Na medida em que as organizações se tornam mais orientadas a dados, também armazenam mais informações em lugares diversos, e os acessam de mais maneiras – com telefones, tablets e laptops. Esses terminais sempre conectados servem como gateways para grandes quantidades centralizadas de informações confidenciais armazenadas em seu data center e na nuvem.
Essa transformação digital mudou a segurança tradicional – que se concentrava em perímetros e terminais – de cabeça para baixo. Com nuvem e infraestrutura de trabalho de qualquer lugar, um perímetro é difícil de definir e mais difícil de observar. Os endpoints são fungíveis. Poucos dados “vivem” apenas em seu telefone ou laptop atualmente.
A proteção de dados é intuitivamente simples, mas imensamente complexa.
Por que a proteção de dados é intuitivamente simples?
Eu diria que se você pode responder “sim” a essas três perguntas, e você pode responder “sim” continuamente, então seus dados estão seguros:
Você sabe onde seus dados importantes estão armazenados?
Você sabia que apenas as pessoas certas têm acesso a ele?
Você sabe que eles estão usando os dados corretamente?
Simples, certo?
Pode surpreendê-lo que a maioria das organizações não consiga responder sim a nenhuma dessas perguntas para nenhum de seus dados, muito menos para todos eles. Essas questões enquadram as três dimensões da proteção de dados – importância, acessibilidade e uso – e porque o todo não é apenas maior do que a soma das partes. As partes são ineficazes sem o todo.
Se você souber apenas quais dados são importantes, não saberá onde estão expostos sem entender quem tem acesso a eles. Você não saberá quem precisa de acesso e como consertar com segurança as exposições sem monitorar o uso. Sem o uso, você também nunca será capaz de ver se dados importantes estão sendo roubados ou criptografados em um ataque de ransomware.
Se você começar com o uso, poderá ver quais dados foram roubados após uma violação ou mesmo alertar sobre padrões de acesso incomuns (supondo que você possa medir e rastrear em relação a uma linha de base). Mas você não saberá se os dados eram importantes ou quem mais pode acessá-los e roubá-los hoje ou amanhã.
Não importa com qual dimensão você comece, você descobrirá rapidamente que precisa das outras duas.
Em uma abordagem unidimensional comum, algumas organizações tentam identificar dados importantes pedindo aos funcionários para marcar arquivos manualmente ou usando automação para identificar dados regulados ou confidenciais importantes – ou uma combinação de ambos. Às vezes pergunto: “Digamos que você tenha uma lista de todos os arquivos e registros importantes e confidenciais que possui – o que você faria com ela?”
A maioria das organizações fica rapidamente surpresa com o número de arquivos e registros importantes que encontram, e não há um plano de ação claro sem as outras duas dimensões – acessibilidade e uso. Fazer um recorde de cada vez é tão inviável quanto tomar decisões radicais sobre todos eles de uma vez.
Para tomar decisões significativas ou melhorar a postura de risco, você deve ver onde os dados importantes estão concentrados e expostos (em risco) e quem os está usando ou não (obsoletos). É por isso que a proteção de dados não termina com a classificação; só pode começar aí.
Agora que vemos o que precisamos para responder a todas as três perguntas, discutirei por que cada uma é difícil de responder, especialmente em armazenamentos de dados e aplicativos.
Identificar seus dados importantes pode parecer simples – se você sabe como encontrar endereços e números de telefone no Salesforce, por exemplo, provavelmente pode identificar as mesmas coisas em planilhas do Microsoft 365 ou Google Drive. Só porque você está procurando as mesmas coisas, no entanto, não significa que seja fácil – é preciso muita sofisticação e desenvolvimento para tornar a classificação precisa, supondo que você possa obter os dados.
Para obter os dados, você precisará de automação para se conectar aos lugares certos, “ler” e analisar com precisão o que provavelmente são milhões de registros e arquivos e, em seguida, continuar lendo os novos e atualizados todos os dias, de preferência sem prejudicar o desempenho ou sobrecarregar sua conta de computação em nuvem.
Quando se trata de analisar a acessibilidade, a maioria não percebe quantas pastas, arquivos e registros precisam analisar. Um único terabyte de dados contém rotineiramente dezenas de milhares desses objetos com permissões exclusivas e específicas que determinam quais usuários e grupos podem acessá-los, e as organizações agora armazenam milhares de terabytes. Todas as relações entre usuários e grupos também precisam ser analisadas. Para piorar as coisas – cada aplicativo implementa mecanismos de permissões de maneira diferente.
Compreender o uso não é mais simples. Alguns aplicativos e sistemas nem mesmo rastreiam o uso de dados por padrão. Muitos que o fazem são barulhentos ou incompletos. Eles são volumosos, são todos diferentes e nenhum deles contém muito, se houver, contexto sobre a importância dos dados ou quem os está acessando. Sem entender o uso normal, detectar o uso anormal não é um bom começo.
Complexo, certo?
Essas complexidades o atingem quando você está no calor da batalha com o ransomware ou está preocupado com os danos que um insider pode causar. Se você não consegue ver instantaneamente o que um usuário comprometido pode ter obtido – ou fez – em aplicativos e arquivos no local e na nuvem, você já está perigosamente para trás.
Na medida em que sua organização aprimora suas práticas de proteção de dados, certifique-se de responder a todas as três perguntas onde quer que você armazene seus dados. Com uma compreensão da importância, acessibilidade e uso, você será capaz de transformar sua segurança para prosperar em um mundo digitalmente transformado.