segurança que a sua empresa adote – ou queira adotar – a forma como o processo é implementado e administrado, importa muito mais do que a quantidade de controles que serão colocados no seu ambiente. Os controles estabelecidos pelo PCI Council têm a vantagem de serem simples, eficazes dentro do escopo ao qual se propõe a abordar e altamente escalonáveis. Este artigo mostra em uma visão geral, como estes padrões nasceram, quais controles são esperados e como a sua empresa pode se alinhar para um processo de certificação.