[Segurança] Camadas de Segurança, segundo Maslow

Perdido em um paper da ENISA sobre terminologia de ciber segurança ("ENISA overview of cybersecurity and related terminology"), achei um trecho muito interessante sobre como abordar as principais necessidades de proteção de dados, baseada na Pirâmide de Maslow.

A proposta é adequar a estratégia de segurança aos diferentes níveis de necessidade quando estamos no ciber espaço, e assim pensarmos em categorizar de forma hierárquica nossas principais necessidades.

Dessa forma, a proposta da ENISA é considerar segurança pensando nas necessidades básicas de conectividade e segurança do indivíduo, da União Européia até chegar no topo da pirâmide, que é a segurança da sociedade (direitos humanos e democracia).

• Camada 1: Basic security protection ("Proteções básicas de segurança) - Diz respeito a segurança e os riscos dos cidadãos / usuários no espaço cibernético, uma necessidade fundamental para pensar em segurança de todo o ecossistema cibernético. Nesta camada, medidas preventivas incluem a educação, conscientização e "higiene cibernética" (boas práticas básicas de segurança, como uso de firewall, anti vírus e sempre aplicar as atualizações e patches em seus equipamentos);
• Camada 2: Critical asset protection (Proteção de ativos críticos) - Aborda a protecção dor serviços essenciais, ou seja, a Proteção das Infraestruturas Críticas de Informações (Critical Information Infrastructure Protection - CIIP). Inclui a estruturação e cooperação dos CSIRTs, fornecendo bases para a sociedade e a economia funcionarem;
• Camada 3: Digital single market protection (Proteção do mercado único digital) - Esta camada representa a necessidade de proteger as empresas e seus negócios online, já que cada vez mais vemos a evolução das tecnologias e novas oportunidades para o desenvolvimento de negócios online. Com isso, a nossa dependência no ciber espaço aumenta, e consumidores e empresas podem ser impactados facilmente por ataques cibernéticos, crimes cibernéticos, sabotagem cibernética ou espionagem cibernética. Devem ser implementadas medidas de cibersegurança necessárias para apoiar as PMEs e empresas em geral e as PMEs;
• Camada 4: Global stability protection (Proteção da estabilidade global) - Devemos manter a estabilidade da Internet frente a ameaças globais como guerra cibernética e espionagem cibernética, através de iniciativas de defesa cibernética baseadas em acordos internacionais através de regulamentações e acordos diplomáticos;
• Camada 5: Democracy and human rights protection (Democracia e proteção dos direitos humanos) Envolve a proteção dos direitos humanos on-line, além da discussão sobre os impactos e aspectos éticos de novas tecnologias, produtos e serviços online. Nessa camada, devemos proteger os direitos humanos, as liberdades e a democracia no ciber espaço.

Segundo esse modelo, a segurança do ciber espaço é vista como o resultado de proteções que devem ser aplicados em vários níveis, partindo do indivíduo, passando pelos negócios e pelos governos até chegar na sociedade. A proteção do cidadão e das infraestruturas críticas é a base fundamental para o sucesso da sociedade digital, ainda mais se pensarmos em um contexto globalizado. Esse modelo, pensado inicialmente pela Enisa do ponto de vista da União Européia, certamente se aplica a uma escala global.

Curiosamente, há alguns anos atrás o meu amigo Fernando Fonseca também pensou em como associar a Pirâmide de Maslow as necessidades de de segurança durante um processo de continuidade de negócios. O seu artigo "Aplicando a pirâmide de Maslow ao Business Continuity Plan", escrito em 2007, usa uma abordagem totalmente diferente da ENISA. Ele discute como as necessidades humanas, em um momento de crise, devem ser levadas em consideração em nosso planejamento de BCP.