O que é segurança de dados?

2 Outubro, 2020

Nirmal Ranganathan, Jared Jacobson

hands holding smart phone with security image displayed

A segurança de dados diz respeito a suas políticas e padrões de proteção de dados dados, em toda sua rede, infraestrutura e aplicativos e em diversas camadas. Os métodos de segurança de dados abrangem os ambientes locais e da nuvem e incluem criptografia, mascaramento, tokenização, eliminação, autenticação, controle de acesso, backups e recuperação e resiliência de dados. A segurança de dados também envolve demandas relativas a compliance, motivadas por normas governamentais ou padrões do setor, como PCI ou HIPAA.

A importância da segurança de dados

De acordo com um relatório recente da Verizon, uma em cada oito violações tem motivação financeira, e todas as violações criam turbulência financeira para as vítimas. Uma violação de dados pode causar tanto transtorno quanto a descoberta de uma não conformidade. Sem uma estratégia de segurança de dados robusta, você pode estar correndo o risco de uma crise de relações públicas, penalidades por não conformidade e perdas de produtividade. Entre as consequências comuns de uma violação de dados estão:

Problemas de relações públicas

As expectativas dos clientes estão cada vez maiores. Por isso, quando clientes ou investidores potenciais souberem que a sua organização sofreu uma violação, isso fará com que eles a achem descuidada e pouco confiável, mesmo que você tenha feito tudo o que deveria. Essa percepção pode resultar na perda de participação de mercado e pode, até, impactar o valor das suas ações. O esforço e os custos para remediar a violação inicial, gerenciar a mídia, comunicar-se com os clientes e reconstruir sua marca desviam recursos da sua missão central.

Penalidades por não conformidade

O descumprimento dos requisitos regulatórios e legais em relação à retenção, permissões e armazenagem pode levar a altas multas por não conformidade. Essas multas são primeiramente aplicadas pelo órgão regulador. Além delas, pode haver taxas associadas, como pagamentos diretos às vítimas da violação, fornecimento de serviços de reparação (monitoramento de crédito ou proteção à identidade) ou ações judiciais por danos.

Perdas de produtividade

Depois de uma violação de dados, as equipes de TI devem parar tudo o que estão fazendo para responder à ameaça e resolvê-la. Se ocorrer perda de dados, haverá perda de tempo com a restauração dos backups. Uma violação de segurança provavelmente afetará a capacidade de alguns funcionários de acessar e usar os dados necessários para o cumprimento de suas funções. Em um estudo recente com diretores de segurança da informação conduzido pela Cisco, 48% das empresas com mais de 10.000 funcionários tiveram, pelo menos, quatro horas de inatividade relacionadas a uma violação de dados, e um terço delas teve até 16 horas de inatividade.

Tipos de tecnologias de segurança de dados

A proteção de dados locais ou na nuvem envolverá o uso de uma ou mais das seguintes tecnologias:

Criptografia de dados
Mascaramento de dados
Tokenização
Eliminação de dados
Autenticação
Controle de acesso
Backups e recuperação
Resiliência dos dados

Criptografia de dados

A criptografia de dados evita que usuários não autorizados acessem os dados. Essa técnica exige algum tipo de autorização ou chave para descriptografar e visualizar ou editar os dados. A criptografia se aplica primeiramente ao nível da rede e da infraestrutura; no entanto, ativos físicos, unidades flash ou discos rígidos também podem empregar esse método de segurança. A criptografia também pode ser aplicada nos aplicativos. Por exemplo:

Dados originais: John Smith

Criptografados: 393938383838

Descriptografados: John Smith

Status de bloqueio: bloqueado; pode ser desbloqueado

Acesso: os usuários finais podem acessar o conjunto total dos dados

Mascaramento de dados

Quando os dados são mascarados, todas as partes dos dados são substituídas. Isso geralmente é visto quando são exibidos números de cartão de crédito ou de previdência social. Os dados estão lá, mas não podem ser acessados. Essa técnica é usada em situações em que os dados são salvos no sistema, mas devido a questões de compliance, como PCI ou HIPPA, os usuários não podem visualizar os dados reais. O mascaramento é irreversível. Uma vez mascarados, os dados perdem seu valor e não ficam disponíveis para uso em qualquer outra função. Por exemplo:

Dados originais: John Smith

Mascarados: 393938383838

Desmascarados: n/a

Status de bloqueio: bloqueado; não pode ser desbloqueado

Acesso: os usuários finais não podem acessar os dados, e os dados não podem ser usados para análise.

Tokenização

Embora seja importante aproveitar o valor de todos os dados, certos elementos de dados, como informações de identificação pessoal (PII), informações médicas e financeiras, precisam ser tratados com cuidado especial. A tokenização permite que as organizações ocultem informações sensíveis, mas mantenham seu significado. Diferentemente da criptografia, em que os dados podem ser desbloqueados, ou do mascaramento, em que os dados perdem seu valor, a tokenização não pode ser desbloqueada, mas suas características ainda têm valor. Você pode não saber o nome e o endereço de cada cliente, mas pode puxar os dados para saber, por exemplo, quando os clientes de uma região específica gastam mais em um item em particular.

Dados originais: John Smith

Tokenizado: 838383838

Não eliminado: n/a

Status de bloqueio: bloqueado; não pode ser desbloqueado

Acesso: os usuários finais podem acessar insights sobre os dados, mas não o conjunto de dados reais

Eliminação de dados

Devido ao aumento das regras de proteção à privacidade, como o GDPR e a CCPA, as empresas precisam não só proteger os dados que colhem, mas também permitir um processo de eliminação desses dados. A higienização de dados desordenada e a adesão descuidada à governança de dados podem tornar impossível para algumas organizações cumprirem totalmente as solicitações de eliminação de dados, pois elas não têm um bom controle de todos os lugares em que os pontos de dados podem estar abrigados. Quando feita corretamente, a eliminação de dados funciona assim:

Dados originais: John Smith

Eliminado: [sem dados]

Não eliminado: n/a

Acesso: os dados são inexistentes. Os usuários finais nunca souberam que os dados existiam.

Autenticação

A autenticação é o processo pelo qual os usuários se identificam e podem acessar as informações. Em alguns sistemas, é uma senha; em outros sistemas, pode ser um indicador biométrico como impressão digital ou reconhecimento facial. A autenticação desbloqueia dados bloqueados para uso por pessoas autorizadas. Isso se aplica no nível da rede, do aplicativo ou do arquivo.

Controle de acesso

Estabelecendo grupos de usuários e métodos de acesso com base em funções, as organizações podem controlar quais dados serão visualizados por determinados usuários. Isso garante que os funcionários que precisam visualizar dados sensíveis estejam devidamente autorizados a visualizá-las. O controle de acesso fica escrito na maioria dos padrões de compliance de dados para evitar, por exemplo, que a recepcionista de um consultório médico veja a ficha de um paciente em vez de visualizar apenas as informações do plano de saúde necessárias para cadastrar e agendar os paciente.

Backups e recuperação

Backups e recuperação referem-se à forma como você armazena seus dados e planeja restaurá-lo em caso de incidente. Assim como serviços para o consumidor que protegem você caso venha a excluir acidentalmente um arquivo ou perder seu telefone, o backup para empresas significa propagar os dados em diversos locais seguros para oferecer redundância. Se um local falhar, o outro local entra com um instantâneo dos dados. As organizações usam métricas de objetivo de ponto de recuperação (RPO) e de objetivo de ponto de recuperação (RTO) para determinar quais dados são recuperados e quanto tempo leva para serem recuperados.

Resiliência dos dados

A resiliência dos dados diz respeito à rapidez com que você consegue recuperar e restaurar as operações em caso de uma violação de dados. No passado, isso era feito implantando vários servidores em vários locais. Depois da recente crise global, muitas organizações estão tendo problemas de acesso aos centros de dados e estão considerando alternativas baseadas na nuvem que possam ser gerenciadas remotamente, façam o failover automaticamente e não exijam grandes investimentos antecipados de capital.

Práticas recomendadas de segurança de dados

As práticas recomendadas de segurança se classificam em três categorias principais:

Gestão de risco de dados
Governança de dados
Compliance de dados

Gestão de risco de dados

A gestão de risco de dados é o onde. Ela fornece o roteiro das prioridades de segurança de dados. É aí que a organização determina quais regras ela precisa seguir, qual deve ser sua postura de segurança e os KPI necessários para demonstrar adesão. Por exemplo, embora você não guarde as informações de cartão de crédito, você ainda pode optar por seguir o PCI, porque ele define um padrão mais alto de segurança de dados.

Outro elemento da gestão de risco é a classificação de dados. Se a documentação legal for solicitada e os dados não estiverem marcados, ou estiverem marcados de forma não apropriada, as organizações podem enfrentar penalidades ou horas de trabalho enfadonho procurando os dados – uma verdadeira agulha no palheiro.

Governança de dados

A governança de dados é o quê. Com base nas obrigações de gestão de risco, a governança de dados inclui as políticas e práticas que servem como base para a gestão de dados. Ela também determina a responsabilização e define como os dados são armazenados, transferidos, retidos e destruídos. Além das regras e técnicas, ela também deve fornecer orientação e expectativas para que os usuários mantenham dados limpos e seguros.

Compliance de dados

A compliance de dados é o como. Todo o trabalho em si que é preciso para cumprir os padrões de governança é feito aqui. É aqui, por exemplo, que o acesso baseado em funções é definido com base no padrão PCI que você escolheu adotar. Compliance representa o nível de execução de seleção das ferramentas, tecnologias e processos para dar suporte a criptografia, firewalls, antivírus, monitoramento e resposta.

Diferentemente da gestão do risco e da governança, a compliance de dados está em constante evolução. Embora o objetivo de manutenção de PCI ou HIPAA possa se manter consistente de uma perspectiva de risco e governança, os órgão de auditoria estão sempre adaptando e revisando o significado de estar em conformidade.

Os benefícios da segurança de dados

A manutenção de uma estratégia de dados definida protege toda a organização. As pequenas empresas que enfrentam uma violação frequentemente encerram suas operações dentro de um ano e acabam gastando, em média, US$ 200 mil. E para aquelas que conseguem passar pelas consequências de uma violação de dados, haverá uma enorme perda financeira resultante dos recursos e do trabalho extra necessários para a recuperação, de uma perspectiva tecnológica e comercial.

Com uma política de segurança robusta, as organizações promovem a confiança, economizam recursos e evitam a interrupção dos negócios pela necessidade de gerenciar uma violação ou uma paralisação.

Soluções de segurança de dados da Rackspace Technology

Com mais de duas décadas de experiência em segurança e gestão de dados para algumas das maiores empresas do mundo, a Rackspace Technology fornece soluções completas de segurança de dados. Nossa metodologia abrange pessoas, processos e tecnologia para fornecer as soluções de que você precisa para implementar a segurança de nível empresarial, manter a compliance e conquistar a confiança do cliente. As soluções incluem serviços de segurança gerenciados, assistência à compliance, proteção à privacidade e aos dados, ferramentas de segurança e política de segurança , bem como a nossa solução Quickstart para que você possa começar rapidamente.

Nota do editor: outubro é o mês da conscientização nacional sobre segurança cibernética (NCSAM)! Não deixe de conferir nossa série completa de recursos com foco em segurança para o NCSAM 2020, incluindo: