Em busca da transformação digital, um número crescente de organizações em todo o mundo está adotando a prática de Traga Seu Próprio Dispositivo (BYOD) e incentivando seus funcionários a usar seus dispositivos pessoais para o trabalho de negócios.
Embora o BYOD definitivamente melhore a flexibilidade operacional e reduza os custos de TI, ele abre portas para ameaças de segurança cibernética, como violações de dados e vazamentos de dados, uma vez que os dispositivos pessoais não oferecem a mesma segurança que os dispositivos de negócios gerenciados centralmente. E nos tempos atuais, em que lemos sobre incidentes de violação de dados quase diariamente, abordagens de segurança tradicionais, como apenas proteger a rede, não funcionam mais. A necessidade do momento é repensar a estratégia de proteção de dados em toda a organização e deslocar o foco da proteção da rede para a proteção dos dados em si – onde quer que estejam!
Aqui estão os 4 pré-requisitos para o desenvolvimento de uma estratégia de proteção de dados empresariais coesa:
- Avaliação dos vários riscos de violação de dados internos e externos.
- Formulação de uma estratégia robusta de “mitigação de violação”.
- Desenvolvimento de uma estratégia fundamentalmente forte para proteger uma violação de dados e
- Implementação de tecnologias vitais de proteção de dados para conter a violação.
Antes de aprofundarmos cada pré-requisito, vamos primeiro entender os vários tipos de dados que as organizações precisam proteger. Os dados sensíveis podem ser amplamente categorizados em 7 tipos: informações de identificação pessoal, informações financeiras, informações de saúde, propriedade intelectual, informações de concorrentes, informações legais e informações de segurança de TI, como nomes de usuário, senhas, chaves de criptografia, etc.
Agora que sabemos os tipos de dados que precisam ser protegidos, nos aprofundaremos em cada pré-requisito de uma estratégia de proteção de dados robusta.
Avaliar os Riscos de Violação de Dados Internos e Externos
Especialistas em segurança cibernética em todo o mundo aceitam a amarga verdade de que, quando se trata de violações de dados, não é uma questão de “se”, mas de “quando”. E para atrasar a inevitabilidade de uma violação, equipes de segurança de TI em organizações precisam avaliar regularmente os riscos potenciais de segurança cibernética que podem surgir tanto dentro da organização quanto fora dela.
Os riscos internos podem ser comumente atribuídos a políticas de segurança de TI fracas, como a falta de senhas fortes, autenticação de usuário fraca e gerenciamento de identidade, acesso irrestrito a dispositivos de armazenamento externo, como unidades USB e discos rígidos externos, etc.
Os riscos externos surgem de tentativas deliberadas de violação de dados por meio de ataques maliciosos usando táticas de engenharia social, como phishing, vishing, smishing, inserção de malware ou vírus, injeções de SQL, ataques DDOS (Negação de Serviço), etc.
Formular uma Estratégia de “Mitigação de Violação de Dados”
Com os cibercriminosos ficando mais espertos a cada dia que passa, as organizações precisam estender o alcance da segurança de TI além do perímetro e formular uma estratégia coesa que gire em torno da proteção de seus dados onde quer que estejam.
Para conseguir isso, as organizações devem começar fazendo três perguntas pertinentes:
- Onde estão nossos dados sensíveis?
- Como esses dados estão sendo usados?
- Como garantimos que apenas pessoas autorizadas tenham acesso a esses dados?
Uma vez que respostas concretas são conhecidas para essas perguntas, desenvolver uma estratégia de “Mitigação de Violação” para proteger violações de dados se tornaria relativamente mais fácil.
Proteger Violações de Dados
Para evitar violações de dados, as organizações devem:
a) Identificar onde seus dados sensíveis estão – localmente, na nuvem ou em ambientes híbridos. Enquanto isso, as organizações também devem considerar o tráfego de rede, ou seja, seus dados em movimento. Uma vez que as localizações dos dados sensíveis são identificadas, o próximo passo é criptografar todos os dados sensíveis para torná-los inúteis para hackers em caso de um ataque cibernético.
b) Armazenar e gerenciar as chaves de criptografia de forma segura para garantir que elas não caiam nas mãos erradas. Como melhor prática, as chaves de criptografia devem ser armazenadas apenas em Módulos de Segurança de Hardware (HSMs) e gerenciadas centralmente usando uma Solução de Gerenciamento de Chaves.
c) Implementar uma política robusta de Gerenciamento de Acesso para garantir que apenas pessoal autorizado possa acessar os dados criptografados com base na “necessidade de saber”.
Implementar Tecnologias de Proteção de Dados
Aqui está uma lista rápida de 4 tecnologias que desempenham um papel fundamental na proteção ideal de dados empresariais:
Criptografia de Dados
Amplamente considerada como uma das melhores maneiras de proteger qualquer dado, a criptografia de dados é o processo de embaralhar dados comuns em um formato ilegível por meio do uso de um algoritmo que cria uma chave única conhecida como “chave de criptografia/crípto”.
Tokenização
A tokenização é o processo de atribuir um valor substituto aleatório (também conhecido como “Token”) aos dados originais para evitar uma identificação fácil. O Token é iniciado com um software especial, o “Gerenciador de Tokenização”, os dados originais são recebidos em seu ponto de entrada inicial pelo Gerenciador de Tokenização e depois criptografados.
Mascaramento de Dados
Também conhecido como “Ocultação de Dados”, o mascaramento de dados é o processo de ocultar (ou obscurecer) os dados originais com caracteres aleatórios ou outros dados. O objetivo principal do mascaramento de dados é proteger os dados originais, enquanto se tem um substituto funcional para situações em que os dados originais não são necessários.
Gerenciamento de Chaves
Uma vez que as chaves de criptografia passam por várias fases durante seu ciclo de vida: geração, distribuição, rotação, arquivamento, armazenamento, backup e destruição, uma Solução de Gerenciamento de Chaves é vital para gerenciar eficientemente essas chaves em cada fase de seu ciclo de vida para a proteção de dados.
Para Resumir
No mundo de hoje, onde os dados são considerados como o ativo organizacional mais precioso, nenhum esforço deve ser poupado para proteger os dados sensíveis. A proteção de dados empresariais é importante não apenas para o bem-estar financeiro de uma organização, mas também do ponto de vista regulatório, com novas conformidades de TI sendo introduzidas a cada dia.
A Thales fornece uma Plataforma de Segurança de Dados robusta e altamente escalável que prepara as organizações para enfrentar rapidamente o próximo desafio de segurança de dados e novos requisitos de conformidade.
Nossas soluções permitem que as organizações migrem para a nuvem com segurança, alcancem a conformidade com confiança e criem mais valor com seus softwares em dispositivos e serviços usados por milhões de consumidores todos os dias.
Uma estratégia eficaz de violação de dados pode ser resumida da seguinte forma:
Aceite a Violação – A segurança de perímetro sozinha não é mais suficiente.
Proteja o que Importa, Onde Importa – Os dados são o novo perímetro.
Segure a Violação – Anexe segurança aos dados e aplicativos, porque a ameaça interna é maior do que nunca.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.