O que a Home Depot, a UPS e a Target têm em comum? Bem, além de todas fornecerem móveis econômicos, as três foram alvo recente de violações de dados envolvendo unidades de ponto de venda (POS) contendo informações financeiras de clientes.
Hoje em dia, quando ocorre uma violação de dados, sempre há alguém pronto para jogar a culpa nos outros. “A culpa é da loja. A segurança de TI deles não estava em conformidade. É óbvio que eles deveriam ter corrigido x e se preparado para y…” Bem, não acredito que abordar esse tipo de questão por esse ângulo seja produtivo. A segurança nunca é infalível e *coisas* acontecem, então use um capacete e acostume-se com isso ou saia do ramo.
Se você quer culpar alguém, culpe a confiança depositada nas regulamentações como meio de proteger as informações dos clientes. As regulamentações não são, e nunca foram, uma solução milagrosa. Um chef não faz boa comida só porque seu restaurante passou na inspeção sanitária; no entanto, na segurança de TI, as pessoas se gabam dos tipos de conformidade que possuem como se isso fosse algo significativo. Não é assim que funciona. Se você trabalha com TI no varejo, a conformidade com o PCI não é uma espécie de medalha de honra, é mais como um reconhecimento de que você não é incompetente. Se você tivesse uma sala cheia de pessoas e quisesse encontrar a mais instruída, não começaria perguntando quem concluiu o ensino fundamental; portanto, se você julgar uma empresa que sofreu uma violação apenas com base na conformidade, estará fazendo as perguntas erradas. A conformidade é um requisito mínimo e, como a maioria dos requisitos mínimos, é lógico que qualquer coisa acima disso seja melhor. O que precisamos começar a perguntar, então, é: “essa violação poderia ter sido razoavelmente evitada?”
Essas empresas eram legalmente obrigadas a estar em conformidade com a norma PCI, mas garantir a segurança de TI envolve muito mais do que simplesmente seguir diretrizes de segurança à risca. O ponto principal sobre segurança de TI é que nunca se pode eliminar o risco, apenas mitigá-lo. Isso deixa uma questão em aberto: a violação de dados da Home Depot poderia ter sido razoavelmente evitada?
Não posso responder facilmente a essa pergunta. Dependendo de como você vê a situação, a violação era evitável e inevitável. É impossível saber, porque não sabemos se a Home Depot fez um bom trabalho ao proteger os dados de seus clientes, pois essa informação ainda não foi divulgada. O que posso dizer é que, se mais bancos tivessem adotado cartões de crédito com chip, a violação não teria sido tão grave. Os cartões com chip são mais difíceis e mais caros de serem "clonados", o que os torna menos valiosos para os criminosos. Isso teria evitado a violação? Provavelmente não. Teria diminuído os danos? Sim, significativamente.
Mas, se pensarmos bem, isso resume bem o que é a segurança de TI. Não existe segurança absoluta. O único absoluto na segurança de TI é a probabilidade absoluta de qualquer sistema ser violado. P(Violação) ≠ 0 e assim por diante. Se alguém quisesse dedicar recursos suficientes, poderia violar qualquer sistema. Para combater isso, os profissionais de segurança de TI devem seguir um processo constante de verificação e confirmação de que seus sistemas estão como deveriam estar. É um processo de confirmar que as vulnerabilidades são corrigidas à medida que são descobertas.
Em resumo:
Poderia ter sido feito mais para evitar a violação da Home Depot?
Claro, sempre há mais a ser feito para melhorar a segurança.
O status de sua conformidade com a PCI é importante?
Não muito, exceto do ponto de vista jurídico.
Uma segurança mais rigorosa teria feito diferença?
Não necessariamente, mas não poderia ter piorado a situação.
Não sou do tipo que se autopromove logo após uma grande violação de segurança, mas temos um e-book gratuito sobre como AuthAnvil ajudar a proteger a TI no setor de varejo. Ele aborda como muitos dos nossos recursos podem ajudar a atender e superar os requisitos da norma PCI DSS.
