Garantir a segurança de dados e protegê-los contra invasores enquanto cumpre com leis de privacidade é um grande desafio para qualquer CISO. Parece que você está andando de bicicleta ao mesmo tempo em que participa de uma luta de boxe.
E você não está sozinho. Várias marcas conhecidas sofreram violações de dados de alto perfil apenas nos últimos seis meses. E o maior problema que essas empresas enfrentam é que a abordagem tradicional de segurança de dados é falha e desatualizada.
Muitas vezes vemos um CISO gastar todo o seu tempo focando em endpoints, perímetros e firewalls, apenas para que a segurança de dados fique em segundo plano. Até que uma violação ocorra.
As medidas de segurança tradicionais podem mantê-lo em conformidade e tranquilizar o gerenciamento, mas, na verdade, apenas mascaram os problemas até que ocorra um incidente ou até que os regulamentos de segurança de dados como LGPD e GDPR o obriguem a mudar o foco. Nesse ponto, pode parecer uma tarefa assustadora colocar a segurança de dados em ordem e é difícil saber por onde começar.
Neste artigo, responderemos às seguintes questões:
- Por que CISOs lutam para abordar a segurança de dados
- Por que a abordagem tradicional de segurança cibernética é falha e arriscada
- Como funciona o roteiro de segurança de dados Varonis que usamos para ajudar mais de 7 mil CISOs e como implementá-lo em sua organização
Ao final, detalhamos um plano acionável para proteger seus dados, seguindo um roteiro que aprimoramos ao longo de nossos quinze anos de segurança cibernética.
Os tempos estão mudando
Ao planejar e definir sua estratégia de segurança cibernética, a maioria das empresas tende a seguir diretrizes comuns. Este manual aborda a segurança de fora para dentro, com foco em dispositivos externos e tenta impedi-los de acessar seus dados. Isso inclui recursos como proteção de endpoint, SIEM, prevenção contra perda de dados e firewalls.
E essa abordagem foi eficaz por um tempo. Quando a equipe armazenava todos os arquivos e dados em suas próprias máquinas, servidores gerenciados localmente ou data centers locais. Mas a forma como as organizações criam, armazenam e acessa dados mudou significativamente nos últimos anos.
Atualmente, seus dados são armazenados em diferentes locais, na nuvem e aplicativos SaaS. Todos abrigando e processando diferentes versões das suas informações. Portanto, por causa disso, essa estratégia amplamente utilizada simplesmente não é mais suficiente para proteger seus dados.
Como CISO, você não pode garantir a segurança de dados se não souber que o João, da contabilidade, contratou um aplicativo SaaS não provisionado. Isso torna seus dados vulneráveis e a abordagem tradicional não pode fazer nada para resolver o problema.
Mais do que apenas um problema de tecnologia
Entretanto, isso também não é inteiramente culpa do João. Sua organização está cheia de pessoas com suas próprias prioridades, responsabilidades e falhas. Eles fazem escolhas que correspondem à forma como desejam trabalhar e aos objetivos que estão tentando alcançar. É por isso que é necessário abordar a segurança de dados como mais do que apenas um problema de tecnologia.
Na maioria das vezes, quando falamos sobre segurança cibernética, focamos em aplicativos, bancos de dados e APIs. O que é uma grande parte disso, mas não mostra a imagem completa. As pessoas em sua organização desempenham um papel igualmente importante e muitas vezes podem representar mais riscos do que a tecnologia. As políticas de segurança são um ótimo exemplo.
Toda empresa sabe que deve ter políticas de segurança e a maioria dessas políticas servem para cumprir com padrões e regulamentos. Mas o objetivo rapidamente se torna a criação de documentos, e não a implantação de políticas efetivas. E, como todo CISO sabe, só porque você obriga alguém a assinar um documento, isso não significa que essa pessoa realmente irá aderir à política.
Outro problema que você enfrentará é que a grandes quantidades de dados estão sendo criados por sua empresa todos os dias. Portanto, tentar ficar por dentro de tudo que está sendo criado, armazenado, acessado, etc. torna-se um exercício sem fim. Por exemplo, se você tem um arquivo com dados confidenciais, como saber quem pode acessar esse documento? No primeiro dia, pode ser apenas uma pessoa com acesso, garantindo que a conformidade e políticas e regulamentos estão sendo seguidos corretamente.
Então esse arquivo é compartilhado com um colega de outra equipe. Em seguida, ele o compartilha com um grupo maior, sem saber que contém dados confidenciais. Então, alguém desse grupo usa algum conteúdo para uma apresentação de vendas. De repente, a conformidade foi totalmente ignorada e as informações estão em risco.
Isso pode soar como uma hipérbole, mas não é. Essas situações surgem tão facilmente que podem parecer impossíveis de serem previstas.
O primeiro passo para resolver esse problema é entender que não existe uma solução pronta (por mais que gostaríamos que houvesse). A realidade é que sua empresa continuará criando novos dados, contratando novas pessoas e, infelizmente, demitindo outras.
Em vez de aderir a uma abordagem antiga e esperar que as coisas funcionem, é necessário mudar de tática e adotar uma abordagem de dados em primeiro lugar. Isso significa identificar os dados que já estão em risco, proteger essas informações e implementar estruturas e ferramentas para protegê-los automaticamente.
O roteiro de segurança de dados da Varonis
Na última seção, falamos sobre o cerne do problema: ninguém pode esperar que uma estratégia tradicional de segurança cibernética seja eficaz na era da nuvem. Então, em resposta a isso, desenvolvemos um roteiro de segurança de dados que já ajudou algumas das maiores empresas do mundo, como Coca-Cola, ING e Toyota, a melhorar a segurança de seus dados.
Desenvolvemos esse roteiro ao longo de quinze anos, especificamente para proteger os dados da empresa e obter conformidade com todas as principais regulamentações, como GDPR, LGPD E SOX.
Visibilidade em tempo real
Antes de fazer qualquer outra coisa, precisamos ter uma ideia clara de quanto de seus dados está em risco. Para isso, avaliamos automaticamente todas as informações e compilamos os resultados em um relatório.
Falamos como é difícil saber por onde começar, e este é o primeiro passo. Analisamos onde estão seus dados, como é o ambiente e como tudo foi configurado. Também analisamos o acesso e as permissões dos dados, em diferentes armazenamentos em nuvem, aplicativos SaaS, etc. Avaliando quem está acessado, quais dados, como os dados estão sendo usados e detectando tendências comportamentais.
Com essas informações, começamos a identificar e priorizar quaisquer possíveis problemas e riscos. Esse processo é vital, pois os problemas podem variar em termos de gravidade e impacto potencial.
Por exemplo, quando identificamos que uma equipe de marketing armazenou as senhas de mídia social de sua empresa no OneDrive, compartilhou um link público para o arquivo e o indexou pelo Google. Ou quando um consultor ainda tinha acesso a um arquivo da empresa e o acessa todos os dias, mesmo tempo sido dispensado seis meses antes.
Veja nosso exemplo de relatório de avaliação de riscos aqui e tenha uma ideia do que incluímos.
Se o acesso for limitado a um pequeno número de pessoas internamente, é menos provável que seja um problema. Mas se estiver sendo compartilhado externamente, há muito mais risco.
O objetivo aqui é obter a configuração do terreno e começar a identificar os riscos rapidamente. Na Varonis, chamamos isso de ‘Valor do dia 1’, porque você começa a proteger seus dados desde o início.
Tivemos clientes que instalaram o Varonis em uma manhã de terça-feira e receberam uma ligação de nossa equipe de resposta a incidente proativa às 16h, notificando-os de que tínhamos acabado de interromper um ataque de ransomware.
Aprenda e sintonize
Depois que o estágio de habilitação é concluído, a maioria das ferramentas de segurança cibernética te deixa para se defender sozinho. Mas isso não ajuda muito. Na verdade, muitas vezes pode deixá-lo ainda mais confuso ao tentar interpretar e priorizar as descobertas.
Não se preocupe, não vamos te abandonar. Em vez disso, o Varonis AI avalia os metadados que capturamos de seus ambientes e cria um modelo para que possamos analisar continuamente as informações. O objetivo é usar essas informações comportamentais para gerar contexto em torno de seus dados, para que você e sua equipe possam tomar decisões melhores e mais informadas.
Fazemos isso usando três ingredientes principais:
- Sensibilidade – onde estão os dados confidenciais e o tipo de confidencialidade
- Permissões – quem tem acesso a quais dados
- Atividade – como as pessoas interagiram com os dados
Em seguida, usamos esses modelos comportamentais com nossa deteçção de ameaças para configurar relatórios e alertas automatizados. Além de integrar tecnologia de segurança cibernética como SIEM, DLP e SOAR.
Quando isso for ajustado e personalizado para os dados da empresa, você terá uma lista de recomendações para melhorias e mudanças, mas também o contexto necessário para tomar decisões informadas no próximo estágio.
Remediar
Como CISO, não basta apenas identificar os riscos e problemas, é preciso resolvê-los. Historicamente, isso foi feito colocando mão de obra sobre o problema. Mas, mesmo que se contrate um exército de empreiteiros para tentar consertar os problemas que encontrou, a lista estará desatualizada quando terminar. Sem falar no cronograma e nas enormes despesas financeiras.
Em vez disso, a Varonis corrige automaticamente os problemas, seguindo as recomendações da fase anterior e reduzindo os riscos em todos os seus ambientes. Isso é feito usando nossos recursos DSPM (Data Security Posture Management), que removem permissões obsoletas e redundantes, fortalecem seu diretório ativo e criam automaticamente políticas de retenção e quarentena de dados.
O objetivo aqui é minimizar o raio de explosão potencial da forma mais rápida e eficiente possível. Por exemplo, se você tiver um funcionário que mudou de equipe recentemente, ele provavelmente ainda tem permissão para acessar os sistemas e dados de sua função anterior. A Varonis não apenas destaca esse problema, mas também o corrige automaticamente, para que esse funcionário possa acessar apenas o que ele precisa em seu novo cargo.
Nossa correção automática cobre quatro tipos de risco:
Exposição de dados
É difícil acompanhar o que todos na sua empresa estão fazendo e não é incomum que as pessoas exponham dados confidenciais a terceiros sem querer. O que pode levar ao roubo, exclusão ou alteração de seus dados confidenciais.
Por exemplo, se alguém em sua empresa armazenou credenciais de mídia social no Microsoft 365 e elas foram compartilhadas usando links “qualquer pessoa”. Isso significa que qualquer pessoa com link pode acessar suas informações confidenciais e fazer login em suas contas de mídia social.
Configuração incorreta
A forma como seus aplicativos SaaS e de nuvem são configurados desempenha um papel importante na segurança de seus dados; por isso, é importante detectar informações incorretas e corrigi-las com eficiência. Se sua empresa usa o Zoom, talvez ele tenha sido configurado incorretamente para permitir que os participantes gravem as chamadas localmente. Isso pode colocar sua empresa em risco se estiver discutindo dados confidenciais.
Riscos com identidades
No momento em que uma empresa cresce, ela também se torna mais exposta a riscos de identidade. Esses riscos se referem a vulnerabilidades nos processos de gerenciamento de identidade e acesso. Quando um funcionário deixa a empresa, mas seu acesso não é revogado, seus dados confidenciais estarão vulneráveis.
Garantindo seu sucesso
A fase final do nosso roteiro testado e comprovado é menos sobre grandes ações e mais sobre como manter a qualidade, consistência e conformidade de seus dados. Se as etapas anteriores foram para perder peso, esta etapa é para manter o peso. À medida que sua empresa cresce e evolui, novas ferramentas e plataformas serão adotadas, e seus dados continuarão a crescer e se espalhar. Também haverá novos riscos e regulamentos surgindo para os quais você precisará estar preparado.
Este estágio, então, é sobre ficar por dentro de tudo que é novo, enquanto mantém seus ambientes existentes. Nossa equipe trabalha com você para revisar regularmente riscos novos e existentes, o valor comercial e a maturidade da segurança. Também ajudamos a manter suas ferramentas seguras, sem ser forçado a atualizá-las desnecessariamente.
Essencialmente, fazemos um loop iterativo pelas fases anteriores, mantendo constantemente um estado seguro e compatível à medida que as coisas mudam e seus negócios avançam.
Para encerrar
Com a crescente pressão dos regulamentos e o alto risco de violação de dados, os CISOs precisam ver a segurança de dados como um pilar central de seu roteiro de segurança. Isso significa afastar-se de uma estratégia de fora para dentro a avançar para uma abordagem de dados em primeiro lugar.
Mas com a proliferação da criação e armazenamento de dados em todos os setores, essa é uma tarefa quase impossível sem um plano e uma plataforma de segurança de dados adequados à finalidade. Ao seguir o roteiro de segurança de dados Varonis que usamos com sucesso para ajudar mais de 7 mil empresas, é possível melhorar a postura de segurança de dados.
Está curioso sobre como seus dados confidenciais estão expostos? Solicite uma avaliação gratuita de dados ao agendar um test drive da Varonis.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.