Como o Google cuida da segurança de suas informações
19 março, 2008
19/03/2008 1:31:00 PM
Postado por Berthier Ribeiro-Neto, Diretor de Engenharia para América Latina
Como muitos de vocês sabem, nós passamos bastante tempo aqui pensando em novos produtos que ajudem você a administrar sua vida com mais eficiência, seja organizando melhor seus e-mails, compartilhando suas fotos com amigos ou colaborando em documentos em tempo real. O que talvez você não saiba é que também passamos muito tempo pensando na segurança que faz parte desses produtos, e mais especificamente nas formas que podemos proteger você e suas informações particulares.
Mesmo que provavelmente você nunca venha a ter um problema de segurança, nós levamos essa questão muito a sério, e é por isso que temos alguns dos melhores engenheiros do mundo trabalhando conosco para manter as informações seguras. Muito de seu trabalho é confidencial, mas fazemos questão de mostrar algumas das maneiras que usamos para proteger seus dados. Existem algumas coisas que você deve saber sobre como lidamos com informações confidenciais:
• Filosofia: Em primeiro lugar está a nossa filosofia. No Google, a segurança é um processo contínuo. Nós não “checamos” simplesmente a segurança de um produto antes de lançá-lo – estamos preocupados com a segurança antes mesmo de o produto ser criado, e a incorporamos em todo o desenvolvimento do produto. Também crucial é nossa crença na proteção em camadas. É muito parecido com a segurança da sua casa. Você coloca suas informações mais particulares em um cofre. Você guarda esse cofre com segurança na sua casa, que é protegida com trancas e até, talvez, um sistema de alarme. E você ainda pode ter campanhas no estilo “vigilância cidadã” ou a polícia local monitorando seu bairro. É muito parecido ao que acontece no Google. Nossas informações mais suscetíveis são difíceis de ser encontradas ou acessadas (o cofre). Nossa rede e instalações (a casa) estão protegidos por métodos tanto de alta quanto de baixa tecnologia: criptografia, alarmes e outras tecnologias para nossos sistemas, e uma forte segurança física nas nossas instalações. Por fim, aprendemos que quando a segurança é feita da forma correta, é feita melhor como uma comunidade (o bairro); incentivamos todos a nos ajudarem a identificar potenciais problemas e soluções. Pesquisadores que trabalham em empresas de tecnologia e segurança em todo o mundo estão sempre à procura de problemas de segurança na internet, e trabalhamos próximo a essa comunidade para encontrar e consertar potenciais problemas.
• Tecnologia: Essas camadas de proteção são construídas com base na melhor tecnologia de segurança do mundo. Embora utilizemos produtos desenvolvidos por outros na comunidade de segurança, produzimos nós mesmos boa parte de nossa tecnologia de segurança. Alguns dos componentes mais inovadores de nossa arquitetura de segurança são voltados para automação e escala. Eles são importantes para nós porque lidamos com pesquisas, e-mails e outras atividades para milhões de usuários todos os dias. Para manter nossos processos de segurança sempre à frente, automatizamos o modo como testamos nossos softwares para verificar se há alguma vulnerabilidade de segurança, e também o modo como monitoramos possíveis ataques à segurança. Também procuramos permanentemente mais formas de usar criptografia e outras medidas técnicas para proteger seus dados, tudo isso mantendo uma ótima experiência do usuário.
• Processo: Além da tecnologia, temos uma série de processos que determinam o quanto são seguras as informações confidenciais no Google e quem pode acessá-las. Controlamos cuidadosamente o acesso a informações confidenciais de qualquer tipo, e muitos poucos Googlers têm acesso aos dados que consideramos muito suscetíveis. Isso acontece de forma tão abrangente porque há muito poucas razões para permitir esse acesso – a maioria de nossos processos é automatizada e não exige muita intervenção humana. Obviamente, o número limitado de pessoas a que se permite o acesso a dados suscetíveis deve passar por uma aprovação especial. E enquanto nos prendemos a um altíssimo padrão de qualidade, também trabalhamos para garantir que nossos processos sejam adequados (e em muitos casos, excedam) aos padrões da indústria. Isso inclui auditorias para Sarbanes-Oxley, SAS 70, PCI (payment card industry) compliance, entre outras. Ao trabalhar com auditores independentes, que avaliam a conformidade com padrões que mantém centenas de empresas diferentes sob exigências muito rigorosas, adicionamos mais uma camada de critérios e balanços a nossos processos de segurança.
• Pessoal: A parte mais importante de nossa abordagem da segurança é o nosso pessoal. O Google emprega alguns dos melhores e mais brilhantes engenheiros de segurança do mundo. Muitos de nossos engenheiros vêm de ambientes de segurança de alta visibilidade, como bancos, companhias de cartão de crédito, e organizações de vendas em grande volume, e uma grande parte deles possui PhD e patentes em segurança e engenharia de software. Como você pode imaginar, nossos engenheiros são inteligentes e curiosos e estão sempre atentos a anomalias na segurança e a melhores práticas na indústria. Nossos engenheiros já publicaram centenas de artigos acadêmicos em temas tecnicamente detalhados como drive-by downloads que instalam malware (arquivo PDF) ou ambientes virtualizados hostis. (Você pode encontrar outros artigos aqui.) Além disso, mantemos uma abordagem colaborativa de segurança entre todos os nossos engenheiros, solicitando que todos passem por uma revisão de estilos de código (o que nos permite controlar o tipo de código usado aqui e como ele é usado, a fim de evitar problemas de software) e assegurando-nos de que cada código no Google seja revisado por vários engenheiros, de modo que atenda a nossos padrões de software e segurança.
E em toda a empresa, usamos nossos próprios produtos. Isto significa que protegemos sua informação com a mesma segurança que usamos para proteger os e-mails e documentos de nossa própria empresa. E, enquanto continuarmos a inovar com nossos produtos, continuaremos também a inovar no mundo da segurança. Para saber mais sobre nossa abordagem em relação à segurança, visite nossa página de Segurança e Proteção de Produto.
Postado por Berthier Ribeiro-Neto, Diretor de Engenharia para América Latina
Como muitos de vocês sabem, nós passamos bastante tempo aqui pensando em novos produtos que ajudem você a administrar sua vida com mais eficiência, seja organizando melhor seus e-mails, compartilhando suas fotos com amigos ou colaborando em documentos em tempo real. O que talvez você não saiba é que também passamos muito tempo pensando na segurança que faz parte desses produtos, e mais especificamente nas formas que podemos proteger você e suas informações particulares.
Mesmo que provavelmente você nunca venha a ter um problema de segurança, nós levamos essa questão muito a sério, e é por isso que temos alguns dos melhores engenheiros do mundo trabalhando conosco para manter as informações seguras. Muito de seu trabalho é confidencial, mas fazemos questão de mostrar algumas das maneiras que usamos para proteger seus dados. Existem algumas coisas que você deve saber sobre como lidamos com informações confidenciais:
• Filosofia: Em primeiro lugar está a nossa filosofia. No Google, a segurança é um processo contínuo. Nós não “checamos” simplesmente a segurança de um produto antes de lançá-lo – estamos preocupados com a segurança antes mesmo de o produto ser criado, e a incorporamos em todo o desenvolvimento do produto. Também crucial é nossa crença na proteção em camadas. É muito parecido com a segurança da sua casa. Você coloca suas informações mais particulares em um cofre. Você guarda esse cofre com segurança na sua casa, que é protegida com trancas e até, talvez, um sistema de alarme. E você ainda pode ter campanhas no estilo “vigilância cidadã” ou a polícia local monitorando seu bairro. É muito parecido ao que acontece no Google. Nossas informações mais suscetíveis são difíceis de ser encontradas ou acessadas (o cofre). Nossa rede e instalações (a casa) estão protegidos por métodos tanto de alta quanto de baixa tecnologia: criptografia, alarmes e outras tecnologias para nossos sistemas, e uma forte segurança física nas nossas instalações. Por fim, aprendemos que quando a segurança é feita da forma correta, é feita melhor como uma comunidade (o bairro); incentivamos todos a nos ajudarem a identificar potenciais problemas e soluções. Pesquisadores que trabalham em empresas de tecnologia e segurança em todo o mundo estão sempre à procura de problemas de segurança na internet, e trabalhamos próximo a essa comunidade para encontrar e consertar potenciais problemas.
• Tecnologia: Essas camadas de proteção são construídas com base na melhor tecnologia de segurança do mundo. Embora utilizemos produtos desenvolvidos por outros na comunidade de segurança, produzimos nós mesmos boa parte de nossa tecnologia de segurança. Alguns dos componentes mais inovadores de nossa arquitetura de segurança são voltados para automação e escala. Eles são importantes para nós porque lidamos com pesquisas, e-mails e outras atividades para milhões de usuários todos os dias. Para manter nossos processos de segurança sempre à frente, automatizamos o modo como testamos nossos softwares para verificar se há alguma vulnerabilidade de segurança, e também o modo como monitoramos possíveis ataques à segurança. Também procuramos permanentemente mais formas de usar criptografia e outras medidas técnicas para proteger seus dados, tudo isso mantendo uma ótima experiência do usuário.
• Processo: Além da tecnologia, temos uma série de processos que determinam o quanto são seguras as informações confidenciais no Google e quem pode acessá-las. Controlamos cuidadosamente o acesso a informações confidenciais de qualquer tipo, e muitos poucos Googlers têm acesso aos dados que consideramos muito suscetíveis. Isso acontece de forma tão abrangente porque há muito poucas razões para permitir esse acesso – a maioria de nossos processos é automatizada e não exige muita intervenção humana. Obviamente, o número limitado de pessoas a que se permite o acesso a dados suscetíveis deve passar por uma aprovação especial. E enquanto nos prendemos a um altíssimo padrão de qualidade, também trabalhamos para garantir que nossos processos sejam adequados (e em muitos casos, excedam) aos padrões da indústria. Isso inclui auditorias para Sarbanes-Oxley, SAS 70, PCI (payment card industry) compliance, entre outras. Ao trabalhar com auditores independentes, que avaliam a conformidade com padrões que mantém centenas de empresas diferentes sob exigências muito rigorosas, adicionamos mais uma camada de critérios e balanços a nossos processos de segurança.
• Pessoal: A parte mais importante de nossa abordagem da segurança é o nosso pessoal. O Google emprega alguns dos melhores e mais brilhantes engenheiros de segurança do mundo. Muitos de nossos engenheiros vêm de ambientes de segurança de alta visibilidade, como bancos, companhias de cartão de crédito, e organizações de vendas em grande volume, e uma grande parte deles possui PhD e patentes em segurança e engenharia de software. Como você pode imaginar, nossos engenheiros são inteligentes e curiosos e estão sempre atentos a anomalias na segurança e a melhores práticas na indústria. Nossos engenheiros já publicaram centenas de artigos acadêmicos em temas tecnicamente detalhados como drive-by downloads que instalam malware (arquivo PDF) ou ambientes virtualizados hostis. (Você pode encontrar outros artigos aqui.) Além disso, mantemos uma abordagem colaborativa de segurança entre todos os nossos engenheiros, solicitando que todos passem por uma revisão de estilos de código (o que nos permite controlar o tipo de código usado aqui e como ele é usado, a fim de evitar problemas de software) e assegurando-nos de que cada código no Google seja revisado por vários engenheiros, de modo que atenda a nossos padrões de software e segurança.
E em toda a empresa, usamos nossos próprios produtos. Isto significa que protegemos sua informação com a mesma segurança que usamos para proteger os e-mails e documentos de nossa própria empresa. E, enquanto continuarmos a inovar com nossos produtos, continuaremos também a inovar no mundo da segurança. Para saber mais sobre nossa abordagem em relação à segurança, visite nossa página de Segurança e Proteção de Produto.
