ARTIGO
Entre a prevenção de perdas e a proteção de dados
Neil Thacker, especialista em cibersegurança e computação em nuvem, aborda a importância de proteger os dados na era de ambientes híbridos e multi-cloud
25/07/2019
Com um olho no risco e outro no compliance, o maior perigo hoje não é causado por uma informação que sai da rede corporativa, até porque muitas vezes ela já reside inteiramente fora da empresa. A ameaça é muito mais ampla. Dentro de um mundo de cloud, é fundamental reconhecer que a Prevenção de Perda de Dados (DLP, sigla de Data Loss Prevention) e a Proteção de Dados (DP) não são sinônimos - são abordagens muito diferentes, pois o foco precisa estar na proteção e atender a complexidade do ambiente atual.
A nuvem trouxe mudanças transformadoras para a TI corporativa, e a segurança precisa de uma abordagem completamente nova. Muitos executivos estão tentando resolver problemas neste ambiente com dispositivos projetados para um mundo muito diferente quando, na verdade, é preciso pensar de forma diferente sobre o problema. Não é possível obter a visibilidade e o controle dos dados na nuvem com abordagens tradicionais, eles precisam ser protegidos pela segurança na nuvem.
Muitos CISOs (Chief Information Security Officer), inclusive, admitem não estar preparados para inspecionar os dados adequadamente e avaliar os riscos nos serviços de SaaS, PaaS e IaaS. Como já se sabe, existe uma regulamentação a ser cumprida, que entrará em vigor em 2020 com a Lei Geral de Proteção de Dados Pessoais (LGPD), então a mudança na abordagem de segurança na nuvem deve ser uma estratégia prioritária agora. Até porque a mitigação de risco é responsabilidade da empresa e não do provedor de nuvem – inclusive, o Gartner deixou bem claro em um de seus recentes relatórios que “até 2022, pelo menos 95% das falhas de segurança na nuvem serão culpa do usuário final”.
Ainda assim, os CISOs estão se saindo bem em relação à visibilidade dos dados, embora ainda exista uma batalha constante com a Shadow IT (o uso de soluções instaladas diretamente pelos usuários, sem o conhecimento do departamento de tecnologia). As empresas podem não estar adotando completamente a nuvem, mas a realidade é que os usuários finais, principalmente as equipes de marketing e de RH, já utilizam esses serviços para executar projetos, independentemente do aval da TI. Ou seja, é inegável que os dados confidenciais estão sendo movidos para fora do perímetro permitido, impulsionados pela necessidade de serviços que suportam as cargas de determinadas áreas.
"Existe uma regulamentação a ser cumprida, que entrará em vigor em 2020 com a LGPD, então a mudança na abordagem de segurança na nuvem deve ser uma estratégia prioritária agora"
Em outubro de 2018, uma pesquisa revelou que as empresas usavam uma média de 1.246 serviços na nuvem, e a maior parte deles não era autorizada pela TI. E, ainda, 92,7% desses serviços não atingem pontuações “prontas para a empresa”. O alarmante é que essa prática acelera os riscos, de forma muito mais rápida do que as equipes de segurança são capazes de agir para bloquear as ameaças, mesmo que consigam identificar o que está acontecendo.
Hoje, independentemente de uma organização ter aderido com entusiasmo à nuvem ou estar sendo arrastada contra suas próprias políticas, estamos todos na nuvem - e vamos nos envolver ainda mais. Falar sobre prevenção de perda de dados parece não incluir o fato que, em primeiro lugar, hoje não estamos mais mantendo os dados.
Eles estão em constante movimento entre vários serviços, hospedados em diferentes geografias, sendo utilizados e analisados por várias partes, tanto dentro da organização como entre parceiros, e potencialmente até mesmo em sistemas de machine learning de terceiros.
Então, se quisermos parar de nos concentrar em evitar perdas, procurando buracos nas paredes e, em vez disso, nos concentrarmos em proteger os dados, o que precisamos saber?
- Mantenha-se atualizado
O processo de permissão individual de aplicações na nuvem não é tão automático como parece e, em muitos casos, leva-se dias investigando protocolos e compatibilidade com o compliance que, inclusive, podem alterar a qualquer momento. As novas tecnologias de proteção de dados precisam estar emparelhadas com as informações sobre ameaças – como as divulgadas pelo Cyber Threat Alliance (CTA ) – e as parcerias entre equipes internas e provedores de serviços especializados se tornarão cada vez mais necessárias.
- Políticas personalizadas
Determinar se um serviço de nuvem está apto para o corporativo não é suficiente para liberar o uso indiscriminado em toda a empresa. Por exemplo, não dá para garantir que os funcionários não estejam usando contas pessoais de aplicativos de compartilhamento online para dados internos. É preciso considerar que os usuários podem ter várias contas em provedores de serviços na nuvem – incluindo pessoais – e então planejar como acompanhar e impor políticas de proteção de dados entre contas diferentes.
- Dados móveis e remotos
O foco da proteção não está apenas em quem está acessando quais dados, mas onde e como. Atualmente, 50% do acesso a serviços na nuvem é proveniente de dispositivos móveis, portanto, muitas empresas podem optar por diferentes políticas de segurança na nuvem para dispositivos corporativos e pessoais, ou conexões de rede ou localização de IP.
- Ambientes SaaS, IaaS, PaaS e web
O risco e a segurança de serviços na nuvem representam muito mais do que apenas SaaS, que tendem a invadir as organizações como Shadow IT. O uso de soluções de IaaS explodem à medida que as equipes de devops criam apps e recursos para apoiar as metas estratégicas. A postura adequada deve permitir que uma organização projete políticas granulares a nível de usuário, dispositivo ou atividade, que possam ser facilmente aplicadas e gerenciadas em todas as plataformas e serviços da web.
Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.