Quando a cifragem de dados em repouso não é uma opção: guia para CISO sobre controlos compensatórios robustos
A constatação do auditor chegou à secretária da CISO Sarah Chen com um impacto familiar. Uma base de dados legada crítica e geradora de receita, o coração operacional da linha de fabrico da empresa, não suportava cifragem moderna de dados em repouso. A arquitetura subjacente tinha uma década e o fornecedor deixara há muito de disponibilizar atualizações de segurança. O auditor, corretamente, classificou a situação como um risco elevado. A recomendação: “Cifrar todos os dados sensíveis em repouso utilizando algoritmos reconhecidos pelo setor.”
Para Sarah, isto não era apenas um problema técnico; era uma crise de continuidade do negócio. Atualizar o sistema significaria meses de indisponibilidade e milhões em custos, uma opção inviável para o Conselho de Administração. Mas manter um volume significativo de propriedade intelectual sensível sem cifragem era um risco inaceitável, uma clara divergência face ao Sistema de Gestão de Segurança da Informação (SGSI) da organização.
Este é o mundo real da cibersegurança, onde as soluções perfeitas são raras e a conformidade não pode ficar em pausa. Acontece quando ficheiros críticos de cópia de segurança estão armazenados em sistemas legados, quando um fornecedor SaaS essencial invoca “limitações técnicas” ou quando aplicações de elevado desempenho deixam de funcionar devido ao impacto da sobrecarga da cifragem. A resposta de manual, “basta cifrar”, colide frequentemente com uma realidade complexa.
Então, o que acontece quando o controlo principal e prescrito deixa de estar disponível? Não se aceita simplesmente o risco. Constrói-se uma defesa mais inteligente e resiliente com recurso a controlos compensatórios. Não se trata de apresentar desculpas; trata-se de demonstrar uma gestão da segurança madura e baseada no risco, capaz de resistir ao escrutínio de auditoria mais exigente.
Porque a cifragem de dados em repouso é um requisito crítico
A cifragem de dados em repouso é um controlo basilar em todos os referenciais modernos de segurança, incluindo ISO/IEC 27001:2022, Artigo 32 do RGPD da UE, NIS2, DORA e NIST SP 800-53 SC-28. A sua finalidade é simples, mas crítica: tornar os dados armazenados ilegíveis se as defesas físicas ou lógicas falharem. Uma fita de cópia de segurança perdida ou um servidor furtado que contenha dados não cifrados não é apenas uma falha técnica; é frequentemente uma violação de dados sujeita a notificação legal.
Os riscos são claros e significativos:
- Furto ou perda de suportes portáteis, como unidades USB e fitas de cópia de segurança.
- Exposição de dados a partir de dispositivos não geridos, esquecidos ou legados.
- Impossibilidade de aplicar cifragem nativa de disco ou de base de dados em contextos específicos de SaaS, nuvem, OT ou sistemas legados.
- Riscos de recuperação de dados se as chaves de cifragem forem perdidas ou geridas indevidamente.
Estes requisitos não são apenas técnicos; são obrigações legais. O Artigo 32 do RGPD da UE e os Artigos 5 e 10 do DORA reconhecem explicitamente a cifragem como uma “medida técnica adequada”. A NIS2 trata-a como uma linha de base para assegurar a integridade dos sistemas e da informação. Quando esta defesa principal não é viável, o ónus da prova passa para a organização, que deve demonstrar que as suas medidas alternativas são igualmente eficazes.
Da caixa de verificação isolada para uma defesa em camadas
A reação imediata a uma constatação de auditoria como a de Sarah é, muitas vezes, o pânico. Mas um SGSI bem estruturado antecipa estas situações. O primeiro passo de Sarah não foi telefonar à equipa de infraestrutura; foi abrir a Política de Controlos Criptográficos da organização, um documento construído com base nos modelos empresariais da Clarysec. Navegou diretamente para uma cláusula que fornecia a base da sua estratégia.
De acordo com a Política de Controlos Criptográficos, a secção 7.2.3 define explicitamente o processo para determinar:
“Controlos compensatórios específicos a aplicar”
Esta cláusula é uma aliada essencial para qualquer CISO. Reconhece que uma abordagem única para todos os cenários de segurança é inadequada e fornece uma via aprovada para tratar o risco. A política não funciona isoladamente. Como indicado na cláusula 10.5, está diretamente ligada à Política de Classificação e Rotulagem da Informação, que “define os níveis de classificação (por exemplo, Confidencial, Dados regulamentados) que desencadeiam requisitos específicos de cifragem.”
Esta ligação é crítica. Os dados na base de dados legada estavam classificados como “Confidencial”, razão pela qual a ausência de cifragem foi assinalada. A missão de Sarah ficou então clara: construir uma fortaleza de controlos compensatórios suficientemente robusta para mitigar o risco de exposição até um nível aceitável.
Arquitetar uma estratégia defensável com o Zenith Blueprint
A cifragem é uma pedra angular da segurança moderna, mas, como explica o Zenith Blueprint: roteiro de 30 passos de um auditor da Clarysec no Passo 21, o Controlo 8.24 Utilização de criptografia não se limita a “ligar a cifragem”. Trata-se antes de “integrar a criptografia na conceção, nas políticas e na gestão do ciclo de vida da organização.”
Quando uma parte da conceção (a base de dados legada) falha, os aspetos de política e de ciclo de vida devem compensar. A equipa de Sarah utilizou este referencial para arquitetar uma defesa em múltiplas camadas, assente na prevenção de qualquer saída dos dados do seu contentor seguro, ainda que não cifrado.
Controlo compensatório 1: Prevenção contra Perda de Dados (DLP)
Se não é possível cifrar os dados onde residem, é necessário garantir que não podem sair. A equipa de Sarah implementou uma solução de Prevenção contra Perda de Dados (DLP) para atuar como guarda digital. Não se tratava de uma simples regra de rede; era um controlo sofisticado, sensível ao conteúdo.
Utilizando o Zenith Controls: guia de conformidade transversal da Clarysec, configuraram o sistema DLP com base na orientação para o controlo 8.12 Prevenção contra perda de dados da ISO/IEC 27001:2022. As regras foram diretamente informadas por 5.12 Classification of information. Qualquer dado que correspondesse aos esquemas da informação “Confidencial” na base de dados legada era automaticamente bloqueado quando se tentava transferi-lo por correio eletrónico, carregamentos web ou mesmo por copiar e colar para outras aplicações.
Como explica o Zenith Controls:
“A Prevenção contra Perda de Dados (DLP) depende fundamentalmente de uma classificação de dados rigorosa. O Controlo 5.12 assegura que os dados são rotulados de acordo com a sensibilidade… A DLP é uma forma especializada de monitorização contínua, orientada para a movimentação de dados… O 8.12 pode aplicar políticas de cifragem a dados que saem da organização, garantindo que, mesmo que sejam exfiltrados, permanecem ilegíveis para partes não autorizadas.”
Este controlo é reconhecido em múltiplos referenciais, com mapeamento para o Art. 32 do RGPD da UE, Art. 21 da NIS2, Art. 10 do DORA e NIST SP 800-53 SI-4. Ao implementá-lo, a equipa de Sarah criou uma bolha de proteção forte, assegurando que os dados não cifrados permaneciam isolados.
Controlo compensatório 2: mascaramento de dados para utilização fora de produção
Um dos maiores riscos dos dados legados é a sua utilização noutros ambientes. A equipa de desenvolvimento precisava frequentemente de dados do sistema de fabrico para testar novas funcionalidades aplicacionais. Entregar-lhe simplesmente dados confidenciais e não cifrados estava fora de questão.
Aqui, Sarah recorreu ao Passo 20 do Zenith Blueprint, que aborda 8.11 Data masking. O guia observa que os auditores perguntarão diretamente: “Alguma vez utiliza dados pessoais reais em sistemas de teste? Em caso afirmativo, como são protegidos?”
Seguindo esta orientação, a equipa de Sarah implementou um procedimento rigoroso de mascaramento de dados. Qualquer extração de dados solicitada pela equipa de desenvolvimento tinha de passar por um processo automatizado que pseudonimizava ou anonimizava os campos sensíveis. Nomes de clientes, fórmulas proprietárias e métricas de produção foram substituídos por dados realistas, mas fictícios. Este único controlo eliminou uma superfície de risco muito significativa, assegurando que os dados sensíveis nunca saíam do seu ambiente de produção altamente controlado na forma original.
Controlo compensatório 3: controlos físicos e lógicos reforçados
Com a fuga de dados e a utilização fora de produção tratadas, a camada final de defesa centrou-se no próprio sistema. Com base nos princípios de 7.10 Storage media do Zenith Controls, a equipa de Sarah tratou o servidor físico como um ativo de alta segurança. Embora o 7.10 seja frequentemente associado a suportes amovíveis, os seus princípios de gestão do ciclo de vida e segurança física são perfeitamente aplicáveis.
Como refere o Zenith Controls sobre este tema:
“A ISO/IEC 27002:2022 fornece orientação abrangente na Cláusula 7.10 para gerir suportes de armazenamento de forma segura ao longo de todo o seu ciclo de vida. A norma recomenda que as organizações mantenham um registo de todos os suportes amovíveis…”
Aplicando esta lógica, o servidor foi movido para um bastidor dedicado e trancado no centro de dados, acessível apenas por dois engenheiros seniores nominativamente identificados. O acesso físico exigia registo de entrada e era monitorizado por CCTV. Do lado da rede, o servidor foi colocado numa VLAN segmentada “legada”. As regras de firewall foram configuradas para negar todo o tráfego por defeito, com uma única regra explícita que permitia comunicação apenas a partir do servidor aplicacional designado e numa porta específica. Este isolamento extremo reduziu drasticamente a superfície de ataque, tornando os dados não cifrados invisíveis e inacessíveis.
Enfrentar a auditoria: apresentar uma estratégia defensável e multifocal
Quando o auditor regressou para o acompanhamento, Sarah não apresentou desculpas. Apresentou um plano de tratamento de riscos abrangente, com documentação, logs e demonstrações em direto dos controlos compensatórios da sua equipa. Uma auditoria não é um evento isolado; é uma conversa analisada por diferentes perspetivas, e um CISO deve estar preparado para cada uma delas.
A perspetiva do auditor ISO/IEC 27001: O auditor queria verificar a eficácia operacional. A equipa de Sarah demonstrou o sistema DLP a bloquear uma mensagem de correio eletrónico não autorizada, apresentou o script de mascaramento de dados em execução e forneceu logs de acesso físico cruzados com tickets de trabalho.
A perspetiva do RGPD da UE e da privacidade: O auditor perguntou como era aplicada a minimização de dados. Sarah apresentou os scripts automatizados de eliminação segura de dados em cache e o processo de pseudonimização para quaisquer dados que saíssem do sistema de produção, alinhando com o Artigo 25 do RGPD da UE (Proteção de Dados desde a Conceção e por Defeito). A Política de Controlos Criptográficos para PME atribui explicitamente ao Encarregado da Proteção de Dados (EPD) a responsabilidade de “assegurar que os controlos de cifragem estão alinhados com as obrigações de proteção de dados previstas no Artigo 32 do RGPD da UE.”
A perspetiva NIS2/DORA: Esta perspetiva centra-se na resiliência operacional. Sarah apresentou resultados de testes de cópia de segurança e restauro para o sistema isolado, bem como adendas de segurança do fornecedor para o software legado, demonstrando gestão de riscos proativa conforme exigido pelo Artigo 21 da NIS2 e pelo Artigo 9 do DORA.
A perspetiva NIST/COBIT: Um auditor que utilize estes referenciais procura governação e métricas. Sarah apresentou o Registo de Riscos atualizado com a aceitação formal do risco residual (COBIT APO13). Mapeou a DLP para NIST SP 800-53 SI-4 (monitorização de sistemas), a segmentação de rede para SC-7 (proteção de perímetro) e os controlos de acesso para AC-3 e AC-4, demonstrando que, embora o SC-28 (proteção da informação em repouso) não fosse cumprido diretamente, existia um conjunto equivalente de controlos implementado.
Evidência de auditoria essencial para controlos compensatórios
Para comunicar eficazmente a estratégia, a equipa de Sarah preparou evidência ajustada ao que os auditores procuram.
| Perspetiva de auditoria | Evidência necessária | Teste de auditoria comum |
|---|---|---|
| ISO/IEC 27001 | Entradas no Registo de Riscos, registos de exceções às políticas, regras DLP, inventários de suportes de armazenamento | Rever logs de risco/exceção, solicitar logs de ações DLP; rastrear o ciclo de vida dos suportes. |
| RGPD da UE | Procedimentos de mascaramento de dados, preparação para notificação de violação, registos de eliminação de dados | Rever conjuntos de dados de amostra (mascarados vs. não mascarados), testar acionamentos DLP, simular um cenário de violação. |
| NIS2/DORA | Resultados de testes de cópia de segurança/restauro, avaliações de segurança de fornecedores, exercícios de resposta a incidentes | Simular uma tentativa de exportação de dados; rever processos de tratamento de cópias de segurança; testar controlos DLP em dados críticos. |
| NIST/COBIT | Logs de monitorização técnica, documentação de integração com políticas, entrevistas com colaboradores | Simular exfiltração de dados, comparar a política com o procedimento, entrevistar custodiantes de dados e proprietários de sistemas-chave. |
Ao antecipar estas diferentes perspetivas, Sarah transformou uma potencial não conformidade numa demonstração de maturidade de segurança.
Resumo prático para a sua próxima auditoria
Para tornar a estratégia clara e defensável, a equipa de Sarah criou uma tabela de resumo no seu plano de tratamento de riscos. É uma abordagem que qualquer organização pode adotar.
| Risco | Controlo principal (não viável) | Estratégia de controlos compensatórios | Recurso Clarysec | Evidência para o auditor |
|---|---|---|---|---|
| Divulgação não autorizada de dados em repouso | Cifragem integral de disco (AES-256) | 1. Prevenção contra Perda de Dados (DLP): Monitorizar e bloquear todas as tentativas não autorizadas de exfiltração de dados com base no conteúdo e no contexto. | Zenith Controls (8.12) | Configuração da política DLP, logs de alerta, procedimentos de resposta a incidentes. |
| 2. Controlo rigoroso de acesso lógico: Isolar o servidor numa rede segmentada com regras de firewall de “negar tudo” e acesso altamente restrito por contas de serviço. | Zenith Controls (8.3) | Diagramas de rede, conjuntos de regras de firewall, revisões de acessos de utilizadores, política de credenciais de contas de serviço. | ||
| 3. Segurança física reforçada: Alojamento do servidor num bastidor dedicado e trancado, com acesso físico registado e monitorizado. | Zenith Controls (7.10) | Logs de acesso ao centro de dados, registos de imagens CCTV, folhas de levantamento de chaves do bastidor. | ||
| Utilização de dados sensíveis em ambientes de não produção | Cifragem de cópias de dados de teste | Mascaramento de dados: Implementar um procedimento formal para pseudonimizar ou anonimizar todas as extrações de dados antes da utilização em teste ou desenvolvimento. | Zenith Blueprint (Passo 20) | Documento formal do procedimento de mascaramento de dados, demonstração dos scripts de mascaramento, conjunto de dados de amostra mascarado. |
Conformidade transversal em síntese
Uma estratégia sólida de controlos compensatórios é defensável em todos os principais referenciais. O Zenith Controls da Clarysec fornece o mapeamento transversal para assegurar que as suas defesas são compreendidas e aceites de forma universal.
| Referencial | Cláusula/referência principal | Como são reconhecidos os controlos compensatórios |
|---|---|---|
| ISO/IEC 27001:2022 | 8.24, 7.10, 8.12, 8.11, 5.12 | A abordagem baseada no risco permite controlos alternativos, como DLP, gestão de suportes de armazenamento e mascaramento de dados, quando devidamente justificados. |
| RGPD da UE | Art. 5(1)(f), 25, 32 | Exige medidas técnicas “adequadas”; pseudonimização, controlos de acesso e DLP podem cumprir este requisito se a cifragem não for viável. |
| NIS2 | Art. 21, 23 | Exige uma abordagem baseada no risco; controlos em camadas, como DLP, proteção de cópias de segurança e verificações de fornecedores, são tratamentos de risco válidos. |
| DORA | Art. 5, 9, 10, 28 | Enfatiza a resiliência operacional; DLP, controlo de acesso e registo robusto são essenciais para proteger dados financeiros, com ou sem cifragem. |
| NIST SP 800-53 | SC-28, MP-2 a MP-7, AC-3/4, SI-4 | Permite controlos compensatórios; DLP (SI-4), restrições de acesso (AC-3) e rastreabilidade de suportes (série MP) podem tratar os riscos de dados não cifrados. |
| COBIT | DSS05, APO13, MEA03 | Centra-se na governação e na medição; a aceitação documentada do risco (APO13) e a monitorização dos controlos compensatórios (MEA03) demonstram diligência devida. |
Conclusão: transforme o seu elo mais fraco numa força
A história da base de dados legada que não podia ser cifrada não é uma história de fracasso. É uma história de gestão de riscos madura e inteligente. Ao recusar aceitar uma resposta simples de “não é possível”, a equipa de Sarah transformou uma vulnerabilidade significativa numa demonstração das suas capacidades de defesa em profundidade. Provou que segurança não é marcar uma única caixa intitulada “cifragem”. É compreender o risco e construir uma defesa ponderada, em camadas e auditável para o mitigar.
A sua organização terá inevitavelmente a sua própria versão desta base de dados legada. Quando a encontrar, não a veja como um bloqueio. Veja-a como uma oportunidade para construir um programa de segurança mais resiliente e defensável.
Pronto para construir o seu próprio quadro de controlos robusto e preparado para auditoria? Comece pela base certa.
- Reveja o seu ecossistema de políticas com os toolkits de políticas abrangentes da Clarysec.
- Explore The Zenith Blueprint: roteiro de 30 passos de um auditor para orientar a sua implementação.
- Utilize Zenith Controls: guia de conformidade transversal para assegurar que as suas defesas resistem ao escrutínio de qualquer perspetiva.
Contacte a Clarysec para um workshop adaptado ou uma avaliação completa de conformidade transversal. Porque, no atual panorama regulamentar, a preparação é o único controlo que importa.
Referências:
- Política de Controlos Criptográficos
- Política de Controlos Criptográficos para PME
- Política de Classificação e Rotulagem da Informação
- Zenith Blueprint: roteiro de 30 passos de um auditor
- Zenith Controls: guia de conformidade transversal
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
