Melhores práticas de classificação de dados pós-pandemia
Por Jaime Muñoz
A constante necessidade de proteger dados sensíveis, seja de propriedade intelectual, dados financeiros ou pessoais, entre outros, envolve não apenas as empresas que detém a custódia dos dados, mas também exige atenção dos seus titulares (os reais proprietários dos dados) na rede de proteção das informações. Como aliada da classificação de dados, a automação desempenha um papel central na governança de dados e ajuda a manter o equilíbrio necessário entre tecnologia e treinamento focado em pessoas visando alcançar uma cultura de segurança inclusiva.
A constante necessidade de proteger dados sensíveis, seja de propriedade intelectual, dados financeiros ou pessoais, entre outros, envolve não apenas as empresas que detém a custódia dos dados, mas também exige atenção dos seus titulares (os reais proprietários dos dados) na rede de proteção das informações.
Como aliada da classificação de dados, a automação desempenha um papel central na governança de dados e ajuda a manter o equilíbrio necessário entre tecnologia e treinamento focado em pessoas visando alcançar uma cultura de segurança inclusiva.
A necessidade de um suporte adequado de segurança de dados e uma cultura de segurança robusta em toda a empresa tornaram-se preocupações centrais para os CISOs, não apenas como resultado da pandemia, mas também com as novas demandas de negócios, ambientes de trabalho remoto e as restrições operacionais, não apenas agora, mas também de agora em diante.
À medida que os volumes de dados continuam crescendo, manter a Confidencialidade, Integridade e Disponibilidade (em inglês a tríade CIA – Confidentiality, Integrity and Availability) – dos dados tornou- se uma prioridade para todos os líderes de segurança. Gerenciar o ciclo de vida dos dados em constante evolução exige uma postura sólida que inclui investimento em ferramentas de classificação de dados apropriadas. Para apoiar isso, programas de educação de funcionários devem integrar e informar as equipes sobre os principais processos de gerenciamento de gestão e tratamento de dados em toda a organização. Mas, em tudo isso, a automação se torna o terceiro ingrediente crítico para garantir o sucesso nesta jornada.
É essencial combinar tecnologias e uma abordagem centrada nas pessoas
O uso correto dos dados, acompanhado dos recursos de proteção, é necessário para dar aos funcionários acesso adequado e seguro às informações e educá-los suficientemente sobre os níveis de sensibilidade e confidencialidade dos dados. Principalmente tendo a LGPD e a GDPR em vigor para normatizar o manuseio dos dados pessoais. O fornecimento de proteção automatizada, como um princípio central da postura de segurança, ajudará os CISOs a definir, medir e marcar o status real dos dados, e – desta maneira – mantê-los em repositórios seguros e controlados.
Ao combinar pessoas, processos e tecnologia, os CISOs podem atender a todos os principais requisitos de proteção e controle de dados; não apenas no que diz respeito a garantir a compreensão e o gerenciamento apropriado dos dados, mas também a fornecer a amplitude da cobertura de segurança necessária em uma base local e remota, garantindo sua adequação para todas as partes interessadas.
Ao adicionar uma boa tecnologia de proteção de dados a este processo, com conhecimentos e processos humanos, os benefícios são consideráveis e incluem:
- A capacidade de integrar o rigor da automação baseada em tecnologia com os requisitos de conhecimento contextual, uso e controle dos criadores de dados;
- O uso de automação baseada em tecnologia para assimilar conhecimento sobre dados e aplicar controles baseados em regras que atendam às necessidades atuais e futuras esperadas, sem impor sobrecarga operacional adicional;
- A entrega de uma abordagem de segurança combinada que inclui o usuário no processo de tomada de decisão de classificação, além de melhorar a conscientização e aprimorar a postura geral de segurança.
Colaboração e contribuição das partes interessadas, os stakeholders, na proteção de dados
Os requisitos de uso de dados entre duas organizações não são exatamente iguais. São os criadores e usuários dos dados que trazem o conhecimento profundo e as percepções que facilitam a classificação para acesso e uso futuro. Eles também fornecem a base de conhecimento que informa a proteção automatizada e as regras de controle de acesso.
Além de fornecer insights iniciais sobre os dados que eles geram, é fundamental que as partes interessadas – stakeholders – entendam as políticas de proteção de dados de sua organização para que os níveis corretos de controle possam ser aplicados logo na origem dos dados.
Para os CISOs, é importante que as políticas de dados em toda a empresa sejam total e facilmente compreendidas para garantir uma abordagem consistente para classificar os dados e controlar o uso dos dados.
Proteção de dados pós-pandemia: os desafios se manterão enormes
Em um nível básico, a proteção de dados corporativos deve se estender para garantir um conhecimento profundo de quais dados são mantidos e onde isso é feito, e, portanto, saber quais os diferentes níveis de controles de segurança são necessários para manter seguras as várias categorias de dados.
Do ponto de vista da proteção de dados, as empresas devem, em primeiro lugar, reconhecer que nem todos os dados são iguais. Com isso em mente, diferentes controles são necessários para garantir que diferentes tipos de dados não sejam perdidos ou acessados por terceiros não autorizados. Além do requisito de alto nível para proteger dados confidenciais, essenciais e críticos para os negócios, as empresas também devem aplicar regras de proteção de dados diferentes estendidas a outras categorias de dados
Não caia na armadilha das três categorias geralmente aplicadas à classificação de dados: Público – Interno Confidencial. Os dados são muito mais que isso. Um dado confidencial de finanças é um dado diferente de um dado confidencial de RH, e daquele utilizado pelo departamento Jurídico. Todos têm diferentes ciclos de vida, diferentes agentes terceiros que podem ter acesso a eles e, potencialmente, diferentes relatórios e onipresença de armazenamento. Se os dados não têm diferenças, as ferramentas de proteção não são tão efetivas como poderiam ser. Uma classificação que apoia o negócio – e não apenas uma marcação de verificação – inclui uma classificação mais granular, mais abrangente.
Manter o foco no contexto de negócios e na capacidade de atender aos requisitos regulatórios – LGPD – HIPAA – GDPR, entre outras – é fundamental. Além disso, deve-se priorizar o fornecimento de recursos de proteção de dados inteligentes para tomar as decisões corretas sobre acesso e disponibilidade aos sistemas e banco de dados, para fornecer eficiência e automação baseadas em tecnologia e garantir o suporte adequado aos volumes cada vez maiores de dados de forças de trabalho remotas.
Automatizando a classificação de dados para segurança otimizada
As empresas que se adaptaram melhor à era pandemia de Covid-19 usarão automação, tecnologias de acesso digital orientado a dados e nuvem visando efetuar operações e eficiências aprimoradas. Com a força de trabalho remota se consolidando nas empresas, mais dados serão gerados fora do ambiente de trabalho local tradicional – mais do que nunca. Permitir o acesso seguro ao usuário e aos dados será, portanto, fundamental. O grande volume de dados envolvidos tornará ainda mais difícil proteger informações confidenciais e gerará uma necessidade urgente de formas mais inclusivas e automatizadas de proteção de dados.
A automação dará uma contribuição significativa para a melhoria da eficiência operacional pós-pandemia, além de fornecer operações ágeis e automatizadas com acesso seguro ao usuário e aos dados no centro de suas estratégias. As tecnologias de classificação de dados serão vitais para proteger os dados a partir da aplicação de rótulos diferenciados e apropriados de identificação de segurança, além de ajudar a educar os usuários sobre como tratar diferentes tipos de dados com diferentes níveis de classificação de acordo com o nível relativo de sensibilidade aplicado a esse documento.
A importância de uma forte cultura de segurança e programas de educação das equipes
Assim como a automação desempenha um papel fundamental no estabelecimento de uma base sólida para a cultura de segurança de dados de uma organização, os funcionários desempenham um papel vital em garantir que a empresa mantenha uma postura forte de privacidade de dados. É essencial ter a capacidade de se trabalhar com as áreas interessadas e usuários para entender e atender os requisitos e políticas de proteção de dados. Assim, a educação sobre segurança e proteção de dados deve ser conduzida em toda a empresa e deve existir em um nível que seja viável e sustentável.
O treinamento regular de conscientização garantirá que a segurança de dados se torne parte da prática de trabalho diária, incorporada em todas as ações e no próprio coração da empresa. Uma solução de classificação de dados, que fortaleça as políticas e protocolos de cuidado dos dados junto com relatórios e informação de gerenciamento desta atividade, será crítica para todas as organizações e será particularmente relevante à medida que avançamos além da pandemia de Covid-19 para a nova realidade de negócios, de ralações de trabalho e de tratamento de dados.
Também deve ser levada em conta a necessidade do fornecimento de eficiências operacionais ideais, gerenciamento de dados e classificação de dados sob restrições orçamentárias impostas pela pandemia, o que será um desafio de negócios contínuo. Não fazer nada, no entanto, fará com que uma organização falhe, e já vimos grandes multas incorridas para aqueles que não investem na segurança de dados como uma prioridade. Os líderes de dados, portanto, devem ser seletivos e identificar a combinação de tecnologias, processos e investimentos em pessoas que fornecerão os melhores controles de segurança.
*Jaime Muñoz é Diretor de Desenvolvimento de Negócios da HelpSystems para o Brasil.