Você não pode garantir a segurança dos seus dados através de testes de penetração na rede

Views: 687
0 0
Read Time:5 Minute, 48 Second

Por Brian Grant | Diretor Regional da CPL ANZ

Organizações continuam a sofrer sérios vazamentos de dados, muitas vezes causando danos aos seus clientes, à sociedade e à reputação que construíram com tanto esforço. Parece óbvio a partir dos dados reportados que continua a haver uma falha na abordagem da indústria de cibersegurança à segurança de dados.

Mal-entendido ou desinformação

Tipicamente, grandes vazamentos de dados e violações de privacidade são resultado de erro humano ou de um ataque externo bem-sucedido a usuários, dispositivos, redes ou software. Na verdade, de acordo com o relatório de Segurança de Dados da Thales, 52% das organizações pesquisadas já sofreram um vazamento de dados no passado. Isso leva muitos na indústria de cibersegurança a acreditar que alcançar a segurança de dados requer uma defesa sistemática dos vetores de ataque, independentemente do custo ou dos resultados.

Este conceito de tentar defender cada ativo potencialmente explorável como a maneira mais eficaz de prevenir incidentes graves de dados é uma falácia que continua até hoje. Não importa se há exploração deliberada deste mal-entendido por parte de alguns na indústria, ou se isso é simplesmente um exemplo de nossa incapacidade de pensar fora da abordagem tradicional de cibersegurança. A consequência deste equívoco é que dados críticos e informações de privacidade continuam em risco.

Segurança de dados é apenas isso… segurança de dados

Se a sua organização tivesse um milhão de dólares em dinheiro, você provavelmente gostaria de mantê-lo seguro. De forma alguma você simplesmente o deixaria em uma prateleira no escritório e confiaria em portas da frente fortes para o seu prédio, seu segurança na recepção e alarmes perimetrais ao redor do prédio para mantê-lo seguro. Você, é claro, o trancaria em um cofre muito seguro. Limitaria quem tem chaves ou códigos para o cofre apenas àqueles que precisam acessar o dinheiro. Provavelmente protegeria o cofre com um sistema de alarme muito bom e certamente o monitoraria 24×7 com um serviço de resposta apropriado que reagiria em minutos se um alarme disparasse.

Se os dados da sua organização potencialmente valem milhões, ou se sua exposição ou indisponibilidade puder custar milhões, então os dados merecem ser seguros. Segurança de dados significa apenas isso – segurança dos dados!

Consequências

A consequência de não entender como garantir a segurança dos dados de privacidade ou de ativos de dados críticos semelhantes pode ser terrível.

Durante muitos anos, estive em discussões com uma equipe de análise de dados sobre como garantir a segurança de dados sensíveis do consumidor em uma grande empresa muito conhecida. O investimento para garantir a segurança dos dados em si foi adiado várias vezes. O motivo era que a equipe de cibersegurança havia informado à equipe de liderança de negócios que os dados estavam seguros. A equipe de ciber havia implantado as melhores práticas de segurança em torno do acesso do usuário, dispositivos conectados, software e redes. Também havia testes de penetração regulares, bem como treinamento sistemático de conscientização cibernética em toda a organização. Era um ambiente muito bem protegido no sentido tradicional de cibersegurança.

O problema era que os dados em si permaneciam, para todos os efeitos práticos, não seguros e estavam apenas esperando para serem explorados. A organização não avaliou nem aplicou confidencialidade e integridade nos próprios dados. Em vez disso, confiava que tudo o mais na organização estivesse seguro como estratégia fundamental para garantir a segurança de seus valiosos ativos de dados.

Levou apenas um erro material no ambiente de segurança da borda para abrir as portas para um atacante habilidoso; apenas uma supervisão humana em uma complexa interconexão de estruturas de segurança. Com os dados não possuindo segurança para evitar exposição, a consequência foi catastrófica, com milhões de registros de clientes sensíveis roubados e a reputação da marca e de cibersegurança da organização em frangalhos. O custo ainda está para ser medido, mas será centenas de vezes maior do que o custo para garantir os próprios dados.

Alcançando uma segurança de dados eficaz

A capacidade de garantir a segurança dos dados sempre esteve prontamente disponível para qualquer organização que procurasse adotar a abordagem correta para o desafio. A importância de uma boa segurança de dados por meio da aplicação adequada de confidencialidade e integridade de dados é bem conhecida e frequentemente citada em seminários de cibersegurança ao redor do mundo.

Vamos pensar de forma mais pragmática.

Criptografe os dados

O primeiro passo para garantir a segurança dos dados é torná-los seguros, escondendo-os à vista de todos. Tecnicamente falando, aplicamos criptografia, tokenização, mascaramento ou anonimização para que os elementos ou informações sensíveis não sejam visíveis para um usuário ou processo não autorizado. Há alguns benefícios adicionais além de manter os dados confidenciais nesta abordagem. Se o valor dos dados não puder ser facilmente avaliado (visualizado), ele estará menos em risco. Além disso, se os dados estiverem inherentemente ocultos, podem ser facilmente movidos, replicados ou backupados, sem correr o risco de divulgação, seja deliberada ou acidentalmente.

Implemente políticas de Gerenciamento de Identidade e Acesso fortes

O segundo passo é, é claro, controlar quem ou o que pode ler ou gravar nos próprios dados. Este passo é análogo a garantir que apenas pessoas ou processos autorizados tenham acesso às chaves que abrem o cofre – eles podem estar autorizados a acessar a sala que contém o cofre, mas isso não lhes dá o direito de acessar o dinheiro. De fato, a gestão digital de chaves é um elemento do que usamos tecnicamente para aplicar essa função. Se o controle de acesso aos dados for corretamente aplicado, não apenas impedirá que dados sensíveis sejam roubados ou divulgados acidentalmente, mas também impedirá que os dados sejam adulterados.

Monitore atividades suspeitas

O terceiro passo é alertar proativamente quando os próprios dados estão ameaçados, assim como você faria se alguém tentasse abrir o cofre com um milhão de dólares dentro. Se uma pessoa ou processo não autorizado tentar ler ou gravar nos dados, uma boa segurança de dados o impedirá. No entanto, se você não alertar alguém e tomar medidas para responder à ameaça, pode ser apenas uma questão de tempo antes que eles encontrem uma maneira de acessar os dados, mesmo que a superfície de ataque para os dados seja agora um buraco da fechadura em vez de uma porta aberta. Sem integração com resposta a ameaças, a segurança de dados pode apenas atrasar o ataque. Então, uma vez alertado, você deve responder com força!

É de vital importância que cada organização avalie continuamente o que colocou em prática para garantir a segurança de seus dados. O crescimento e o sucesso do negócio dependem tanto de uma boa segurança de dados quanto da proteção do fluxo de caixa. Saiba mais sobre como as soluções da Thales oferecem proteção de dados contra ameaças em constante evolução.

Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.

POSTS RELACIONADOS