Não é de hoje que que os números de ataques cibernéticos estão aumentando exponencialmente. Mas por que isso tem ocorrido com mais frequência?
Com a transformação digital anunciada há anos e acelerada pela pandemia, os dados se tornaram essenciais para as pessoas, empresas e países. Portanto, uma estratégia para a proteção de dados, sejam eles pessoais, sensíveis, de propriedade intelectual ou estratégicos de uma nação, se torna cada vez mais importante e vem se tornando uma prioridade nas organizações. Atualmente, a proteção e a privacidade de dados é uma questão crítica de negócio. Mas como endereçar de forma correta esse tema?
É preciso sempre lembrar que, para proteger e garantir a privacidade de qualquer ativo, é necessário conhecê-los. Então, o primeiro ponto a ser considerado nessa estratégia é a visibilidade, ou seja, é importante descobrir e classificar os dados de forma correta, identificando todos os repositórios de dados (sejam on-premisses ou em nuvem), as aplicações e os clientes que os acessam, classificar os dados sensíveis, agrupá-los em grupos para aplicar políticas específicas, e manter essa descoberta e classificação de forma contínua. Importante ressaltar que essa classificação deve atender às regulamentações e requisitos de privacidade existentes como LGPD, GDPR, CCPA, dentre outras que surgem a cada dia.
Após a fase de descoberta e classificação, é necessário avaliar e controlar os riscos através de avaliação de vulnerabilidade, análise de comportamento, correlação das atividades dos usuários com o uso dos dados. Posteriormente, é possível avançar para a próxima fase, passando a monitorar e garantir que as políticas e regras são cumpridas. Nesta etapa, a implementação granular e detecção de anomalias para 100% dos dados deve ser implementada, reduzindo ao máximo o risco ao negócio.
A quarta e última fase é demonstrar o que foi feito através de auditoria e relatórios de conformidade. É preciso que, de forma centralizada, se consiga estabelecer a governança dos dados, relatórios de conformidade, auditoria seguras, possibilidade de mineração de dados para análise forense, e retenção destas informações por um período necessário. Percebe-se que, muitas vezes, a estratégia de proteção e privacidade de dados se inicia por uma necessidade regulatória, que é muito importante para a continuidade dos negócios, mas não deve ser o único motivo para se iniciar esta jornada.
Importante ressaltar ainda que, para conseguir atingir todas as fases desta estratégia, é preciso investir em processos, pessoas e ferramentas. Como se trata de uma jornada contínua e complexa, é fundamental manter esse tema sempre vivo, já que a cada dia novas regulamentações passam a existir. Diariamente, a privacidade se torna um assunto mais relevante para a sociedade à medida que novas ameaças cibernéticas surgem e novos modelos de negócio disruptivos são criados, expandindo a quantidade e os locais onde os dados podem estar e a forma como devem ser tratados.
Não importa em qual fase da estratégia de proteção e privacidade de dados a sua empresa está, o importante é que o tema esteja em pauta no mais alto nível hierárquico de sua organização, pois esse não é mais um assunto de TI, SI, Auditoria, Governança ou de alguma outra área, mas de negócio. Sem isso, muitas empresas sucumbirão, e quem se mover na direção correta, certamente irá colher bons frutos no futuro.
*Thales Cyrino é Cybersecurity Sales Manager da NTT Ltd.