Proteger os dados contra invasores enquanto cumpre a Lei
Geral de Proteção de dados é um grande desafio para os CISOs. Nos últimos seis
meses acompanhamos diversas empresas sofrerem com violação de dados. E o motivo
é fácil de enxergar. O problema que a maioria das empresas enfrenta é ter uma
abordagem tradicionalista da segurança de informação, sendo falha e
desatualizada.
Neste contexto, os CISOs dedicam muito do seu tempo com foco
em endpoints, perímetros e firewall, deixando a segurança dos dados em segundo
plano, até que uma violação aconteça.
Essas medidas de segurança tradicionais, apesar de manter
conformidade e tranquilizar o gerenciamento, estão mascarando os problemas que
são expostos quando um incidente acontece ou mesmo quando a lei de proteção de
dados exija uma mudança de foco.
Nesse ponto, colocar a segurança de dados em ordem pode
parecer uma tarefa árdua e difícil de saber por onde começar. Por isso, neste
artigo, vamos mostrar porque a abordagem tradicional é falha, e apresentar um
roteiro de cibersegurança preciso e como implementá-lo.
Os tempos mudaram
Ao planejar e definir uma estratégia para proteção de dados,
muitas empresas tendem a cartilha tradicional. Esse manual aborda a segurança
de fora para dentro, com foco em dispositivos externos e tenta impedi-los de
acessar seus dados. Isso inclui proteção de endpoints, SIEM e Firewalls.
Essa abordagem funcionou por um tempo, quando as empresas
armazenavam todos os seus dados em suas próprias máquinas, servidores
gerenciados localmente ou datacenter locais. Mas a forma como as organizações
criam, armazenam e acessam seus dados mudou. Principalmente com o aumento do
trabalho remoto e híbrido.
Hoje os dados são armazenados em diferentes locais, nuvem e
SaaS. Todos abrigando e processando diferentes versões desses dados. Por isso,
essa cartilha tradicional não é mais eficaz.
Um CISO não pode proteger os dados sem saber que um
funcionário da contabilidade inscreveu a equipe em SaaS não provisionado. Isso
torna os dados vulneráveis e a abordagem tradicional não poderá fazer nada para
proteger esses dados.
Mais que um problema de tecnologia
Diante de um cenário como este, a culpa não é inteiramente
do funcionário da contabilidade.
A organização é composta por humanos com suas próprias
prioridades, responsabilidades e falhas. Essas pessoas fazem escolhas de como
desejam trabalhar e em relação aos objetivos que devem ou querem alcançar. Por
isso, se faz necessário abordar a segurança de dados como mais que uma demanda
de tecnologia.
Na maioria das vezes, quando falamos sobre cibersegurança,
focamos em aplicativos, bancos de dados e APIs. O que é uma grande parte disso,
mas não mostra o quadro completo. As pessoas em sua organização desempenham um
papel igualmente importante e muitas vezes podem representar ainda mais riscos
do que a tecnologia.
As políticas de privacidade são um ótimo exemplo. A
assinatura de um documento não significa que a pessoa realmente irá aderir a
essa política.
Outro problema, é que grandes quantidades de dados são
criadas diariamente em todos os departamentos da empresa e é necessário ficar
por dentro do que todos estão criando, editando, armazenando e acessando.
Por exemplo, um arquivo com dados confidenciais, como saber
quem pode acessar esse documento? No primeiro dia, apenas uma pessoa pode ter
acesso, ficando em conformidade com a política de privacidade.
Então, essa pessoa compartilha esse documento com um colega
de equipe diferente, que em seguida compartilha com um grupo maior, sem saber
que aquelas informações são confidenciais. Em seguida, alguém da equipe usa
esses dados em uma apresentação de vendas. Nesse ponto não há mais conformidade
com a política de privacidade.
Situações como essa podem surgir facilmente e podem parecer
impossíveis de se prevenir. O primeiro passo é entender que não existe uma
solução pronta. A realidade é que a empresa continuará gerando novos dados,
adicionando pessoas e, infelizmente, também removendo pessoas das equipes.
Por isso, o manual tradicional não vai
funcionar. É necessário mudar a tática e adotar uma abordagem de dados em
primeiro lugar. Ou seja, identificar aqueles que já estão em risco para
protegê-los e implementar estruturas e ferramentas que façam isso
automaticamente
Carlos Rodrigues - vice-presidente Latam da Varonis
Nenhum comentário:
Postar um comentário