A efetividade da proteção das informações de negócios depende do comportamento das pessoas envolvidas com os dados, a responsabilidade das pessoas, falta de visibilidade dos dados, entre outros. Para se corrigir tudo isso é necessário pensar em práticas centradas em dados e conhecimento, além do fortalecimento de uma cultura de segurança sólida dentro da empresa
Jaime Muñoz*
Os dados são uma força fundamental dos negócios, mas eles somente têm valor se estão a favor do negócio e se conseguem impulsionar as vantagens competitivas. Para isso, as políticas de dados devem estar sempre vivas e os funcionários devem estar atentos e sempre lembrados de sua responsabilidade no processo de gerenciamento das informações.
Um dos maiores desafios das organizações é lidar corretamente com a grande quantidade de informações que são geradas e coletadas a todo instante em todas as áreas. Isso ocorre porque os negócios estão cada vez mais ágeis e complexos, o que torna a sua proteção uma rotina diária e mandatória para as empresas.
Os recursos tecnológicos disponíveis estão cada vez mais avançados, o que é positivo, mas eles podem não ser suficientes para resolver todos os problemas relacionados à violação dos dados. O sucesso da jornada dos dados depende e muito dos processos gerenciais aplicados em toda a organização, principalmente do fator humano, da sua capacitação e da responsabilidade que as pessoas têm sobre os processos gerenciais, além da aplicação – obviamente – de uma vigorosa barreira de entrada para qualquer tipo de acesso aos dados não autorizados.
Quanto mais dados coletados, mais riscos
O crescimento do uso de recursos da Internet, redes sociais, aplicações em nuvem e dispositivos móveis em todas as camadas da sociedade é acompanhado de uma verdade: os aspectos-chave da segurança corporativa invariavelmente podem estar além do nosso controle e ser mais preocupante quando se analisa as projeções de gastos com segurança e gerenciamento de risco em todo o mundo e, mesmo assim, ainda recebemos notícias de violações de dados de maneira quase generalizada.
O fato é que a difusão dos dados e a complexidade da infraestrutura, tecnologias e de processos de negócios continuam a aumentar exponencialmente. É importante se questionar se as políticas de proteção dos dados podem ser resumidas no reforço contínuo das defesas centrais contra o manuseio de informações contidas em documentos e mensagens de e-mail, ou deve-se, portanto, considerar outros fatores.
Temos que pensar no seguinte: as organizações investem muito em melhorias de processos e tecnologia, mas o desafio é saber onde podem estar errando quando o assunto é a proteção dos dados. Possíveis lacunas nos processos de segurança sempre poderão existir e uma política de “construção de barreiras” baseada em perímetro, autenticação, criptografia nem sempre poderá ser a melhor opção e, certamente, poderá falhar. Mesmo que estas barreiras sejam vitais para a proteção dos dados pessoais, os quais passaram a ser regulados pela LGPD.
E quais são estes desafios?
A efetividade da proteção das informações de negócios gira em torno de cinco aspectos importantes: comportamento das pessoas envolvidas com os dados, a responsabilidade das pessoas, falta de visibilidade dos dados, falhas no controle sobre os processos envolvendo os dados e tempo de resposta.
Para se corrigir tudo isso é necessário pensar em práticas centradas em dados e conhecimento que temos sobre seu risco e apoio ao negócio, além do fortalecimento de uma cultura de segurança sólida dentro da empresa, com a colaboração dos usuários dos dados envolvidos.
Vamos analisar estes pontos citados como problemáticos:
O comportamento das pessoas: é de conhecimento de quem trabalha com TI que as pessoas gostam muito de manusear arquivos, levando-os para pen drives e/ou copiados para locais não seguros. Elas simplesmente desejam encontrar a maneira mais rápida e conveniente de fazer algo. Por isso, o erro humano ainda é a causa número 1 das violações de dados. Criar ações, incluindo educacionais, para barrar este tipo de comportamento é vital.
A responsabilidade das pessoas. O comportamento deve estar alinhado ao tipo de informação que se gerencia e com a sua criticidade para a empresa. Identificar os dados, identificar o papel das pessoas neste processo, em combinação com as políticas saber que pode se fazer, o que requer uma excepção e o que está permitido e importante.
Falta de visibilidade: onde estão os dados? As pessoas enviam e trocam e-mails a todo instante, gerando terabytes de dados que estão transitando não apenas na rede interna, mas também fora da sua organização. Muitos recebem arquivos que não deveriam receber ou ver, revelando um número assustador de possíveis violações graves ao longo do tempo. Quanto mais dados circulando, mais difícil identificar onde eles estão. Por isso, deve fazer parte da estratégia se investir no controle das políticas e ferramentas que compartilham informações dentro e fora das empresas, além da a identificação e classificação de dados.
A falta de controle: mesmo que os dados sejam devidamente classificados, os arquivos e informações que circulam via e-mails ou arquivos podem ser perdidos ou vazados para além do controle da empresa. Sistemas de Gerenciamento de Direitos Digitais (Digital Rights Management – DRM), Gerenciamento de Dispositivos Móveis (Mobile Device Management – MDM), e de Prevenção de Perda de Dados (Data Loss Prevention – DLP) podem ajudar a monitorar e controlar o acesso dos funcionários aos dados.
No entanto, os dados que saem dos sistemas e redes dentro de sua esfera de influência estão efetivamente fora de seu controle e podem cair nas mãos de criminosos cibernéticos. Estes sim, sabem muito bem o que fazer com os dados pessoais valiosos vazados: a extorsão.
A classificação dos dados é vital para que se possa ter controles efetivos sobre as informações existentes em uma organização. Sem os controles que não possam ter uma boa informação e definição sobre o que deve ser controlado, certamente, a organização pode ter sérios problemas de produtividade.
Tempo de resposta: uma enorme quantidade de novos aplicativos está sendo adicionada às redes corporativas diariamente, internamente ou pelo trabalho remoto, e o tempo de aprendizado com estes novos recursos pode ser maior que o esperado. Os gestores de segurança da informação devem entender este processo e responder rapidamente aos possíveis incidentes relacionados, incluindo ter a capacidade de identificar e classificar rapidamente os novos dados que chegam à organização. Este conjunto de desafios pode colocar as equipes de segurança em modo reativo e levar muito tempo para que possam identificar um problema e evitar uma violação de dados.
Classificação dos dados: avançado para a proteção efetiva das informações
Ao analisar toda esta situação, percebemos que uma política de proteção efetiva iniciando com a classificação de dados aumenta a capacidade das organizações de ter o controle sobre o status dos dados sensíveis de negócios durante todo o seu ciclo de vida, em todos os lugares que eles possam circular, não importando quem os tenha ou onde eles estejam localizados.
Os negócios, as tecnologias, as pessoas, as organizações, os dados mudam rapidamente e os gestores de dados devem estar atentos a esta movimentação dos dados. As organizações necessitam ser capazes de garantir o acesso seguro aos dados para proteger, rastrear e compartilhar qualquer tipo de informação, seja ele o de negócios ou os regulados pela LGPD.
Uma política de dados centrada no conhecimento deve combinar o uso de soluções de segurança que permitam que os funcionários colaborem livremente, garantindo um alto nível de segurança e visibilidade, e até mesmo revoguem o acesso a dados confidenciais. Além disso, adicionando um tethering baseado em nuvem, o acesso aos dados pode ser gerenciado com direitos de acesso e os dados descriptografados, se a pessoa for aprovada.
A classificação dos dados ocupa papel relevante quando se busca o conhecimento e esta classificação deve acontecer de maneira que os dados adicionem valor ao negócio e não simplesmente por conformidade.
Somente quando a política de conhecimento entregar, primariamente, valor ao negócio é que se conseguirá reforçar a segurança dos dados e conseguir trabalhar corretamente com as ferramentas de controle em todo o ciclo de vida das informações.
*diretor da HelpSystems, fornecedora global de tecnologias de cibersegurança para o mercado corporativo