0
0
Como praticamente todas as organizações deixam de gerenciar seus dados em data centers baseados em rede para armazená-los na nuvem, as políticas de segurança de dados na nuvem são criadas para proteger esses dados em um ambiente de nuvem. Com cada vez mais dados migrando para a nuvem , essas políticas devem se adaptar a uma ampla variedade de armazenamentos de dados, locais, usos e ambientes – nuvens públicas e privadas, infraestruturas híbridas e ambientes multinuvem.
Compreensivelmente, as equipes de segurança nas empresas desejam verificar todas as caixas relevantes ao implementar essas políticas de segurança para garantir uma cobertura abrangente. No processo, no entanto, eles estão jogando com a queixa mais comum que os líderes empresariais têm contra os profissionais de segurança – a segurança restringe e inibe a inovação.
A seguir estão as 6 principais armadilhas da política de segurança de dados na nuvem que as equipes de segurança devem observar e evitar ao definir e implementar políticas de segurança de dados na nuvem:
1. Processos de documentação manual
As equipes de desenvolvimento aproveitam os benefícios dos dados na nuvem para gerar uma quantidade crescente de armazenamentos e ferramentas de dados na nuvem, para acompanhar a inovação. Eles fazem isso por meio de processos de tentativa e erro, tornando difícil para a segurança acompanhar a documentação manual antiquada de qualquer armazenamento de dados novo ou significativamente modificado.
À medida que as equipes de segurança tentam restringir esses processos de teste, os desenvolvedores ficam menos propensos a buscar as tecnologias emergentes mais avançadas, impedindo assim que a organização encontre as melhores soluções para suas necessidades. Um cenário ainda mais preocupante é aquele em que as equipes de desenvolvimento podem burlar a segurança facilmente, integrando soluções não padronizadas e não sancionadas tão facilmente quanto passando um cartão de crédito. Os processos manuais existentes documentarão apenas o que a segurança conhece, o que é um desafio crescente.
2. Perda de controle de dados
Alguns profissionais de segurança podem considerar essa primeira armadilha irrelevante para sua organização, pois permitem que os dados sejam movidos ou modificados livremente em ambientes de nuvem sem restrições. Embora benéfica para fins comerciais, essa abordagem ignora o crescimento exponencial dos dados e sua tendência de se espalhar por armazenamentos de dados e ambientes, com pouca capacidade de localizar onde residem. Essa falta de visibilidade e controle inevitavelmente levará à perda do que pode ser dados confidenciais, pessoais ou de clientes no processo. Se os dados são o combustível de muitos de nossos processos de negócios, perder alguns deles significa que você está com pouco combustível.
3. Criando limites de acesso interno
Equipes inovadoras exigem acesso aos dados. Sejam cientistas de dados que estão criando novos algoritmos de aprendizado de máquina, pesquisadores de ameaças pesquisando novas tendências, equipes de marketing ou gerenciamento de produtos que precisam entender o comportamento do cliente ou outras partes interessadas – inovar sem dados é como tentar assar sem forno. Gerenciar o acesso organizacional aos dados pode ser fundamental para garantir que não haja abuso ou perda, mas criar políticas de controle de acesso e limites rigorosos em torno do uso de dados cria o que são essencialmente silos de dados, mais uma vez restringindo a inovação.
As equipes de segurança devem ver essas políticas de acesso como oportunidades para apoiar a inovação empresarial colaborativa, em vez de obstruí-la devido ao medo de perder o controle sobre os dados. Se o gerenciamento de acesso não for altamente automatizado, de autoatendimento e capaz de se adaptar rapidamente conforme necessário, a única maneira de evitar impedir o processo de negócios é conceder acesso amplo, colocando a organização em risco.
4. Não armazenar dados suficientes
As organizações que tentam controlar excessivamente o acesso e o uso de dados não apenas relutam em fornecer provisões de acesso aos dados existentes, mas também restringem o armazenamento do que consideram novos dados “desnecessários” se não tiverem o que consideram ser. a devida justificação. Novamente, essas políticas restritivas de segurança de dados jogam o bebê fora junto com a água do banho.
As equipes de segurança devem considerar que novas tendências, melhores práticas ou ideias inovadoras que podem beneficiar a organização podem estar “escondidas” em dados que elas proíbem. Se os processos corretos estiverem em vigor para excluir esses dados quando necessário, nenhuma restrição será necessária. As organizações esperam que as equipes de segurança se afastem da abordagem clássica obstrucionista de segurança de TI, já que o CISO moderno faz parceria com as equipes de desenvolvimento para habilitá-las – não desencorajá-las.
5. Não usar a tecnologia de armazenamento de dados correta
As tecnologias de armazenamento de dados podem exigir proficiências específicas à medida que cada nova tecnologia adicional é adicionada. O transbordamento de pilhas de soluções de segurança pode causar caos operacional e dificultar a determinação se os dados armazenados nelas são seguros, levando as equipes de segurança a renunciar à adição de novas tecnologias para manter o que sabem. Essa abordagem conservadora pode novamente dificultar a inovação ou, pior ainda, levar as equipes a usar metodologias e processos errados.
À medida que as tecnologias de armazenamento de dados continuam a evoluir junto com os casos de uso de negócios, as equipes de segurança devem acompanhar seu crescimento dentro da empresa. As ferramentas que fornecem informações confiáveis sobre a postura de segurança da organização são independentes de armazenamento, fornecendo escala e garantia de que os controles atendem às políticas e padrões.
6. Excluindo dados sem motivo
A remoção de dados de infraestruturas de nuvem o mais rápido possível tornou-se uma prática comum para equipes de segurança que estão cada vez mais preocupadas em perder o controle ou controle sobre seus dados. Essa é outra abordagem míope à inovação, pois tecnologias e metodologias emergentes podem exigir esses dados excluídos e, sem eles, as organizações ficarão para trás.
Sem a devida confiança na capacidade de controlar os dados existentes sem removê-los – inclusive garantindo que não ultrapasse o período de retenção permitido – as equipes de segurança continuarão a restringir o progresso. Com as ferramentas certas, as equipes de segurança obterão informações sobre a localização e o uso dos dados e poderão tomar decisões informadas sobre sua retenção.
Lidar com essas lacunas e armadilhas requer encontrar o equilíbrio certo entre apoiar a inovação desenfreada sem controle ou visibilidade e restringi-la para uma sensação de controle e gerenciamento de segurança. O conceito de que segurança e inovação não podem coexistir está ultrapassado e pode ser prejudicial para as posturas de segurança organizacional e para o futuro potencial e sucesso dos negócios. As proteções de segurança e as políticas de acesso e uso de dados são essenciais para a higiene básica da segurança, mas sem complementá-las com uma abordagem inovadora para aproveitar esses dados, sua empresa rapidamente se tornará irrelevante.
FONTE: HELPNET SECURITY