Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

Você considera seus dados seguros? Então responda a essas três perguntas

Na medida em que as organizações se tornam mais orientadas a dados, também armazenam mais informações em lugares diversos, e os acessam de mais maneiras - com telefones, tablets e laptops. Esses terminais sempre conectados servem como gateways para grandes quantidades centralizadas de informações confidenciais armazenadas em seu data center e na nuvem. Essa transformação…
Emilia Bertolli
3 minuto de leitura
Ultima atualização 27 de Outubro de 2021

Conteúdo

    Na medida em que as organizações se tornam mais orientadas a dados, também armazenam mais informações em lugares diversos, e os acessam de mais maneiras – com telefones, tablets e laptops. Esses terminais sempre conectados servem como gateways para grandes quantidades centralizadas de informações confidenciais armazenadas em seu data center e na nuvem.

    Essa transformação digital mudou a segurança tradicional – que se concentrava em perímetros e terminais – de cabeça para baixo. Com nuvem e infraestrutura de trabalho de qualquer lugar, um perímetro é difícil de definir e mais difícil de observar. Os endpoints são fungíveis. Poucos dados “vivem” apenas em seu telefone ou laptop atualmente.

    O paradoxo da proteção de dados

    A proteção de dados é intuitivamente simples, mas imensamente complexa.

    Por que a proteção de dados é intuitivamente simples?

    Eu diria que se você pode responder “sim” a essas três perguntas, e você pode responder “sim” continuamente, então seus dados estão seguros:

    Você sabe onde seus dados importantes estão armazenados?

    Você sabia que apenas as pessoas certas têm acesso a ele?

    Você sabe que eles estão usando os dados corretamente?

    Simples, certo?

    Pode surpreendê-lo que a maioria das organizações não consiga responder sim a nenhuma dessas perguntas para nenhum de seus dados, muito menos para todos eles. Essas questões enquadram as três dimensões da proteção de dados – importância, acessibilidade e uso – e porque o todo não é apenas maior do que a soma das partes. As partes são ineficazes sem o todo.

    Se você souber apenas quais dados são importantes, não saberá onde estão expostos sem entender quem tem acesso a eles. Você não saberá quem precisa de acesso e como consertar com segurança as exposições sem monitorar o uso. Sem o uso, você também nunca será capaz de ver se dados importantes estão sendo roubados ou criptografados em um ataque de ransomware.

    Se você começar com o uso, poderá ver quais dados foram roubados após uma violação ou mesmo alertar sobre padrões de acesso incomuns (supondo que você possa medir e rastrear em relação a uma linha de base). Mas você não saberá se os dados eram importantes ou quem mais pode acessá-los e roubá-los hoje ou amanhã.

    Não importa com qual dimensão você comece, você descobrirá rapidamente que precisa das outras duas.

    Em uma abordagem unidimensional comum, algumas organizações tentam identificar dados importantes pedindo aos funcionários para marcar arquivos manualmente ou usando automação para identificar dados regulados ou confidenciais importantes – ou uma combinação de ambos. Às vezes pergunto: “Digamos que você tenha uma lista de todos os arquivos e registros importantes e confidenciais que possui – o que você faria com ela?”

    A maioria das organizações fica rapidamente surpresa com o número de arquivos e registros importantes que encontram, e não há um plano de ação claro sem as outras duas dimensões – acessibilidade e uso. Fazer um recorde de cada vez é tão inviável quanto tomar decisões radicais sobre todos eles de uma vez.

    Para tomar decisões significativas ou melhorar a postura de risco, você deve ver onde os dados importantes estão concentrados e expostos (em risco) e quem os está usando ou não (obsoletos). É por isso que a proteção de dados não termina com a classificação; só pode começar aí.

    Por que responder a essas perguntas é imensamente complexo?

    Agora que vemos o que precisamos para responder a todas as três perguntas, discutirei por que cada uma é difícil de responder, especialmente em armazenamentos de dados e aplicativos.

    Identificar seus dados importantes pode parecer simples – se você sabe como encontrar endereços e números de telefone no Salesforce, por exemplo, provavelmente pode identificar as mesmas coisas em planilhas do Microsoft 365 ou Google Drive. Só porque você está procurando as mesmas coisas, no entanto, não significa que seja fácil – é preciso muita sofisticação e desenvolvimento para tornar a classificação precisa, supondo que você possa obter os dados.

    Para obter os dados, você precisará de automação para se conectar aos lugares certos, “ler” e analisar com precisão o que provavelmente são milhões de registros e arquivos e, em seguida, continuar lendo os novos e atualizados todos os dias, de preferência sem prejudicar o desempenho ou sobrecarregar sua conta de computação em nuvem.

    Quando se trata de analisar a acessibilidade, a maioria não percebe quantas pastas, arquivos e registros precisam analisar. Um único terabyte de dados contém rotineiramente dezenas de milhares desses objetos com permissões exclusivas e específicas que determinam quais usuários e grupos podem acessá-los, e as organizações agora armazenam milhares de terabytes. Todas as relações entre usuários e grupos também precisam ser analisadas. Para piorar as coisas – cada aplicativo implementa mecanismos de permissões de maneira diferente.

    Compreender o uso não é mais simples. Alguns aplicativos e sistemas nem mesmo rastreiam o uso de dados por padrão. Muitos que o fazem são barulhentos ou incompletos. Eles são volumosos, são todos diferentes e nenhum deles contém muito, se houver, contexto sobre a importância dos dados ou quem os está acessando. Sem entender o uso normal, detectar o uso anormal não é um bom começo.

    Complexo, certo?

    Essas complexidades o atingem quando você está no calor da batalha com o ransomware ou está preocupado com os danos que um insider pode causar. Se você não consegue ver instantaneamente o que um usuário comprometido pode ter obtido – ou fez – em aplicativos e arquivos no local e na nuvem, você já está perigosamente para trás.

    Na medida em que sua organização aprimora suas práticas de proteção de dados, certifique-se de responder a todas as três perguntas onde quer que você armazene seus dados. Com uma compreensão da importância, acessibilidade e uso, você será capaz de transformar sua segurança para prosperar em um mundo digitalmente transformado.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento