Proteção de dados com criptografia, considerada um dos controles de segurança mais reconhecidos e largamente implantados hoje, ainda é um grande desafio para as empresas. De acordo com a empresa americana Vera Security, apenas 4% das violações de dados são consideradas “seguras”, onde a criptografia torna inúteis os arquivos roubados.
A criptografia geralmente é comprada e implantada com objetivos relacionados a conformidade de requisitos. Ou seja, normalmente ela não está alinhada para enfrentar riscos de segurança do mundo real, como roubo de dados e excessos acidentais de funcionários.
De fato, aplicar a tecnologia de criptografia de forma eficaz é um dos principais desafios que as organizações enfrentam para alcançar o desempenho satisfatório na proteção de dados.
Para se ter uma ideia da situação, dados apresentados em uma pesquisa feita pela Vera Security mostram que 61% dos entrevistados acreditam que a conformidade direciona a necessidade de criptografia, não a proteção de dados dos usuários.
Dessa forma, aumenta-se ainda mais a desconexão entre criptografia e segurança.
O relatório também cita implantações de criptografia orientadas ao perímetro como uma das principais razões pelas quais os investimentos em proteção de dados com criptografia das organizações estão desalinhados com a forma como os funcionários e parceiros de negócios realmente usam dados críticos.
O desafio da proteção de dados com criptografia por todo o ciclo de vida do negócio
Para profissionais especializados em segurança, privacidade e risco, a velocidade e a escala de como os dados se movem pelas organizações e seus parceiros hoje em dia são os fatores que mais aumentam a necessidade da proteção de dados.
Principalmente no atual ambiente colaborativo pós-nuvem, as organizações devem investir na proteção de dados com criptografia por todo o ciclo de vida do negócio.
A abordagem principal é usar a segurança de arquivos com criptografia sempre ativos para proteger os dados durante sua vida útil. Assim se mantém a conformidade com as legislações e regulamentos existentes. Essa estratégia visa fornecer criptografia forte, controle de acesso em tempo real e gerenciamento de políticas definido.
Outro dado importante do relatório mostra que quase 2/3 dos entrevistados dependem de seus funcionários para seguir políticas de segurança. Só assim é garantida a proteção dos arquivos distribuídos.
Entretanto, 69% estão muito preocupados com a falta de controle dos documentos enviados para fora da rede ou colocados em colaboração na nuvem. Por fim, apenas 26% têm a capacidade de localizar e revogar o acesso rapidamente.
A pesquisa mostra ainda que só 35% dos entrevistados incorporam a proteção de dados com criptografia nos processos de segurança em geral. Enquanto isso outros citam dificuldades em implementar a tecnologia corretamente como motivo da sua baixa priorização na organização.
Uma das principais conclusões da pesquisa é que a criptografia não é vista como uma “vitória fácil”. Além disso ela também é considerada difícil de implantar e usar.
As recomendações para virar esse jogo com criptografia
Apesar das dificuldades em adotar proteção de dados com criptografia nas empresas, vale destacar que existem tecnologias de segurança centradas em dados que podem fornecer rastreamento e controle de acesso em tempo real, sem inconvenientes para o usuário final. As recomendações são as seguintes:
1. As equipes de TI e negócios precisam seguir o fluxo de trabalho da empresa para encontrar brechas de segurança
Assim essas equipes poderão encontrar exposições de dados ocultas. Além disso, deve-se observar que mecanismos de criptografia geralmente não conseguem acompanhar os dados e as novas funções dos usuários.
Dessa forma, as organizações precisam estudar como os funcionários realmente usam informações sensíveis para identificar áreas onde proteção de dados com criptografia não pode alcançar ou estão desabilitadas por necessidade.
Porém uma equipe que conhece os dados sensíveis da organização podem ajuda no mapeamento para que a área de TI possa implantar corretamente a criptografia. Por isso a equipe de negócios deve ser uma equipe multidisciplinar que envolva várias áreas da empresa.
|
2. Invista na prevenção de ataques
As organizações devem evitar o pensamento reativo dos incidentes (“ações a serem feitas apenas após o ataque”). Afinal, na maioria das organizações, funcionários bem-intencionados cometem erros que superam as ameaças maliciosas.
Por esse motivo as empresas são aconselhadas a garantir uma visibilidade clara de seus processos para ajudar funcionários e gerentes a conter a exposição acidental de dados e aplicar suas políticas de prevenção a roubo de dados e perda de privacidade.
A pergunta agora é quando os dados da minha empresa irão vazar. Tendo isso em mente, fica mais claro como definir uma estratégia adequada que previna o ataque e caso ocorra os dados permanecerão protegidos.
3. Faça o alinhamento entre o negócio, parceiros e tecnologias visando a proteção de dados com criptografia
As empresas precisam alinhar seus recursos tecnológicos — e isso inclui a criptografia — para lidar com nuvem, tecnologias móveis e terceiros. A multiplicação de dispositivos mobile e parceiros de negócios apresenta uma ampla variedade de novos locais onde os dados devem trafegar.
O roteamento desse acesso a dados por meio de nuvem e outros serviços centralizados ajuda os líderes de TI, segurança e negócios a restaurar a visibilidade e consolidar o controle, incluindo esses dados às plataformas com criptografia incorporada e controles de acesso a arquivos.
A estratégia para vencer o desafio da proteção de dados com criptografia precisa ser assertiva
Para finalizar, os principais motivos apontados pelos entrevistados na pesquisa para adotarem a criptografia foram:
- Os dados não são levados a sério o suficiente (40%);
- A implementação de uma política de criptografia em todos os dados é considerada muito difícil (18%);
- Não é fácil manter o controle de onde os dados estão sendo armazenados (17%);
- Os aplicativos internos não foram testados para garantir que dados sejam protegidos de acordo com a política (13%);
- Os administradores não conseguem configurar controles de criptografia corretamente (12%).
Diante deste cenário, é possível verificar que temos um grande desafio pela frente. As empresas não podem deixar o ônus da segurança de dados somente para equipes de TI.
Em vez disso, elas devem conscientizar, implementar e testar adequadamente uma estratégia assertiva de proteção de dados com criptografia.
E para esses objetivos de segurança, investir em tecnologia é essencial.
Ao planejar as necessidades de criptografia, mapeie os fluxos de informações por todos os aplicativos e pelas tabelas que armazenam informações relevantes. Em seguida, aplique a proteção de dados com criptografia para armazenamento e na transmissão. E não se esqueça do controle de acesso ao dado também.
Por fim, para proteger ainda mais os dados da organização, tenha cuidado com documentos ou aplicativos compartilhados entre usuários. Eles são fáceis de acessar e compartilhar, mas podem colocar em risco informações confidenciais.
Os controles de acesso baseados em criptografia novamente garantem que apenas usuários autorizados possam acessar determinados dados. Acompanhe e monitore o uso de dados para garantir que os controles de acesso sejam eficazes.
Leia mais sobre proteção e privacidade de dados em nosso blog e saiba como aplicar a tecnologia de criptografia de forma eficaz em sua empresa entrando em contato com os especialistas da Eval.
Estamos à disposição para tirar suas dúvidas e ajudar a definir as melhores formas de proteger sua organização contra o vazamento e roubo de dados.
Sobre a Eval
A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.