Como combinar classificação de dados com soluções de proteção

Conheça cinco etapas importantes para proteger efetivamente as informações de sua organização

Muito foi comentado sobre a recente estarrecedora notícia sobre um dos hotéis de uma das maiores redes do mundo ter sido alvo de um ataque que expôs dados de meio bilhão de hóspedes. Nada mais preocupante do que saber que você é cliente e pode ter sido uma das pessoas que tiveram os dados vazados. Se você trabalha na área de Segurança da Informação, deve estar muito atento – e preocupado – e pensando em como evitar que isso aconteça em sua empresa.

Esta invasão vinha acontecendo desde o 2014 e os custos que o Marriott terá com este evento – não esperado por ocasião da sua fusão com o Starwood -, são por agora incalculáveis, pois esperam-se que ocorram litígios com muitos hóspedes, de forma coletiva.

Este caso nos remete a repensar se as nossas políticas e ambiente tecnológico de proteção de dados em nossa companhia é a mais adequada e, também, como implementar um ambiente altamente confiável de segurança das informações pessoais, não apenas dos clientes, mas de toda a organização empresarial.

Recentemente, o Forrester Research divulgou um estudo que apontou vários pontos que as organizações devem considerar na implementação de políticas eficazes de segurança e enfatizou a Classificação de Dados como um componente indispensável, mas que tem sido negligenciado em boa parte das vezes, segundo os próprios entrevistados.

Certamente, os profissionais de segurança não podem acreditar que a proteger está sendo adequada se não tiverem conhecimento sobre quais estes dados exatamente são, onde estão, qual o seu valor para os clientes e paras as organizações que estão em poder deles. Por esta razão, o Data Discovery e Data Classification (classificação de dados) estão na abordagem central deste estudo da Forrester Research.

A Forrester Research descreve cinco etapas importantes para proteger efetivamente as informações:

1. Compreenda a sensibilidade dos dados. Uma tarefa que a organização deve tomar apoiada por áreas que os funcionários precisam fazer e transmitir sobre o que é importante;

2. A classificação de dados é mais do que uma tag ou um simples metadado. É um conjunto de metadados, marcas visuais e regras de negócios que podem levar os usuários a compreender e atender a políticas de classificação e políticas de segurança de informações básicas;

3. A organização precisa entender onde a informação está e classificá-la de acordo com os critérios definidos.

4. A camada de proteção. Aqui é onde as tecnologias populares, como DLP, criptografia, gerenciamento de direitos digitais, controle e arquivamento desempenham o seu papel. Usando essas tecnologias sem ter feito, os 3 passos anteriores poderiam resultar em um retorno de investimentos muito pobre.

5. Gestão. A organização precisa entender como está identificando, classificando e protegendo suas informações. Os resultados devem ser facilmente obtidos em formulários que atendam às diferentes necessidades de organização das áreas.

Com base nestas indicações, e depois de conhecer as informações que você tem e onde elas armazenadas, será possível tomar decisões sobre o nível de segurança a ser aplicado, quem pode acessá-las, caso seja criptografada ou anônima. A estratégia de segurança atual deve levar em conta as normas regulatórias de sua industrias e também as regras de GDPR e LGPD. As políticas de Data Discovery e Data Classification devem considerar que os usuários precisam conhecer, entender e aplicar as políticas de segurança das organizações. Sem isso, abre-se brechas que irão facilitar a entrada de agentes alheios aos sistemas de dados e o roubo de informações vitais aos negócios, certamente, irá acontecer.

Seria leviano de nossa parte afirmar que, se estes cuidados tiverem sido tomados pela rede Starwoods, a aquela exposição de dados não teria acontecido. Justamente porque não temos todos os detalhes da ocorrência. Mas podemos afirmar com todas as letras que a tecnologia de classificação de dados sendo aplicada em conjunto com soluções de proteção de dados, como definiu o Forrester Research em seu relatório, é uma das primeiras medidas a serem tomadas na proteção de dados. A perda dos dados não prejudica apenas os clientes, mas também todos aqueles que são responsáveis pela guarda dos dados e que deveriam – ou poderiam – cuidar para que o fato não ocorra.

Fonte: Computer World