Vimos uma migração em massa para a nuvem nos últimos dois anos que poucos poderiam prever. Mas as organizações estão tomando as medidas necessárias para proteger seus dados?
Em muitos aspectos, a segurança de dados na nuvem difere drasticamente da segurança local. Ter as estratégias certas pode prevenir ou minimizar drasticamente o impacto de uma violação, ao mesmo tempo em que ajuda a manter o valor comercial dos dados. (Leia também: Notificação de violação de dados: o ambiente legal e regulatório.)
E essas quatro estratégias podem posicionar as organizações para fazer exatamente isso:
1. Adote uma abordagem DataSecOps para segurança na nuvem
Jogar no ataque é mais fácil, mais eficiente em termos de tempo e menos dispendioso do que jogar na defesa.
Mas prevenir ou minimizar os efeitos de uma violação de dados requer um planejamento básico que muitas organizações não conseguem implementar. Uma abordagem DataSecOps pode ajudar as organizações a criar proteções de segurança construindo infraestruturas em nuvem.
A ideia por trás do DataSecOps é que as equipes de segurança colaborem cedo e frequentemente com cientistas de dados para garantir que a segurança seja uma consideração importante em todas as decisões. Dessa forma, a segurança dos dados é incorporada ao DNA de um ambiente de nuvem, reduzindo drasticamente o risco de violação e protegendo os dados. E, caso ocorra uma violação, não será útil para um cibercriminoso. Em um ambiente de nuvem que prioriza a segurança, as organizações podem armazenar, analisar e compartilhar dados com confiança, em vez de reagir a um problema em potencial e adicionar medidas de segurança assim que um problema surgir. (Leia também: Como se preparar para a próxima geração de segurança na nuvem.)
No entanto, uma abordagem DataSecOps requer muita deliberação e consideração. À medida que as organizações correram para a nuvem em resposta a um ambiente de trabalho remoto, muitas priorizaram a velocidade sobre a segurança e sofreram as consequências.
Os benefícios de dedicar um tempo para implementar uma abordagem DataSecOps superarão os benefícios de curto prazo de migrar rapidamente para a nuvem.
2. Implemente uma malha de segurança de dados
Trabalhar na nuvem exige afastar-se de uma mentalidade tradicional de segurança de dados.
A proteção de dados em ambientes locais foi relativamente simples: proteja o perímetro e impeça o acesso. Não havia tanta necessidade de os dados saírem daquele ambiente; e a maior parte do código era caseira. Mas o início da migração para a nuvem mudou muitos setores para um ambiente distribuído sem perímetro. Para complicar ainda mais a segurança dos dados, cada dispositivo que acessa a nuvem é tão seguro quanto a rede da qual o faz – seja de casa ou de um café próximo. (Leia também: Um modelo de confiança zero é melhor que uma VPN. Aqui está o porquê.)
No ano passado, vimos uma maior confiança na implementação de uma malha de segurança de dados, que se concentra no perímetro de cada dispositivo em uso por meio de vários métodos de proteção. De acordo com o Gartner, uma malha de segurança de dados “permite que o perímetro de segurança seja definido em torno da identidade de uma pessoa ou coisa. Ele permite uma abordagem de segurança mais modular e responsiva, centralizando a orquestração de políticas e distribuindo a aplicação de políticas.”
Uma etapa essencial para implementar uma malha de segurança de dados é auditar minuciosamente a tecnologia existente de sua organização para determinar se ela é apropriada para segurança de dados em nuvem. Por exemplo, os métodos de segurança no local concentram-se fortemente nos dados em repouso.
Ainda assim, como sabemos, os dados na nuvem estão sendo armazenados e processados em infraestruturas que o proprietário dos dados não possui. Assim, os dados na nuvem exigem processos diferentes para garantir que sejam protegidos, independentemente de como estão sendo usados. (Leia também: Quem possui os dados em um aplicativo Blockchain – e por que isso importa.)
Na minha experiência, muitas organizações hesitam em deixar de lado a tecnologia de segurança na qual investiram pesadamente. A preocupação com o custo é compreensível, mas os investimentos anteriores são insignificantes em comparação com o custo financeiro e de reputação de uma violação de dados na nuvem.
3. Empregar métodos de proteção de pipeline de análise de dados
A análise de dados é um dos benefícios mais importantes da nuvem, oferecendo escala sem precedentes e utilizando insights para diferenciação de mercado.
É lógico que as organizações devem garantir que os dados sejam protegidos ao longo de seu ciclo de vida através do pipeline – e isso requer uma ampla gama de técnicas situacionais.
À medida que os dados são criados, eles não são estruturados e precisam ser categorizados para determinar como devem ser protegidos.
A primeira etapa da categorização de dados é determinar se os dados em questão incluem informações confidenciais, como um número de seguro social (SSN), endereço residencial ou número de cartão de crédito. Se informações confidenciais forem descobertas nos dados, mas esses dados não precisarem ser analisados, os dados serão mascarados. Esse processo oculta completamente as informações confidenciais com caracteres em um formato diferente. (Leia também: Never Really Gone: Como proteger dados excluídos de hackers.)
Agora, digamos que os mesmos dados contendo informações confidenciais faz precisam ser analisados. Nesse caso, os dados devem ser tokenizados para uso midstream no pipeline. Usando o SSN como exemplo, seus nove dígitos seriam substituídos por outros nove números, deixando a aparência de um SSN, mas não seria útil para uma pessoa não autorizada que o acessasse. Ao mesmo tempo, os aplicativos podem analisar o conjunto de dados sem expor dados confidenciais.
A jusante, a criptografia é aplicada para converter dados em texto cifrado ilegível que alguns privilegiados podem descriptografar com uma chave. Essa abordagem, conhecida como “análise de preservação de privacidade”, pode processar dados enquanto permanecem ilegíveis e inutilizáveis para aqueles sem acesso.
Ao implementar os métodos de proteção apropriados no momento certo, a análise de dados em nuvem pode ocorrer sem comprometer o valor desses dados.
4. Entenda os detalhes da responsabilidade compartilhada
Não entender completamente o modelo de responsabilidade compartilhada é um dos aspectos mais negligenciados da segurança de dados na nuvem.
Muitas organizações têm a impressão imprecisa de que seu provedor de nuvem protege os dados. No entanto, a maioria dos provedores de nuvem apenas assume a responsabilidade de proteger a nuvem, não os dados internos. Dito de outra forma: a empresa de segurança doméstica é responsável por manter os criminosos fora de casa; mas é responsabilidade do proprietário esconder ou trancar objetos de valor.
Antes de avançar com um provedor de nuvem, certifique-se de ter discussões deliberadas que descrevam quem é responsável por quê e tome as medidas necessárias para garantir que sua organização tenha os métodos de proteção apropriados.
Além disso, é totalmente aceitável solicitar a um possível provedor de serviços de nuvem suas certificações relacionadas a regulamentações do setor ou governamentais que sua organização deve seguir. (Leia também: GDPR: você sabe se sua organização precisa estar em conformidade?)
Conclusão
Muitas empresas não podem iniciar projetos de nuvem sem as práticas de segurança de dados apropriadas, o que pode atrasar os insights essenciais de análise de dados.
Para organizações voltadas para o futuro, a segurança de dados em nuvem não é uma proposta “legal de se ter”; é fundamental para o sucesso a longo prazo.