Desde o início dos tempos – ou pelo menos desde a era da informação – gerenciar e proteger dados sempre foi um desafio. Agora, mais do que nunca, com o aumento exponencial do volume de dados e a variação dos tipos de armazenamento, o desafio é ainda maior. As organizações armazenam informações confidenciais em diferentes formatos de dados, em diferentes repositórios de dados e de diferentes maneiras. Sem a capacidade de identificar, mapear e catálogo essas informações pessoais e confidenciais em todos os armazenamentos de dados de uma organização, é impossível tomar medidas para proteger esses dados – as joias da coroa de uma organização.
O tipo mais comum de dados alvo de violações são os dados pessoais: só nos primeiros seis meses de 2019, houve mais de 4,1 bilhões de registros comprometidos por violações de dados – e isso é só contar publicamente violações relatadas. Essa contagem nem sequer começa a considerar vazamentos de dados. Armazenamento em nuvem como Amazon S3 Arquivos superexpostos e buckets são notoriamente vulneráveis a comprometimento: seja uma universidade pública com números de previdência social de alunos em um arquivo de texto, ou um comitê nacional com registros de eleitores e informações pessoais em armazenamento aberto.
A maioria dos dados sensíveis reside em dados não estruturados – documentos de texto, planilhas do Excel, e-mails, PDFs e arquivos de imagem que armazenam volumes incontáveis de dados pessoais, de clientes e comerciais.
Entretanto, as regulamentações emergentes de privacidade e proteção de dados, como a Lei de Privacidade do Consumidor da Califórnia (CCPA) estão introduzindo penalidades adicionais e potencial responsabilidade legal por violações de dados, ao mesmo tempo em que expandem a definição de quais dados precisam ser protegidos.
Organizações de todos os tamanhos (e em todos os setores) precisam de uma política de segurança forte centrada em dados: comece com estas seis etapas principais para proteger dados confidenciais e pessoais.
Etapa 1: Conheça seus dados
Para proteger todo o escopo dos dados da sua organização, você precisa conhecer seus dados: onde eles estão, de quem são os dados e quais dados são vulneráveis.
As soluções tradicionais de segurança de dados geralmente são criadas especificamente para um tipo de armazenamento de dados ou outro: pode ser difícil gerenciar, monitorar e proteger dados em um ambiente híbrido.
As ferramentas pontuais são isoladas e raramente oferecem uma visão completa dos dados de uma organização: elas podem se concentrar em dados não estruturados em ambientes locais específicos, tipos específicos de dados não estruturados armazenados na nuvem ou se concentrar puramente em dados não estruturados, deixando as organizações incapazes de criar uma imagem completa dos dados que combine insights e mapeamento de dados não estruturados, semiestruturados e estruturados para identidades individuais, tipos de classificação ou análise baseada em entidades.
Soluções de privacidade e segurança de dados precisam ser capazes de abranger ambientes locais, na nuvem e híbridos. As organizações precisam ser capazes de descobrir e identificar automaticamente dados confidenciais em toda a empresa, independentemente de onde estejam armazenados.
Técnicas de aprendizado de máquina, como análise de cluster, são uma maneira responsiva e escalável de obter insights sobre dados não estruturados, analisando e inventariando automaticamente grandes volumes de dados não estruturados para identificar dados confidenciais e regulamentados.
Descoberta inteligente de dados é o primeiro passo para proteger dados corporativos: você só pode proteger o que pode ver.
Etapa 2: Classifique seus dados
Classifique seus dados para conduzir políticas e sua aplicação de forma eficaz. Dados não estruturados, semiestruturados e estruturados devem ser classificados para melhor gerenciamento, proteção e processamento de dados.
As definições do que constitui informações pessoais e sensíveis — ou diferentes tipos de informações regulamentadas — estão se expandindo: não se baseiam mais exclusivamente em expressões regulares, mas, mais frequentemente (como vemos com o CCPA), se baseiam em identidade.
Isso significa ser capaz de identificar e classificar automaticamente todos os tipos de informações confidenciais com base no conteúdo e na estrutura dos dados – informações pessoais (IP), informações de identificação pessoal (PII) e dados sensíveis – sem se limitar a um classificador específico.
As organizações devem ser capazes de classificar automaticamente os dados por pessoa, tipo, categoria, atributo e muito mais: de nomes a atividades políticas e dados geográficos; de dados regulamentados, como registros médicos, a demonstrações financeiras e documentos legais; de atributos de segurança, como senhas, a chaves de produtos e chaves privadas criptografadas.
Depois de conseguir identificar e descobrir todos os seus dados, você pode aplicar rótulos, marcar tipos de dados e enriquecê-los com contexto adicional para automatizar melhor o gerenciamento e a segurança dos dados.
Etapa 3: Correlacione seus dados
Dados sem contexto são perigosos: é essencial estabelecer e mapear relacionamentos entre dados para não apenas entender quais dados você tem, mas também para que você possa implementar políticas para protegê-los. A correlação cria contexto em torno de conjuntos de dados e relacionamentos para que as organizações possam entender melhor quais dados confidenciais elas têm, onde eles estão e como protegê-los.
Ao liderar com correlação, as organizações podem descobrir dados obscuros que de outra forma seriam vulneráveis a comprometimento – e vincular esses dados obscuros a identidades, entidades ou outros conjuntos de dados confidenciais específicos.
A aplicação de aprendizado de máquina e reconhecimento de entidade neural (NER) amplia o conhecimento sobre inteligência de dados: as soluções de proteção de dados precisam ser capazes de interpretar dados automaticamente para criar insights profundos sobre os dados.
Etapa 4: Identificar e gerenciar riscos
Um fator-chave em qualquer abordagem de segurança é identificar, gerenciar e reduzir riscos. CISOs e equipes de segurança agora enfrentam um escrutínio cada vez maior para minimizar riscos e proteger dados confidenciais – começando pela visibilidade e cobertura de dados em risco.
As organizações precisam se alinhar à privacidade para minimizar riscos, aproveitando inteligência e insights avançados de dados. Defina políticas sobre movimentação e conformidade de dados para monitorar a transferência, o uso indevido e as violações de políticas de dados, a fim de aplicar melhor as políticas de segurança e as melhores práticas.
Insights sobre inteligência de acesso Proporcionar maior visibilidade dos dados em risco: grupos de acesso global representam uma das maiores vulnerabilidades em dados não estruturados. Ao identificar dados superexpostos, as organizações podem identificar facilmente fontes de dados de alto risco e registros particularmente vulneráveis, com insights priorizados sobre onde reduzir o risco.
A modelagem de risco pode ajudar as organizações a entender e comparar o risco de dados com base na sensibilidade dos dados, residência, segurança dos dados e acesso ao aplicativo — e deve ser personalizável para o setor específico da organização, tipo de dados e perfil da empresa.
Para gerenciar e reduzir riscos adequadamente, as organizações precisam adotar uma abordagem centrada na privacidade para a proteção de dados, seguindo os princípios de privacidade desde o design, obtendo visibilidade de 360º dos dados em risco e gerenciando um inventário unificado de dados confidenciais em toda a empresa.
Etapa 5: Resposta a violações e investigações
Violações de dados não são mais um "se", mas sim um "quando".
O fator mais importante é o quão bem as organizações são capazes de responder às violações: como mitigar as consequências, determinar o impacto, notificar os afetados e simplificar as investigações.
As organizações podem minimizar o impacto de uma violação ao conseguirem determinar com rapidez e precisão quais dados – e de quem – foram comprometidos.
Etapa 6: Aproveite ao máximo os investimentos em segurança
Ao começar com descoberta inteligente, classificação de última geração e visibilidade total dos seus dados mais confidenciais, você pode aproveitar mais os investimentos em segurança atuais e futuros, desde a aplicação de DLP até integrações de GRC.
Simplifique a orquestração e a aplicação da segurança integrando sua política de segurança com DRM, DLP, criptografia, marcação e outras ferramentas pontuais — tudo com uma base fundamental de compreensão do que são seus dados confidenciais, onde eles estão e que tipo de políticas de segurança devem ser aplicadas a categorias específicas de dados.
Rotule e marque arquivos automaticamente com base na classificação existente para facilitar a governança e o gerenciamento de retenção – e alinhar rótulos com fluxos de trabalho automatizados para proteção avançada de dados e gerenciamento do ciclo de vida.
Conclusão: comece com BigID para proteger seus dados não estruturados
O BigID é a primeira solução de proteção de dados a adotar uma abordagem baseada em privacidade para proteger dados sensíveis. O BigID descobre, mapeia e classifica dados sensíveis em escala na infraestrutura e operações globais de uma organização, apoiando programas de segurança, privacidade e governança centrados em dados.
Pronto para empresas e desenvolvido especificamente para lidar com o volume e a amplitude de dados atuais, o BigID oferece escala e desempenho ágeis e responsivos, com cobertura de dados não estruturados incomparável incluindo CIFS/SMB; NFS; AWS; Azure; Caixa; Google Drive; Gmail; Office 365 (OneDrive); SharePoint; e Exchange.
Obtenha ampla cobertura não estruturada em contexto com outros tipos de dados em data centers e na nuvem – e integre perfeitamente insights de inteligência de dados em um único painel de vidro.
O BigID permite que as organizações obtenham visibilidade e cobertura completa de dados confidenciais e de alto risco, revelem dados obscuros, gerenciem riscos, automatizem e apliquem políticas de segurança e alinhem uma abordagem de segurança por design com segurança centrada na privacidade.
Saiba mais em www.bigid.com/demo – ou baixar 6 etapas para proteger dados corporativos: o white paper.
Autor
