Segurança de dados corporativos: é hora de mudar a abordagem estabelecida
As empresas devem esquecer a auditoria de onde os dados residem e quem tem acesso a eles.
Há um velho ditado quando se trata de grandes empreendimentos: Não ferva o oceano . Bem, dificilmente existe projeto maior em segurança da informação do que tentar proteger os dados corporativos. Mas a realidade é que muitas organizações hoje estão, de fato, “fervendo o oceano” quando se trata de seu programa de segurança de dados. Na verdade, eles têm toda a sua abordagem de segurança de dados ao contrário – especialmente quando se trata de gerenciar o risco de dados na força de trabalho altamente colaborativa e remota de hoje.
Essa é uma declaração ousada, eu sei, então me dê a oportunidade de explicar o que quero dizer. Quando a maioria das organizações toma medidas para proteger seus dados, elas seguem (ou, mais precisamente, tentam seguir) as práticas típicas. Eles começam tentando identificar todos os dados confidenciais que possuem em suas organizações – todos os dados que existem em seus compartilhamentos de arquivos de rede internos, em terminais, em mídia removível e em todos os seus serviços em nuvem. Em seguida, eles se concentram na importância dos dados, ou seja, nas classificações das informações. Os dados são confidenciais? Propriedade intelectual? Importante? A próxima etapa é determinar quem tem acesso aos dados da organização. Por fim, procuram controlar ou bloquear quando os dados saem da organização.
Essa tem sido a estratégia aceita em toda a profissão de segurança e, francamente, há muitos erros com esse modelo. A verdade honesta é que simplesmente não está funcionando porque há muitos dados para identificar com êxito dentro de uma empresa típica. De acordo com a empresa de pesquisa de mercado IDC, 80% dos dados corporativos não estarão estruturados em 2025 . Deixe-me contar por experiência própria, a menos que sejam dados que são obviamente classificados como informações pessoais de saúde ou informações de pagamento com cartão, então é difícil, quase impossível, para as organizações (exceto talvez os militares) classificar e classificar adequadamente seus dados, muito menos confiar nos funcionários para seguir um esquema de classificação prescrito. Essencialmente, eles classificam tudo como classificado.
Considere nossa experiência dentro do Code42. Temos cerca de 500 funcionários e, nos últimos 90 dias, registramos um pouco mais de dois bilhões de eventos de arquivo em nosso ambiente. Isso inclui edições de arquivo, um arquivo movido e atividades semelhantes. Isso não inclui eventos que ocorrem continuamente em cada endpoint. Quando você considera tanta atividade de dados, fica claro o quão desafiador é pedir aos profissionais de segurança que entendam quem está acessando todos esses dados e para onde todos eles estão fluindo.
Imagine este funil de proteção de dados tradicional como uma cadeia de eliminação de violação de dados: Quais dados nós temos? Qual é a classificação dos nossos dados? Quem tem acesso? Quais dados saíram da organização e para onde foram? Como vimos, esse é um desafio quase intransponível, a menos que uma organização aplique uma quantidade enorme de recursos no problema e execute sem falhas. Sabemos que isso não vai acontecer.
Qual é a solução, então?
Para começar, todos nós precisamos reconhecer algumas verdades básicas sobre dados corporativos:
- Todos os dados são valiosos, não apenas os dados que classificamos.
- Cada usuário – não apenas usuários privilegiados – tem acesso aos dados.
- A colaboração é constante, portanto, o bloqueio não funcionará.
Diante do exposto, as organizações precisam virar sua abordagem de segurança de dados de cabeça para baixo e primeiro lidar com os dados que entram e saem da organização. É um subconjunto muito menor da quantidade total de dados em uma organização e uma grande melhoria em comparação com a necessidade de vasculhar mais de dois bilhões de arquivos no topo do funil de dados tradicional. Com o funil invertido, começamos literalmente com um conjunto muito menor de arquivos em qualquer dia e podemos ver se são arquivos que precisam de mais atenção.
Tenho certeza de que haverá opositores. Mas o que a indústria tem feito, inclusive quando se trata de risco interno, não tem funcionado. Essa abordagem é muito mais direta do que ter que aplicar uma estratégia antiquada de gerenciamento de dados usando uma constelação de tecnologias que devem ser aplicadas quase perfeitamente. Basta olhar para as violações de dados ano após ano: em 2019, por exemplo, havia uma estimativa de 3.950 violações de dados, ante 2.013 em 2018, de acordo com o Data Breach Industry Report (DBIR) da Verizon.
Claramente, há muitas violações de dados afetando muitas organizações e seus clientes, e há muita propriedade intelectual valiosa deixando as organizações e entrando em outras. Isso está acontecendo porque as empresas estão olhando para o lado errado do funil – e, como resultado, não conseguem responder a algumas das perguntas mais básicas sobre seus dados.
Resumindo: quando se trata de proteger os dados corporativos, as organizações não precisam ferver o oceano. Na verdade, eles nem deveriam tentar. Eles precisam se concentrar em um fluxo de dados muito menor – o fluxo onde seus dados estão realmente fluindo.
Fonte: https://threatpost.com/enterprise-data-security-flip-established-approach/157524/