SEGURANÇA DE DADOS E COMPLIANCE: ABORDAGENS EFICAZES PARA PROTEGER OS CLIENTES E A REPUTAÇÃO DAS ORGANIZAÇÕES

Junto à corrida para cumprir os requisitos da GDPR (regulação geral de privacidade de dados), seguidos escândalos de vazamento de dados e os questionamentos do congresso americano a Mark Zukerman dão ainda mais relevância às questões de segurança, ética e compliance dos serviços digitais. Essa prioridade, contudo, ocorre ao mesmo tempo em que as organizações dão mobilidade à força de trabalho, usam estrutura e aplicações em nuvem e se interconectam cada vez mais a clientes e parceiros. As informações e as pessoas circulam dentro e fora do domínio das organizações. Na prática, isso significa que, para cumprir as diversas diretrizes regulatórias é preciso proteger os dados e os usuários em si, onde quer que residam, sejam acessados ou trafeguem.

Compliance e segurança de dados requerem abordagens que vão muito além de implementar tecnologia. Mas a arquitetura técnica faz diferença. Nos fundamentos da engenharia e dos produtos da Forcepoint, duas premissas permeiam qualquer solução:

• O monitoramento, o controle e a proteção têm que acompanhar todo o ciclo do dado, nos end points, na rede ou na nuvem. Ter uma plataforma de gerenciamento de segurança de dados consolidada e confiável é vital para estabilidade da operação e resposta a auditorias.
• O eixo da visão de gestão de riscos e segurança da Forcepoint é o foco no Fator Humano. Entender os contextos e as intenções nos acessos a dados e funções transacionais; o ritmo com que as pessoas interagem com os sistemas, é uma abordagem obrigatória neste momento e o caminho para adaptação a mudanças no cenário de riscos e ameaças.

Má gente não quer só dinheiro, as diversas regulações e superfícies de risco

Evidentemente, capturar dados de cartão de crédito ou senhas bancárias é o objetivo mais comum do cibercrime. Por isso, a indústria financeira e de meios de pagamentos impõe boas práticas de segurança para certificação PCI (payment card industry), obrigatória para qualquer dispositivo, infraestrutura ou serviço em que se coletem, armazenem e trafeguem dados financeiros.

Quem já teve a carteira furtada sabe que o extravio de documentos e outras coisas pessoais muitas vez é pior do que o dinheiro perdido. Colocando esse problema em escala social, os reguladores criam regras abrangentes de segurança de dados. Nos EUA, há uma tendência a regulações pontuais, como PII (Personally Identifiable Information) e HIPPA (ato de proteção de informações médicas). Na Europa, a GDPR, vigente a partir de maio, traz rigorosas imposições ao tratamento de dados referentes a qualquer cidadão da Europa ou na Europa. As multas por inconformidade à GDPR podem chegar a 4% da receita anual.

O Brasil ainda não tem uma legislação geral de proteção de dados pessoais, mas a realidade dos negócios tem ditado novas regras. Incidentes de vazamentos de dados podem tirar empresas do jogo digital e do mercado.

Ao mesmo tempo em que a sociedade discute a segurança de dados como direito, o cibercrime afia as garras. Esquemas cada vez mais sofisticados de fraude – com malware, engenharia social e outras técnicas em workflow – partem da captura de informações que podem se tornar críticas conforme o contexto e as combinações de dados possíveis.

Soluções tecnológicas alinhadas aos riscos e à realidade operacional

Como em qualquer tema de cibersegurança, proteção de dados e compliance não se resolvem com uma bala de prata; não existe um equipamento ou um software que por si só torne a vida tranquila. A boa notícia é a disponibilidade de uma nova geração de ferramentas concebidas para os atuais cenários de riscos e alinhadas ao atual ambiente de TI, com mobilidade, multicloud e dados distribuídos.

Apenas para situar o escopo das principais soluções Forcepoint, relacionadas a segurança de dados e compliance, podem-se destacar as funções de alguns dos elementos mais comuns na sustentação das estratégias de governança de dados.

• UEBA (user and entity behavior analytics) – entender como as pessoas interagem com os dados e o contexto dos acessos é a base para a identificação de ataques, prevenção a ameaças internas e outras ações que coloquem em risco a confidencialidade e integridade das informações.
• DLP (proteção contra vazamentos de dados) – proteger o armazenamento ou as bases de dados dentro do perímetro tradicional excluiria das políticas de segurança as informações críticas que hoje circulam por dispositivos móveis, redes externas e aplicações em nuvem. Entre suas funcionalidades abrangentes, as soluções de DLP da Forcepoint se integram à plataforma de CASB (cloud access security broker), que facilitam a proteção granular do dado, necessária para uma gestão de data security e compliance em alto nível.
• Firewall de Próxima Geração (NGFW) – junto à multiplicação dos pontos a ser protegido (com mobilidade, nuvem e serviços digitais B2B e B2C), a velocidade e a complexidade com que são implementadas novas aplicações de TI complicam a gestão de vulnerabilidades. As soluções de NGFW da Forcepoint são concebidas para generalizar o cumprimento das políticas de segurança em ambientes altamente distribuídos. Também incluem funcionalidades avançadas que bloqueiam diversos níveis de ameaças, de tentativas de violação de acesso a ataques às aplicações.

Estratégia, prioridades e orçamento

Com adversários sem compromissos ou escrúpulos, as regras do jogo da cibersegurança mudam a cada lance. O foco na ameaça em determinado momento não pode significar distração em relação a riscos silenciosos potencialmente piores.

Para entregar uma abordagem pragmática de cibersegurança e compliance, a Forcepoint trabalha sobre o conceito de “arquitetura adaptável de segurança”, ou Risk-adaptive Security, que, conforme definição do Gartner, “é uma abordagem para ajudar as organizações a classificar recursos de segurança existentes e planejados, a fim de garantir que haja equilíbrio nos investimentos”.

Evidentemente, por sua experiência global em vários segmentos da indústria, os conjuntos de soluções de data security e compliance incluem algumas facilidades que aceleram o atendimento às exigências mais comuns de certificação e compliance.

Para saber mais sobre as tecnologias e produtos relacionadas a segurança de dados e compliance, acesse https://www.forcepoint.com/solutions/need/compliance.

Ou consulte um de nossos especialistas para conversar sobre o assunto.