Secure by Design vs Privacy by Design. O termo mais comum, principalmente no meio dos profissionais relacionados à Lei Geral de Proteção de Dados, a LGPD é o Privacy by Design, que ficou famoso com a pesquisadora Ann Cavoukian, Ph.D. O conceito de Privacy by Design promove a visão de que o futuro da privacidade não pode ser assegurado apenas pela conformidade com as estruturas regulatórias; em vez disso, a garantia de privacidade deve, idealmente, tornar-se o padrão de uma organização, ou seja, o seu modo de operação.
Quando pensamos na Segurança da informação, nem sempre ela é considerada no design e desenvolvimento de sistemas de informação. Além disso, a Segurança da Informação é frequentemente vista como uma solução técnica. No entanto, a Segurança da Informação que pode ser alcançada por meios técnicos é limitada e pode ser ineficaz sem o suporte de controles organizacionais, orientados para pessoas e controles físicos adequados. Contudo, integrar segurança em um sistema de informação funcionalmente completo pode ser difícil e custoso.
Secure by Design e Security by Design são termos que são frequentemente usados de maneira intercambiável e se referem ao mesmo conceito básico: a integração de princípios de segurança desde o início do processo de desenvolvimento de software ou sistemas.
Afinal, o que é Secure by Design?
A origem do termo Security by Design é multifacetada, com raízes na segurança de computadores, engenharia de software e outras áreas. A crescente importância da segurança na era digital impulsiona a evolução contínua de conceitos e práticas relacionados vem reforçando a sua importância.
Secure by Design significa que produtos tecnológicos são construídos de maneira a proteger razoavelmente contra atores cibernéticos maliciosos, impedindo que obtenham acesso a dispositivos, dados e infraestruturas conectadas. Convém que os fabricantes de software realizem uma gestão de riscos para identificarem e enumerarem as ameaças cibernéticas predominantes aos sistemas críticos e, em seguida, incluir proteções nos projetos dos produtos que levem em conta o cenário de ameaças cibernéticas em constante evolução.
Práticas de desenvolvimento de tecnologia da informação (TI) seguras e múltiplas camadas de defesa, conhecidas como defense-in-depth, também são recomendadas para evitar que atores maliciosos comprometam sistemas ou obtenham acessos não autorizados a dados críticos. As autoridades governamentais também recomendam que os fabricantes utilizem um modelo de ameaças personalizado durante a fase de desenvolvimento do produto para abordar todas as ameaças potenciais a um sistema e levar em consideração o processo de implantação de cada sistema.
Contudo, cabe ressaltar que não existe uma solução única para acabar com a ameaça persistente de atores cibernéticos maliciosos explorando vulnerabilidades tecnológicas. No entanto, um grande conjunto de vulnerabilidades deve-se a um subconjunto relativamente pequeno de causas raízes. Os fabricantes devem desenvolver roteiros escritos para alinhar seus portfólios de produtos existentes com práticas mais seguras desde o design, garantindo desviar-se dessas práticas apenas em situações excepcionais.
“A segurança da informação não deve ser uma opção de luxo, mas deve ser considerada como um direito que os clientes (titulares) recebem sem necessidade de negociação ou pagamento adicional.“
Sistema de Gestão de Segurança da Informação
Um Sistema de Gestão de Segurança da Informação (SGSI) pode auxiliar na adoção de práticas de Secure by Design e envolve identificar quais controles estão em vigor e requerem um planejamento cuidadoso e atenção aos detalhes. Por exemplo, controles de acesso, que podem ser técnicos (lógicos), físicos, administrativos (gerenciais) ou uma combinação deles, fornecem um meio de garantir que o acesso à informação seja autorizado e restrito com base nos requisitos de negócios e de Segurança da Informação.
A adoção bem-sucedida de um SGSI é importante para proteger os ativos de informação, permitindo que uma organização:
- alcance maior garantia de que suas informações estão sempre adequadamente protegidas;
- mantenha um quadro eficaz de gestão de riscos;
- melhore continuamente a segurança;
- alcance eficazmente conformidade legal, regulatória e contratual.
Conclusão
A Secure by Design está se tornando rapidamente crucial em ambientes em rápido desenvolvimento, como, por exemplo, o ambiente da Internet das Coisas (IoT), em que quase qualquer dispositivo, objeto ou entidade concebível pode receber um identificador único (UID) e ser conectado à rede, tornando-os acessíveis pela Internet. Um dos principais desafios da Segurança da Informação é que a segurança não tem sido tradicionalmente considerada no design de produtos para aparelhos e objetos de rede que, tradicionalmente, não eram conectados.
O modelo de segurança por design contrasta com abordagens menos rigorosas, incluindo segurança pela obscuridade, segurança pela minoria e segurança pela obsolescência.