0
0
Vamos começar examinando essas duas categorias de dados gerais: estruturados e não estruturados.
Dados estruturados referem-se aos dados residentes em bancos de dados relacionais, geralmente apresentados por meio de sistemas de gerenciamento de relacionamento com o cliente (CRM) e aplicativos corporativos. Tabelas e linhas de informações relacionadas em formatos limitados, estruturados e acessíveis apenas a usuários com autorização adequada.
Os dados não estruturados são muito menos fáceis de cercar, sendo compostos de todos os arquivos diferentes e não relacionados presentes nos dispositivos do usuário final. Os dados são armazenados em uma ampla variedade de locais localmente, na rede e em serviços baseados em nuvem. Ao considerar todos esses formatos e tipos em dispositivos locais e baseados em rede, é fácil ver como é vital incluir todos esses dados na equação geral de segurança de dados. A Omdia estima que até 80% dos dados de uma organização residem nessa categoria não estruturada.
Agora vamos considerar como todos os dados precisam ser protegidos.
Devido ao nível geral de sensibilidade dos dados estruturados (informações de identificação pessoal, folha de pagamento, finanças, jurídico etc.), as estratégias de segurança geralmente se concentram nessa camada. As organizações normalmente separam e protegem os vários tipos de dados aqui. No entanto, mesmo essas medidas estão potencialmente longe de serem suficientes para proteger contra um determinado hacker. Alguma organização pode realmente dizer com confiança que está adequadamente protegida quando o próximo ataque pode vir de um local totalmente desconhecido ?
Questões de robustez de segurança à parte, para dados estruturados, as organizações tendem a tratar os dados de maneira diferente, considerando o conteúdo real (e o risco para o negócio se for perdido) e, portanto, os controles apropriados são razoavelmente aplicados.
Dados os volumes absolutos, pode-se dizer que os dados não estruturados recebem proporcionalmente (ou mesmo algo parecido) a mesma consideração que os dados estruturados recebem? A resposta é provavelmente “não”.
Primeiro, vamos fazer uma pergunta mais fundamental. Uma organização pode, sinceramente, dizer que sabe onde estão todos os seus dados não estruturados? A maioria das organizações pode ter dificuldades aqui. Os autores de arquivos podem ter dificuldade em lembrar um arquivo específico ou o que fizeram com ele, ou até mesmo podem ter deixado o negócio completamente.
Isso então apresenta este desafio: “Se a organização não sabe onde está um arquivo ou o que ele contém, como pode ser protegido?”
Soluções de descoberta
As soluções de descoberta de dados podem tornar a recuperação retrospectiva mais palatável, mas é melhor poder classificar os documentos no momento da criação e armazená-los de forma clara e adequada de acordo com seu valor (ou risco) para os negócios.
A Omdia argumenta que os autores desses documentos estão em melhor posição para aplicar uma marca adequada, mas ferramentas de inteligência artificial (IA) também podem ser empregadas. Hoje, a cultura organizacional tende a determinar se a preferência é por uma abordagem centrada no usuário ou em IA. De qualquer forma, um visual e uma marca incorporada semelhante classificando o documento, trabalhando em conjunto com uma ferramenta de prevenção de perda de dados (DLP), não apenas indicará a confidencialidade do documento e como ele deve ser tratado, mas os rótulos também ditarão como o documento pode ser distribuído. Essa é a base para proteger dados não estruturados.
Uma consideração aqui. Adotar uma abordagem de tamanho único que não serve para todos torna-se granular rapidamente ao considerar todos os diferentes tipos e níveis de confidencialidade de dados que circulam em uma empresa. Entretanto, essa é uma parte necessária do processo de planejamento, e a clareza e o tempo necessários para construir uma estrutura hierárquica de dados nesse estágio trarão dividendos mais tarde. A definição completa e bem definida do tipo de dados e uma estratégia de priorização mapeada em todos os vários tipos de dados não apenas fornecerão segurança aprimorada, mas também garantirão que, se ou quando ocorrer um ataque, os reguladores possam ter a certeza de que todas as medidas possíveis foram para preservar a segurança dos dados de uma organização e, além disso, que todos os dados sejam tratados da maneira correta. Também vale a pena considerar neste ponto que altamente restrito,
Em termos de trabalho com usuários finais, as opiniões sobre esse grupo e segurança de qualquer tipo são altamente polarizadas. A Omdia acredita firmemente no treinamento completo de segurança cibernética para a força de trabalho. É vital incluir os usuários na postura de segurança de uma organização, empregando-os como uma parte resiliente da fortificação defensiva da segurança de dados, em vez de deixá-los de lado como parte do problema. O treinamento em segurança cibernética é vital, mas deve ser contínuo e frequente para criar uma “cultura de segurança” dentro da organização.
Nenhuma organização pode afirmar ser 100% segura contra o cenário de ameaças em constante evolução. Ao trabalhar para entender os dados e implementar adequadamente os controles de segurança nos vários tipos e sensibilidades, juntamente com o envolvimento proativo dos usuários finais, o impacto da perda de dados não autorizada ou maliciosa pode ser mitigado e os custos caros associados a uma abordagem geral de segurança de dados podem ser evitado.
FONTE: DARK READING