Segurança de dados. Alguns erros comuns, por Ramon Ito*
/ Com a transformação dos ambientes de TI, cada vez mais complexos e descentralizados, a preocupação com a segurança tende a crescer também. A questão é que, por conta desta complexidade, muitos problemas de segurança perfeitamente evitáveis estão começando a ser vistos como prática normal de negócios. Não precisa ser assim.
Uma pesquisa recente realizada pela IBM apontou que o custo médio de cada violação de dados ocorrida nos EUA em 2019 foi de US﹩ 8,19 milhões. Mais que isso, o mesmo estudo constatou que o tempo médio para a identificação e contenção de violações de dados, também nos EUA, é de 245 dias.
O fato é que muitas empresas vêm cometendo os mesmos erros em relação à segurança e corrigi-los é fundamental para garantir a segurança dos dados. Um deles é imaginar que passar por auditorias e certificações de conformidade é suficiente para garantir a segurança dos dados. Não é. Compliance e Segurança da Informação não são exatamente equivalentes e muitas das violações de dados registradas até aqui aconteceram em organizações que estavam em conformidade com alguma regulamentação ou a auditoria.
O foco exclusivo na conformidade diminui a eficácia da segurança em frentes como:
Cobertura incompleta – muitas vezes as empresas se esforçam para corrigir configurações incorretas ou políticas desatualizadas somente antes de uma auditoria anual, quando estas avaliações de vulnerabilidades e riscos devem ser atividades contínuas.
Esforço mínimo – muitas empresas adotam soluções de segurança de dados apenas para cumprir os requisitos jurídicos ou exigências de algum parceiro de negócio. Essa mentalidade de “vamos implementar um padrão mínimo e voltar aos negócios” quase sempre vai contra as boas práticas de segurança.
Urgência que diminui – muitas empresas tendem a se tornar complacentes no gerenciamento de controles quando regulamentos, como a Lei Sarbanes-Oxley (SOx), Regulamento Geral de Proteção de Dados (GDPR) e a Lei Geral de Proteção de Dados Pessoais (LGPD), amadurecerem. Com o passar do tempo, os líderes podem dar menos atenção à privacidade, à segurança e à proteção de dados regulamentados, mas os riscos permanecem.
Omissão de dados não regulamentados – ativos, como propriedade intelectual, poderão colocar a organização em risco se forem perdidos ou compartilhados com pessoal não autorizado. Concentrar-se apenas no compliance pode fazer com que as organizações de segurança negligenciem e não protejam suficientemente dados importantes.
Para não cair nesta armadilha específica, as organizações precisam estabelecer programas estratégicos que protejam consistentemente seus dados, em vez de apenas responder a requisitos de compliance. Estes programas devem contar com práticas como:
• Descobrir e classificar dados sensíveis em repositórios de dados locais e na nuvem.
• Avaliar o risco com informações contextuais e análise.
• Proteger dados sensíveis por meio de criptografia e políticas flexíveis de acesso.
• Monitorar padrões de acesso e uso de dados para detectar atividades suspeitas rapidamente.
• Responder a ameaças em tempo real.
• Simplificar o compliance e os relatórios.
Outro erro bastante comum é deixar de definir quem tem a responsabilidade sobre os dados da organização. O relatório da NewVantage, Big Data and AI Executive Survey 2019, apontou que 67,9% das empresas têm um diretor de dados (CDO), mas na maioria delas sua função não está bem definida.
Para uma organização, os dados estão entre os ativos de maior valor. Mas, sem um responsável específico, proteger dados sensíveis de forma adequada se torna um desafio. Um diretor de dados (CDO – Chief Data Officer) ou diretor de proteção de dados (DPO – Data Protection Officer) seria o ideal para cumprir essa função e, na hora de escolher um responsável, é interessante levar em conta objetivos e responsabilidades como:
Conhecimento técnico e tino comercial – avalie o risco e crie um argumento prático que líderes de negócios não técnicos possam entender a respeito dos investimentos adequados em segurança.
Implementação estratégica – direcione um plano em nível técnico que aplique controles de detecção, resposta e segurança de dados para oferecer proteções.
Liderança em compliance – entenda os requisitos de compliance e saiba como mapeá-los em relação aos controles de segurança de dados para que sua empresa esteja em conformidade.
Monitoramento e avaliação – monitore o ambiente de ameaças e mensure a eficácia do programa de segurança de dados.
Flexibilidade e ajuste de escala – saiba quando e como ajustar a estratégia de segurança de dados, como expandir políticas de acesso e uso de dados em novos ambientes por meio da integração de ferramentas mais avançadas.
Divisão do trabalho – defina as expectativas com os provedores de serviços de nuvem a respeito de acordos de nível de serviço (SLAs) e responsabilidades associadas a risco e remediação de segurança de dados.
Plano de resposta à violação de dados – prepare-se para exercer uma função importante na elaboração de um plano estratégico de mitigação e resposta à violação.
Um diretor de dados, ou diretor de proteção de dados, deve, em última análise, liderar a colaboração para segurança de dados em diferentes equipes e em toda a empresa, pois todos precisam trabalhar juntos para proteger os dados corporativos de modo eficaz. Essa colaboração pode ajudá-lo a supervisionar os programas e proteções que sua organização precisa para ajudar a proteger os dados sensíveis.
Pensar somente no compliance e não ter um profissional dedicado à proteção dos dados são apenas dois dos erros mais comuns realizados pelas empresas. Corrigi-los não é complicado e pode evitar uma série de perdas.
*Ramon Ito é sócio e responsável pela área de Privacidade da Safeway