O desafio de proteger e governar dados críticos

Para que as organizações adotem uma postura mais preventiva e defensiva contra potenciais ataques cibernéticos, e ao mesmo tempo cumpram com os regulamentos em vigor e regras de conformidade de segurança, é fundamental que conheçam o tipo de dados que processam e tratam.

É cada vez mais comum que as organizações criem, armazenem e partilhem os seus dados de diferentes formas, com recurso a diferentes repositórios e tecnologias. Por isso, estão hoje mais expostas ao cibercrime, e a ataques cada vez mais recorrentes e sofisticados, com elevados impactos negativos. Estas consequências existem não só para as organizações, mas muitas vezes, para os próprios cidadãos da sociedade em geral, que fornecem os seus dados a estas organizações, ou consomem serviços fornecidos por elas.

O nível dos riscos cibernéticos é mais alto nas organizações que não conhecem suficientemente bem os fluxos dos seus dados, onde estão armazenados ou, se quem lhes acede tem mesmo necessidade de os conhecer para a sua função. Atualmente, qualquer violação de dados expõe uma organização a perdas financeiras significativas, nomeadamente pelas coimas pesadas, decorrentes dos vários regimes jurídicos, ou por danos reputacionais que originam perdas de confiança por parte do mercado.

Esta nova era do trabalho híbrido, associada aos desafios já colocados pelo cada vez mais complexo Regime Jurídico da Segurança do Ciberespaço, ou pelo Regulamento Geral de Proteção de Dados, tem elevado as preocupações de segurança de gestores e dirigentes.

Um dos pontos de partida para a jornada da cibersegurança é a correta e eficaz classificação dos dados. Um processo que embora exigente, pode ser facilitado pela utilização da tecnologia adequada. Mecanismos de classificação da informação baseados em labels, por exemplo, são fundamentais para o sucesso da estratégia de segurança da informação de uma organização.

As labels permitem utilizar palavras-chave e atribuir diferentes políticas de acesso aos documentos dentro e fora da organização, criando a condição de obrigatoriedade de classificação dos documentos (público, restrito, confidencial, secreto). Por sua vez, o recurso a tecnologias de automação, inteligência artificial e machine learning permite a identificação automática das categorias de informação – as trainable classifiers – e a sua agregação automática por classificação.

No que respeita à temática do armazenamento e preservação dos dados, a cloud passou a ter um papel essencial, porque oferece mecanismos de manutenção das propriedades da segurança da informação mais eficazes, com ganhos importantes em termos de esforço. Este tipo de infraestrutura possibilita a integração e encriptação dos dados em repositórios seguros e em conformidade com os diversos normativos, para além de proporcionar uma maior capacidade de escalonamento e de oferta de serviços de deteção e resposta a ameaças.

Hoje, não só é certo, como é obrigatório para muitas organizações iniciar um projeto de classificação da informação, realizar os processos de descoberta e começar a implementar políticas que previnam incidentes de segurança informação, em especial, as violações de dados.

Comece por responder a estas três questões: onde circulam os dados críticos? Quem tem acesso a esta informação? Estes dados estão classificados, para poderem ser protegidos?

Conseguiu responder? Ótimo, está no bom caminho! Não tem a certeza? Pois bem, é tempo de descobrir, definir e implementar novos processos, que levem a sua organização a melhorar a estratégia de cibersegurança.

Dina Duarte

Modern Workplace & Security Consultant na Unipartner