Quanto valem os seus dados?

Para Nathan Smolenski, diretor de estratégias corporativas da Netskope, hoje o dado representa um custo ou um diferencial competitivo, uma vez que a cultura de compliance é puxada pela LGPD.

Compartilhar:

Empresas como Google e Facebook não escondem que lucram com os dados dos usuários.  Como elas, grande parte das empresas esperam monetizar de alguma forma as informações dos clientes, mesmo que seja apenas para oferecer serviços mais adequados e personalizados. Por esse motivo, temos hoje um grande volume de dados nas empresas, embora a maioria não tenha a menor ideia do que fazer com eles.

 

Com a chegada da Lei Geral de Proteção de Dados (LGPD) no Brasil prevista para agosto de 2020 (e com proposta em andamento de prorrogação para 2022), as empresas começaram a investir mais em soluções de segurança cibernética, preocupadas em manter o compliance. Nessa hora surge o dilema: Quanto valem esses dados?

 

Saber tipificar e qualificar os dados armazenados para definir o grau de importância de cada um para a empresa é essencial para o controle de custo. Sem isso, existe o risco de realizar um investimento sem qualquer retorno financeiro ou ainda de multa pela falta de controle dos dados.

 

Infelizmente, algumas empresas só devem parar pra pensar no assunto quando a lei as atingir, como aconteceu com algumas empresas europeias quando a General Data Protection Regulation (GDPR) entrou em vigor. Um dos casos com maior notoriedade na mídia foi a multa de quase 200 milhões de libras esterlinas aplicada na British Airways após o vazamento de informações por falta de controles básicos, conforme constatado durante a fiscalização.

 

Para evitar esse tipo de situação, a solução mais eficaz é antecipar o compliance e fazer uma análise para mitigar riscos com base na estrutura de dados da empresa. Pensar não só no volume, mas na relevância dos dados, quais devem ser protegidos de maneira mais crítica, como estão sendo acessados e qual o nível de visibilidade, principalmente quando estão armazenados na nuvem.

 

Para controlar o risco é preciso remover os elementos de identificação pessoal dos clientes. Há muitas maneiras de fazer isso, como, por exemplo, a partir da criptografia ou ofuscação dos dados, que é uma alteração na forma de leitura do arquivo, dificultando a decodificação por usuários externos. Desta forma é possível manter as informações na empresa sem que elas sejam identificáveis. E, então, caso ocorra um vazamento, esses dados seriam inúteis, pois não teriam significado algum para quem o recebe, apenas para a empresa que entende o contexto da informação e a sua utilidade.

 

Aplicar o controle dos dados de maneira eficiente é um outro ponto fundamental que pode elevar o nível de proteção. Controles rigorosos aplicados em conteúdos acessados por muitos usuários, por exemplo, não garantem segurança, já que nesses casos os usuários acabam tentando acessar por caminhos mais simples, salvando as informações em outras plataformas não monitoradas pela TI e aumentando o risco de exposição.

 

Outro ponto essencial é a visibilidade, que se tornou, sem dúvidas, a chave da segurança na nuvem.  É preciso compreender o contexto dos caminhos que os dados percorrem dentro das aplicações na nuvem, identificar os controles necessários e quais atividades devem ser restringidas para não descumprir a regulamentação. Além disso, a preocupação não é apenas local. As empresas precisam saber exatamente, e em tempo real, de onde os usuários estão acessando as informações, para onde os dados estão indo e quais são as leis locais de proteção.

 

Adotar o conceito de Zero Trust é uma boa opção para mitigar os riscos na nuvem. Em geral são ações para minimizar acesso aos dados sensíveis e a determinados tipos de serviços, além de  utilizar recursos e funções que ajudem a construir regras específicas para os usuários como, por exemplo, o que ele pode fazer ou a quais informações pode ter acesso.

 

A nuvem já é uma realidade e a aplicação da LGPD no Brasil é apenas uma questão de tempo. Adequar as formas de controle de dados para manter o compliance com os princípios de cibersegurança se tornou um diferencial competitivo, que pode garantir a confiança das marcas e, principalmente, a sobrevivência da maioria das empresas no mercado nos próximos anos.

 

(*) Nathan Smolenski é diretor de estratégias corporativas da Netskope

Conteúdos Relacionados

Security Report | Overview

AI Act: Quais novos padrões globais podem ser definidos com a lei europeia?

Lei de IA da União Europeia sinaliza tendência regulatória que pode impactar o Brasil e outros países
Security Report | Overview

Identidade comprometida responde por 90% do acesso inicial à infraestrutura crítica

Relatório da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) reforça fragilidade da gestão e da segurança em...
Security Report | Overview

Aurora Coop otimiza cibersegurança em 30% com projeto de resposta a incidentes

Empresa colhe os frutos da adoção bem-sucedida de tecnologia da CrowdStrike, que aprimorou a visibilidade do ambiente e o tempo...
Security Report | Overview

Gartner: 75% das empresas vão priorizar backup de aplicativos SaaS até 2028

Risco de interrupções de TI destaca a necessidade de cópia e de sistemas contínuos de recuperação de dados críticos empresariai