Como a Gestão de Segurança de Dados Está Mudando em 2023

A Evolução da Segurança de Dados

Um grande amigo meu, que também é um ex-CISO de uma empresa Fortune 50, me disse uma vez: "Sou responsável por duas coisas: garantir a entrega de serviços aos nossos clientes e proteger os dados que esses serviços consomem." Muita coisa está envolvida nessas duas responsabilidades.

Não é uma tarefa fácil garantir a entrega de serviços aos clientes quando você precisa lidar com infraestruturas híbridas, a internet, distribuição global, regulamentações regionais e invasores cada vez mais sofisticados. Meu amigo sabia disso, assim como sabia que a capacidade de identificar seus principais objetivos é fundamental para permitir que sua organização se alinhe com sucesso em suas prioridades.

Tradicionalmente, as equipes de segurança têm tentado contornar "o problema dos dados". A lógica tem sido que, se uma equipe de segurança conseguir manter sua infraestrutura atualizada e monitorar sua rede em busca de ameaças, ela pode manter a conscientização e a segurança. Essa abordagem não requer nenhum entendimento dos dados que uma empresa gerencia - mas sim dos componentes de infraestrutura de hardware, redes, aplicativos e identidades.

Na realidade atual, violações de dados são uma ocorrência diária. Os reguladores respondem com controles cada vez mais rigorosos e penalidades mais altas, e os usuários ficam para lidar tanto com interrupções de serviço quanto com violações de privacidade. Isso só continua a provar que uma abordagem cega aos dados não é mais uma opção.

Por Que Nossa Abordagem Deve Mudar

Os dados estão passando por mudanças enormes. Não faz tanto tempo assim - quando o Google começou no final dos anos 90 - os dados eram transferidos manualmente, usando disquetes com 1,44MB de armazenamento. Hoje, terabytes de dados atravessam continentes rotineiramente com o deslizar de um dedo. "Big Data" costumava significar um gigabyte, enquanto hoje petabytes estão sendo gerados e consumidos todos os dias por empresas corporativas.

As arquiteturas de microsserviços e a análise de dados transformaram as empresas, que deixaram de depender de data centers próprios que abrigavam data warehouses para gerenciar dados em centenas de variedades de armazenamento de dados em uma infinidade de nuvens IaaS, PaaS e SaaS. A forma como protegemos nossos dados precisa mudar, porque a forma como os utilizamos mudou.

A força de trabalho distribuída moderna depende de ferramentas de colaboração para realizar suas tarefas. As empresas estão contratando trabalhadores que recebem acesso a informações confidenciais que acessam de onde quer que se conectem, usando múltiplos dispositivos, sempre que tenham a oportunidade de trabalhar. Isso torna essencial aplicar controles de segurança com uma compreensão do contexto dos seus dados.

Por exemplo, aplicar os controles apropriados a uma planilha com os aniversários de seus funcionários versus uma com os salários de seus funcionários. Definir os direitos de acesso, permissões, criptografia, hashing e mais apropriados requer o contexto dos dados na planilha versus aplicar uma abordagem geral às planilhas. Ambas as planilhas contêm dados de funcionários. Mas compartilhar o arquivo com aniversários é inofensivo, enquanto compartilhar informações de salários de funcionários causaria estragos em toda a sua organização.

Como a Gestão de Segurança de Dados Está Mudando em 2023

Visibilidade consistente e uma compreensão profunda dos dados são requisitos fundamentais para o programa de segurança de qualquer empresa com visão de futuro.

As equipes de segurança devem ser capazes de responder a estas perguntas:

• Como podemos implementar uma abordagem baseada em risco e determinar onde concentrar nossos recursos?
• Como podemos priorizar os esforços de correção para exposições que podem ter um impacto direto em nossos negócios se exploradas?

Responder a essas duas perguntas começa com o estabelecimento de um inventário claro do seu bem mais valioso: dados.

Efetivamente, a segurança na era da nuvem requer sempre saber:

• onde seus dados existem, tanto o valor quanto o risco que eles representam
• quem tem acesso a ele
• como está exposta a riscos externos e internos

O clima de negócios e a força de trabalho atuais não aceitarão restrições de segurança legadas; os controles de segurança atuais devem ser o mais transparentes possível.

As equipes de segurança devem operar sabendo que os dados saíram do cofre e estão em todos os lugares. E isso é ótimo! Usar dados para colaborar e desenvolver novas oportunidades de negócios está gerando um tremendo valor comercial para as organizações. Mas para permitir essa criação de valor sem expor o negócio a riscos que ameaçarão essa criação de valor, os programas de segurança devem evoluir para tornar os dados sua prioridade.

Automação, velocidade e escala são fundamentais para lidar com o ritmo de criação e consumo de dados. E uma capacidade eficaz de classificação e contextualização para implementar os controles apropriados e efetivos é essencial. Aproveitar os princípios de cloud-first, bem como explorar os avanços em aprendizado de máquina tornaram isso possível, e até simples. O que resta é que as equipes de segurança abracem o presente e se adaptem ao futuro colocando os dados no centro de nossos programas de segurança.