Empresas de TI precisam investir em segurança de dados e em direitos de acesso, afinal, pessoas ainda são o elo mais fraco da segurança
Atualmente, os dados são vitais para as empresas, mas então como protegê-los? Michelle Finneran Dennedy, em seu livro “Privacy Engineer’s Manifesto”, descreve cinco estágios de proteção de dados na era da informação: Firewalls, redes, extranets, acesso e inteligência. E onde ficam os CIOs nessas etapas? Os CIOs devem se concentrar em criar melhores métodos de proteção ou proteger os dados e monitorar quem pode acessá-los?
Existem claramente duas visões distintas entre os CIOs. Alguns acreditam que, embora a construção de fortalezas faça parte de mentalidades passadas, ainda é importante. Para eles, as defesas são a primeira barreira, mas as restrições sobre direitos de acesso e uso precisam fazer parte do mix.
CIOs afirmam que você não deve simplesmente manter o tráfego de lixo eletrônico e de DDoS longe. Eles sugerem que os limites são fundamentais, acreditando que as empresas de TI precisam investir em segurança de dados e em direitos de acesso. Apesar de precisar ter barreiras fortes, as pessoas da empresa acabam sendo o elo mais fraco na proteção. Se alguém conseguir as credenciais de um colaborador, o criminoso poderá lidar com a autorização de acesso de várias formas. Nesses casos, a barreira de proteção está rompida.
Outros CIOs, no entanto, sugerem que o pensamento de construção de fortalezas é semelhante à “Linha Maginot Francesa”. Para eles, a segurança do estilo fortaleza está fadada ao fracasso, pois entendem que os modelos tradicionais de segurança são como cascas de ovo: fortes somente quando pressionados nas extremidades. Por essa razão, esses líderes afirmam que o modelo, historicamente, é falho.
Nesse sentido, os CIOs do segundo grupo dizem que não se deve mais ter preocupações com muralhas. Embora recomendem uma boa limpeza, eles acreditam que o foco precisa mudar para a segurança baseada em padrões e comportamentos. A sugestão é de que os líderes de TI abandonem os atuais métodos de segurança fixa e evoluam para uma postura mais ativa e continuamente avaliada.
Dentro dos limites de proteção de dados, CIOs veem o gerenciamento de identidade e acesso como intermediários. Por isso, é importante se concentrar em proteger as informações a partir de camadas de acesso e dos pontos externos de entrada. É necessário proteger os dados e, ao mesmo tempo, disponibilizá-los para as pessoas certas por meio de APIs apropriadas.
A governança e a segurança cibernética relacionadas aos dados são claramente difíceis, mas isso é o que torna o assunto tão interessante e desafiador. Os CIOs acham que todos aceitam que não há como eliminar todos os riscos o tempo todo. Por esse motivo, proteger os dados em um mundo inseguro se resume a quão bem você controla o acesso de pessoas com credenciais.
Sendo assim, é importante gerenciar os riscos adequadamente. Os CIOs, em geral, dizem que se sentem à vontade com diferentes abordagens de criptografia combinado a monitores de segurança em cada camada. Além disso, eles concordam que usuários diferentes – parceiros, colaboradores ou consumidores – devem ter níveis de confiança diferentes e regras para o acesso aos dados.
