por Carlos Rodrigues, vice-presidente Latam da Varonis
Proteger os dados contra invasores enquanto cumpre a Lei Geral de Proteção de dados é um grande desafio para os CISOs. Nos últimos seis meses acompanhamos diversas empresas sofrerem com violação de dados. E o motivo é fácil de enxergar. O problema que a maioria das empresas enfrenta é ter uma abordagem tradicionalista da segurança de informação, sendo falha e desatualizada.
Neste contexto, os CISOs dedicam muito do seu tempo com foco em endpoints, perímetros e firewall, deixando a segurança dos dados em segundo plano, até que uma violação aconteça.
Essas medidas de segurança tradicionais, apesar de manter conformidade e tranquilizar o gerenciamento, estão mascarando os problemas que são expostos quando um incidente acontece ou mesmo quando a lei de proteção de dados exija uma mudança de foco.
Nesse ponto, colocar a segurança de dados em ordem pode parecer uma tarefa árdua e difícil de saber por onde começar. Por isso, neste artigo, vamos mostrar porque a abordagem tradicional é falha, e apresentar um roteiro de cibersegurança preciso e como implementá-lo.
Os tempos mudaram
Ao planejar e definir uma estratégia para proteção de dados, muitas empresas tendem a cartilha tradicional. Esse manual aborda a segurança de fora para dentro, com foco em dispositivos externos e tenta impedi-los de acessar seus dados. Isso inclui proteção de endpoints, SIEM e Firewalls.
Essa abordagem funcionou por um tempo, quando as empresas armazenavam todos os seus dados em suas próprias máquinas, servidores gerenciados localmente ou datacenter locais. Mas a forma como as organizações criam, armazenam e acessam seus dados mudou. Principalmente com o aumento do trabalho remoto e híbrido.
Hoje os dados são armazenados em diferentes locais, nuvem e SaaS. Todos abrigando e processando diferentes versões desses dados. Por isso, essa cartilha tradicional não é mais eficaz.
Um CISO não pode proteger os dados sem saber que um funcionário da contabilidade inscreveu a equipe em SaaS não provisionado. Isso torna os dados vulneráveis e a abordagem tradicional não poderá fazer nada para proteger esses dados.
Mais que um problema de tecnologia
Diante de um cenário como este, a culpa não é inteiramente do funcionário da contabilidade.
A organização é composta por humanos com suas próprias prioridades, responsabilidades e falhas. Essas pessoas fazem escolhas de como desejam trabalhar e em relação aos objetivos que devem ou querem alcançar. Por isso, se faz necessário abordar a segurança de dados como mais que uma demanda de tecnologia.
Na maioria das vezes, quando falamos sobre cibersegurança, focamos em aplicativos, bancos de dados e APIs. O que é uma grande parte disso, mas não mostra o quadro completo. As pessoas em sua organização desempenham um papel igualmente importante e muitas vezes podem representar ainda mais riscos do que a tecnologia.
As políticas de privacidade são um ótimo exemplo. A assinatura de um documento não significa que a pessoa realmente irá aderir a essa política.
Outro problema, é que grandes quantidades de dados são criadas diariamente em todos os departamentos da empresa e é necessário ficar por dentro do que todos estão criando, editando, armazenando e acessando.
Por exemplo, um arquivo com dados confidenciais, como saber quem pode acessar esse documento? No primeiro dia, apenas uma pessoa pode ter acesso, ficando em conformidade com a política de privacidade.
Então, essa pessoa compartilha esse documento com um colega de equipe diferente, que em seguida compartilha com um grupo maior, sem saber que aquelas informações são confidenciais. Em seguida, alguém da equipe usa esses dados em uma apresentação de vendas. Nesse ponto não há mais conformidade com a política de privacidade.
Situações como essa podem surgir facilmente e podem parecer impossíveis de se prevenir. O primeiro passo é entender que não existe uma solução pronta. A realidade é que a empresa continuará gerando novos dados, adicionando pessoas e, infelizmente, também removendo pessoas das equipes.
Por isso, o manual tradicional não vai funcionar. É necessário mudar a tática e adotar uma abordagem de dados em primeiro lugar. Ou seja, identificar aqueles que já estão em risco para protegê-los e implementar estruturas e ferramentas que façam isso automaticamente.