A defesa em profundidade não fornecerá um escudo cibernético impenetrável

A defesa em profundidade não fornecerá um escudo cibernético impenetrável, mas ajudará a empresa a minimizar riscos, mantendo-se um passo à frente dos criminosos virtuais.

Se houver apenas uma única defesa para proteger dados e informações, os criminosos virtuais precisam apenas passar por essa única defesa. Para garantir que as informações e os dados permaneçam disponíveis, uma empresa precisa criar diferentes camadas de proteção.

Uma abordagem em camadas proporciona a proteção mais abrangente. Se criminosos virtuais penetrarem uma camada, eles ainda têm que lidar com várias camadas a mais, com cada camada sendo mais complicada que a anterior.

A disposição em camadas é criar uma barreira de várias defesas que, juntas, se coordenam para prevenir ataques. Por exemplo, uma empresa pode armazenar seus documentos top secret em um servidor em um edifício rodeado por uma cerca elétrica.

Limitação

Limitar o acesso aos dados e às informações reduz a possibilidade de uma ameaça. Uma empresa deve restringir o acesso para que os usuários tenham apenas o nível de acesso necessário para fazer o seu trabalho. Por exemplo, as pessoas no departamento de marketing não precisam de acesso aos registros da folha de pagamentos para realizar seus trabalhos.

Soluções baseadas em tecnologia, como o uso de permissões de arquivos, são uma maneira de limitar o acesso. Uma empresa deve também implementar medidas procedimentais. Deve existir um procedimento que proíba um funcionário de remover documentos confidenciais das instalações.

Diversidade

Se todas as camadas protegidas fossem as mesmas, não seria muito difícil, para os criminosos virtuais, realizar um ataque bem-sucedido. Portanto, as camadas devem ser diferentes. Se criminosos virtuais penetrarem em uma camada, a mesma técnica não funcionará em todas as outras camadas. Quebrar uma camada de segurança não compromete todo o sistema. Uma empresa pode usar diferentes algoritmos de criptografia ou sistemas de autenticação para proteger os dados em diferentes estados.

Para atingir a meta da diversidade, as empresas podem usar os produtos de segurança fabricados por empresas diferentes para autenticação multifatorial. Por exemplo, o servidor que contém os documentos top secret está em uma sala trancada que requer um cartão magnético de uma empresa e autenticação de biometria fornecida por outra empresa.

Ofuscação

A ofuscação de informações também pode proteger dados e informações. Uma empresa não deve revelar informações que os criminosos virtuais podem usar para descobrir a versão do sistema operacional em execução em um servidor ou o tipo de equipamento que ele usa. Por exemplo, as mensagens de erro não devem conter nenhum detalhe que os criminosos virtuais possam usar para determinar as vulnerabilidades que estão presentes. Ocultar certos tipos de informação dificulta ataques de criminosos virtuais a um sistema.

Simplicidade

A complexidade não garante, necessariamente, a segurança. Se uma empresa implementar sistemas complexos que são difíceis de entender e de solucionar problemas, o “tiro pode sair pela culatra”. Se os funcionários não entenderem como configurar uma solução complexa corretamente, pode ser tão fácil quando em uma solução mais simples para os criminosos virtuais comprometerem esses sistemas. Para manter a disponibilidade, uma solução de segurança deve ser simples, do ponto de vista de dentro da empresa, mas complexa do ponto de vista exteno.