0
0
As startups de hiper-crescimento enfrentam um conjunto único de desafios quando se trata de garantir o acesso a dados. Sua prioridade é impulsionar a inovação rápida, escalar sua base de clientes e aumentar a receita. Sua pegada de dados está aumentando exponencialmente, com novos dados de terceiros e terceiros chegando diariamente. Uma base de clientes em rápido crescimento confiou a eles seus dados pessoais mais sensíveis (PII, saúde, dados financeiros e assim por diante), e os líderes da empresa querem acessar facilmente esses dados para tomar decisões estratégicas operacionais, de marketing e de vendas.
As startups devem garantir acesso aos dados, rastrear quem os está acessando e cumprir as regulamentações de privacidade de dados, como o Regulamento Geral de Proteção de Dados (GDPR) da UE e a Lei de Privacidade do Consumidor da Califórnia (CCPA). Essas empresas também precisam encontrar um equilíbrio entre preservar a privacidade e impor segurança, ao mesmo tempo em que estão atentas para não limitar a capacidade das partes interessadas de acessar os dados para inovação e crescimento contínuos.
Para algumas startups, isso não é um problema… até que se torne um. 67% das organizações sofrem múltiplas ameaças de insiders – sejam elas maliciosas, como o que ocorreu na GE quando funcionários roubaram informações privilegiadas para iniciar uma empresa concorrente, ou por negligência, como a violação da Robinhood que levou o pessoal de suporte ao cliente compartilhando registros por engano para mais de cinco milhões de consumidores com hackers.
Proteger dados e implementar os controles de acesso certos é fundamental para minimizar ameaças internas e prevenir resultados catastróficos. Mas à medida que as empresas crescem rapidamente, o acesso seguro aos dados pode se tornar uma reflexão posterior.
Os três principais desafios de dados que assolam as startups
Enquanto todas as empresas lutam com problemas comuns de segurança de dados e acesso, as startups enfrentam três desafios principais:
Desafio #1: Startups não têm recursos para construir uma equipe de segurança
Nas startups, é típico que fundadores e CEOs façam tudo. Mesmo à medida que uma empresa cresce, recebe financiamento adicional e contrata um CIO, CSO, CISO ou Chief Data Officer, esse dinheiro pode ser alocado para outras iniciativas em vez de construir uma equipe de segurança robusta. E quando essas equipes estão presentes em startups, geralmente são pequenas e focadas em proteger a empresa de ataques externos à infraestrutura, rede ou dispositivos. Com toda a sua energia focada no perímetro e ameaças do DoS, isso deixa muito pouca largura de banda para se concentrar em ameaças dentro da empresa.
Desafio #2: Startups usam ferramentas diferentes para proteger dados confidenciais – se houver
A maioria das startups usa diferentes ferramentas para gerenciar a detecção e classificação de dados, mascaramento de dados, controles de acesso, solicitação de registro e emissão de relatórios. Mas essas ferramentas muitas vezes requerem codificação manual e não se integram entre si ou com o data warehouse.
Por exemplo, vamos olhar os dados da data de nascimento (DOB). Vendas e marketing podem querer acesso a esses dados para personalização e promoções – mas eles só precisam do mês e dia, não do ano. O RH precisa ter acesso ao DOB completo por razões como verificações de antecedentes e pagamentos. E não há caso de uso onde a engenharia precisaria de qualquer um desses dados. Mas sem o controle universal de acesso, você precisaria criar cópias dos dados e escrever scripts manuais fora do data warehouse para encontrar, classificar e mascarar esses dados. Para fins de conformidade, uma pessoa teria que passar manualmente por logs de data warehouse e compilar solicitações de acesso a dados que envolvem dados do cliente nos últimos 60 dias, 90 dias, etc. – isso é demorado e propenso a erros. Pior ainda, algumas startups não estão fazendo nenhum controle de acesso a dados por falta de recursos.
Desafio #3: Longos tempos de antecedesários no acesso a dados podem retardar a inovação
Pequenas equipes de segurança e dados de startups são bombardeadas com pedidos. A prioridade da equipe de compliance é garantir que os executivos não aterrissem na cadeia ou acabem pagando multas pesadas devido ao descumprimento das regulamentações governamentais. A prioridade máxima para os cientistas de dados e analistas é acessar informações comportamentais para construir modelos melhores e obter novos insights para melhorar as operações de negócios. Os engenheiros de produtos querem acessar dados de experiência do cliente para o aplicativo móvel e o site para identificar gargalos e melhorar a experiência do usuário. Processos manuais para solicitar acesso a dados para esses consumidores de dados diminuem o ritmo de inovação.
Então, como uma startup pode superar esses desafios? Ele começa com a estrutura de acesso de dados correta para dimensionar com segurança e com automação completa.
Encontrar a estrutura de acesso a dados correta
Muitas empresas no modo de hiper-crescimento se inclinam para o acesso de dados “padrão para saber”. Isso significa que os dados estão abertos a todos e acessíveis de uma forma excessivamente permissiva – e às vezes descontrolada. Dados “excesso de privilégio” são comuns dentro da cultura de startups, mas essa abordagem livre para todos tem riscos inerentes e potencialmente graves de segurança, operacional e de conformidade. Qualquer pessoa na empresa pode acessar e baixar uma lista de clientes com dados pii sem um rastro ou trilha.
Para controlar o acesso aos dados, mantendo a democratização, o próximo passo é passar de “padrão para saber” para “precisa saber”. Considerando que antes todos tinham acesso a cada pedaço de dados, esse acesso agora é controlado com base no papel ou responsabilidade de uma pessoa dentro da organização. Por exemplo, um Gerente de Vendas do Nordeste só pode acessar informações para as contas da sua região. Ou no caso do nosso exemplo do DOB acima, os títulos de marketing só podem acessar aniversário e mês, mas o ano de nascimento permanece oculto.
Implementando uma estratégia sólida de governança de dados
À medida que as startups passam de acesso de dados aberto para todos para o acesso de dados de necessidade, elas precisam adotar uma abordagem estratégica para a governança de dados. As seguintes considerações devem ser mantidas em mente:
- Minha descoberta e classificação de dados são automatizadas?
- É contínuo? É em tempo real ou em tempo real?
- Posso fazer mascaramento de dados específico para papéis?
- Tenho controle de acesso baseado em responsabilidade?
- Onde estão meus dados confidenciais?
- Quem tem acesso a ele? E como posso controlar esse acesso?
- Quem acessou recentemente e há algum comportamento suspeito?
- Estou rastreando todos os pedidos de dados confidenciais?
- Estou registrando esses pedidos, e tenho uma maneira automatizada de puxar relatórios?
Uma estrutura universal de acesso a dados pode ajudar as empresas a superar desafios comuns, garantindo o acesso aos dados, ao mesmo tempo em que oferece visibilidade completa sobre como os dados confidenciais são usados em toda a empresa.
Todas as empresas (especialmente startups de alto crescimento) precisam desenvolver e impor “regras de engajamento” de compartilhamento de dados que devem incluir: visibilidade constante sobre onde estão os dados confidenciais, controle ágil de acesso, criação de um “Conselho de Operações de Segurança de Dados” para tomada de decisões e resolução de conflitos e um compromisso de treinar todas as partes interessadas em privacidade, segurança e governança.
Como guardiões de dados altamente confidenciais, as empresas devem protegê-los para atender aos requisitos regulatórios e honrar as preferências de privacidade dos clientes, ao mesmo tempo em que fornecem acesso oportuno a dados relevantes para impulsionar a inovação. É imperativo que os líderes de cibersegurança em startups de alto crescimento não percam de vista seus dados sensíveis de clientes e empresas – eles precisam manter a visibilidade sobre o que os funcionários estão fazendo com ele e como eles compartilham. Essas etapas ajudarão as startups a superar desafios de dados únicos e proporcionar crescimento com segurança e conformidade.
FONTE: HELPNET SECURITY