As empresas têm até o próximo ano para se adequar à Lei Geral de Proteção de Dados (LGPD), que passa a valer em agosto de 2020. Neste cenário, em que qualquer simples etapa ignorada pode levar a ineficiências ou impasses piores, independente das tecnologias escolhidas, vai ser fundamental adotar um plano.
Uma maneira de fazer isso é contando com uma jornada operacional dividida em três fases principais, que vai da identificação dos dados sensíveis e dos comportamentos suspeitos até a manutenção de uma estratégia de segurança eficiente, que inclui a revisão constante de políticas de acesso.
Descobrir os dados relativos à LGPD é o primeiro passo para atender às regras. Ao compreender a sensibilidade dos dados, é possível mapear “alvos de valor elevado” e priorizar os esforços de proteção.
É claro que é possível fazer a classificação do que é dado pessoal de forma manual, porém, contar com uma solução capaz de realizar a classificação de forma automatizada pode dar mais agilidade a esse processo.
Essa fase inclui ainda a implementação de controles para a detecção de comportamentos suspeitos envolvendo os dados pessoais, como acesso anormal a arquivos sensíveis ou caixas de e-mail executivas e utilização anormal de ferramentas de reconhecimento e exploração.
O próximo passo é reestruturar permissões, bloquear dados excessivamente expostos e identificar a propriedade dos dados para garantir a implementação de controles preventivos. Com isso, é possível eliminar riscos e reduzir a superfície de ataques, simplificando o ambiente.
Essa etapa inclui a reestruturação da política de permissionamento para uma que siga o modelo de privilégios mínimos, um pré-requisito para resolver o problema dos grupos de acesso globais, que aumentam os riscos de perda, roubo ou utilização incorreta. Essa medida é fundamental para minimizar riscos.
Depois disso, ainda na fase de prevenção, é preciso identificar os proprietários dos dados e revisar todo o permissionamento para identificar usuários que têm acesso aos dados de que não precisam – seja porque ganharam acesso equivocadamente ou porque suas funções mudaram.
Depois de identificar quem é responsável pelos dados e garantir que todos os usuários tenham acesso apenas às informações necessárias, é preciso investir na execução de revisões periódicas e automatizadas de acesso aos dados.
Para isso, é importante contar com tecnologias capazes de fazer a análise do comportamento do usuário, incluindo o monitoramento de suas atividades nos arquivos e controles de acesso para aprovar ou negar permissões.
Neste estágio, é possível automatizar uma série de tarefas, como a revogação de acessos com base em critérios específicos (usuários que vão precisar de acesso a informações específicas apenas enquanto estiverem trabalhando em determinados projetos, por exemplo), bloqueios automáticos com base no comportamento do usuário (quando uma credencial estiver sendo usada para realizar atividades anormais, como cópias e envios de arquivos, por exemplo), e as políticas de retenção e eliminação para garantir que os dados obsoletos sejam arquivados ou eliminados quando necessário.
Vale a pena lembrar que é importante rever regularmente os riscos, os alertas e os processos para garantir a melhoria contínua, por meio do monitoramento de KPIs.
*Por Carlos Rodrigues, vice-presidente da Varonis para a América Latina
