Como a gestão da segurança de dados está mudando em 2023

Mar 14, 2023
Share

A Evolução da Segurança de Dados

Um grande amigo meu, que por acaso também é um ex-CISO de uma empresa da Fortune 50, me disse certa vez: "Sou responsável por duas coisas: garantir a entrega de serviços aos nossos clientes e proteger os dados que esses serviços consomem." Há muita coisa envolvida nessas duas responsabilidades.

Garantir a prestação de serviços aos clientes não é tarefa fácil quando se tem que lidar com infraestruturas híbridas, a internet, a distribuição global, as regulamentações regionais e ataques cada vez mais sofisticados. Meu amigo sabia disso, assim como sabia que a capacidade de identificar seus principais objetivos é fundamental para que sua organização consiga alinhar suas prioridades com sucesso.

Tradicionalmente, as equipes de segurança têm tentado contornar o "problema dos dados". A lógica era que, se uma equipe de segurança conseguisse manter sua infraestrutura atualizada e monitorar sua rede em busca de ameaças, ela conseguiria manter a conscientização e a segurança. Essa abordagem não exige nenhum conhecimento dos dados que uma empresa gerencia, mas sim dos componentes de infraestrutura, como hardware, redes, aplicativos e identidades.

Na realidade atual, as violações de dados são uma ocorrência diária. Os órgãos reguladores respondem com controles cada vez mais rigorosos e penalidades mais altas, e os usuários ficam à mercê tanto de interrupções de serviço quanto de violações de privacidade. Isso só comprova que uma abordagem que ignora os dados não é mais uma opção.

Por que nossa abordagem precisa mudar

Os dados estão passando por mudanças enormes. Não faz muito tempo — quando o Google começou no final dos anos 90 — os dados eram transferidos manualmente, usando disquetes com 1,44 MB de armazenamento. Hoje, terabytes de dados cruzam continentes rotineiramente com um simples toque na tela. "Big Data" costumava significar um gigabyte, enquanto hoje petabytes são gerados e consumidos diariamente por empresas.

As arquiteturas de microsserviços e a análise de dados transformaram as empresas, que antes dependiam de data centers próprios com data warehouses, e agora gerenciam dados em centenas de diferentes tipos de armazenamento em uma infinidade de nuvens IaaS, PaaS e SaaS. A forma como protegemos nossos dados precisa mudar, porque a forma como os utilizamos também mudou.

A força de trabalho remota moderna depende de ferramentas de colaboração para realizar suas tarefas. As empresas estão contratando funcionários que têm acesso a informações confidenciais, acessando-as de qualquer lugar onde estejam online, usando diversos dispositivos e sempre que tiverem a oportunidade de trabalhar. Isso torna crucial a aplicação de controles de segurança que levem em consideração o contexto dos dados.

Por exemplo, aplicar os controles apropriados a uma planilha com as datas de nascimento dos seus funcionários em comparação com uma planilha com os salários deles. Definir os direitos de acesso, permissões, criptografia, hash e outros recursos adequados exige a compreensão do contexto dos dados na planilha, em vez de aplicar uma abordagem genérica a todas as planilhas. Ambas as planilhas contêm dados de funcionários. Mas compartilhar o arquivo com as datas de nascimento é inofensivo, enquanto compartilhar informações sobre os salários dos funcionários causaria um grande transtorno em toda a sua organização.

Como a gestão da segurança de dados está mudando em 2023

Visibilidade consistente e um profundo conhecimento dos dados são requisitos fundamentais para o programa de segurança de qualquer empresa com visão de futuro.

As equipes de segurança devem ser capazes de responder a estas perguntas:

  • Como podemos implementar uma abordagem baseada em riscos e determinar onde concentrar nossos recursos?
  • Como podemos priorizar os esforços de remediação para vulnerabilidades que podem ter um impacto direto em nossos negócios se forem exploradas?

Responder a essas duas perguntas começa com o estabelecimento de um inventário claro do seu recurso mais valioso: os dados.

Na prática, a segurança na era da nuvem exige conhecimento constante:

  • Onde seus dados existem, tanto o valor quanto o risco que representam.
  • quem tem acesso a isso
  • como está exposto a riscos externos e internos

O ambiente empresarial e a força de trabalho atuais não se conformam com as restrições de segurança legadas; os controles de segurança atuais devem ser o mais transparentes possível.

As equipes de segurança precisam operar cientes de que os dados saíram do cofre e estão por toda parte. E isso é ótimo! Usar dados para colaborar e desenvolver novas oportunidades de negócios está gerando um enorme valor para as organizações. Mas, para viabilizar essa criação de valor sem expor a empresa a riscos que a ameacem, os programas de segurança precisam evoluir e priorizar os dados.

Automação, velocidade e escalabilidade são cruciais para lidar com o ritmo de criação e consumo de dados. E uma capacidade eficaz de classificação e contextualização para implementar controles adequados e eficazes é imprescindível. Aproveitar os princípios da computação em nuvem, bem como os avanços em aprendizado de máquina, tornou isso possível e até mesmo simples. Resta agora que as equipes de segurança abracem o presente e se adaptem ao futuro, colocando os dados no centro de seus programas de segurança.

Share