A descobertaeficaz de dados é essencial para a segurança eficaz dos dados e uma parte crucial da descoberta é ter visibilidade. Mesmo que você tenha excelentes métodos de descoberta, estará em risco se não os aplicar a todas as partes da sua organização.
Os dados ocultos estão em toda parte, e cabe a você, como líder de segurança, garantir que esteja no topo de toda a pegada digital da sua empresa. Essa é a única maneira de realmente garantir a segurança dos dados e dos ativos.
Cada novo funcionário representa um risco adicional se ele não for devidamente integrado aos protocolos da organização para tarefas relacionadas à TI. A falta de treinamento sobre o que o funcionário pode ou não compartilhar abre a porta para o risco. Isso resulta na TI invisível, que pode ser um fator de risco importante para as organizações.
A TI invisível pode ser tão inócua quanto adicionar um aplicativo de terceiros para ajudar com as mídias sociais ou executar gravações de voz por meio de um site de transcrição de voz baseado em nuvem que armazena dados - um campo minado para empresas em setores altamente regulamentados.
Esse é um risco muito mais urgente com a IA. Seja em uma conversa única com um chatbot de IA ou em uma integração mais envolvente, existe um enorme risco de dados quando se trata de IA. O simples uso do ChatGPT pode colocar as empresas em não conformidade com os dados, especialmente enquanto estiver em vigor uma ordem judicial que obriga a OpenAI a reter todas as conversas dos clientes. Com relação a parcerias mais integradas, as empresas que utilizam agentes de codificação de IA correm o risco de ter códigos confidenciais e proprietários compartilhados com terceiros.
Os funcionários podem não saber o que deve e o que não deve ser divulgado para a IA, principalmente se o uso incluir o upload de documentos importantes ou a integração de bancos de dados como parte de iniciativas mais complexas. A implementação de salvaguardas técnicas é essencial para que os funcionários não caiam na armadilha de pensar que o compartilhamento com a IA é aceitável "apenas desta vez" ou "apenas para este pequeno pedaço inócuo de informação".
Gerenciar a TI invisível, especialmente com o advento da IA, pode ser um desafio. Não é realista eliminá-la completamente e, como diz o CTO da Safetica Zbyněk Sopuch, "a TI invisível surge da necessidade dos funcionários de conveniência, agilidade e ferramentas modernas".
Quase todas as grandes empresas adicionaram a funcionalidade de IA a seus produtos, o que significa que a IA agora está disponível em muitos serviços que os funcionários precisarão usar legitimamente. As empresas também podem liderar iniciativas organizacionais para incorporar a IA em vários departamentos.
Todos esses cenários, sejam eles grandes ou pequenos, acrescentam um novo nível de risco para os dados de uma empresa, e é por isso que estabelecer uma política e uma estrutura de IA da organização é ainda mais importante do que criar proteções.
A estrutura de IA de uma empresa deve definir quais usos são aceitáveis e quais não são. Ela também deve ajudar os usuários a entender todos os riscos associados até mesmo ao uso aparentemente inócuo, bem como quais serviços podem ter IA integrada a eles.
Sopuch recomenda que, quando se trata de IA, "as organizações devem se concentrar na capacitação segura, fornecendo sandboxes "seguros para experimentar" e limites de dados claros que permitam às equipes explorar novas tecnologias sem expor sistemas críticos". Ao garantir a visibilidade, a confiança e os caminhos de escalonamento definidos, as organizações podem realmente aproveitar a TI invisível em seu próprio benefício, transformando-a "de um risco de segurança em um caminho estruturado para a inovação, que equilibra criatividade e controle" .
As pessoas não trabalham mais em um único lugar como antigamente. Em um único dia, os funcionários alternam entre dispositivos, locais e redes.
Os dados confidenciais os acompanham por toda parte.
Isso inclui trazer seu próprio dispositivo (BYOD), mas vai além disso, pois ambientes de trabalho diferentes se tornaram a norma para as organizações. O desafio aqui é saber se a sua empresa tem visibilidade de dados suficiente para monitorar o uso de vários dispositivos. Isso se aplica independentemente de o dispositivo pertencer ao funcionário ou à empresa.
As políticas de BYOD entraram em voga com a proliferação do uso de smartphones em ambientes de trabalho e a mudança para a nuvem. A pandemia global de COVID acelerou as coisas porque o trabalho remoto se tornou a norma em muitos lugares, e o BYOD se tornou uma prática de fato.
Soluções, ferramentas e processos que facilitam a visibilidade, o gerenciamento e as práticas de dados seguros normalmente não podem ser colocados em dispositivos pessoais. Mesmo que possam, ferramentas como o gerenciamento de dispositivos móveis (MDM) e soluções semelhantes são altamente invasivas e, normalmente, removem os controles de propriedade do funcionário e os transferem para o empregador. Naturalmente, os funcionários resistem a isso.
Também é irreal esperar que os funcionários acessem um recurso de trabalho somente em dispositivos exclusivos da empresa e, ao mesmo tempo, esperar que eles estejam "sempre ligados", como costuma acontecer em nossa era conectada. As solicitações para "verificar rapidamente este e-mail" ou algo semelhante podem ser completamente interrompidas se um funcionário não puder fazer login no e-mail ou no portal de trabalho de outro dispositivo que não seja um dispositivo aprovado e corretamente provisionado para o trabalho.
Como líder de segurança, é impossível controlar os dispositivos que não são da empresa, quer esse dispositivo pertença a um funcionário, seja um computador público em uma biblioteca ou um dispositivo de propriedade do empregador conectado a uma rede Wi-Fi pública. Em vez disso, os líderes devem se concentrar em trazer visibilidade de quando e como os funcionários estão se conectando a qualquer coisa ligada à sua organização, bem como visibilidade dos próprios dados. Dessa forma, você pode monitorar e proteger seus dados independentemente do dispositivo que estiver sendo usado.
O risco de terceiros é uma realidade sempre presente e deve fazer parte de sua estratégia de visibilidade e gerenciamento. Esses riscos podem vir na forma de provedores de SaaS, provedores de serviços em nuvem, dependências de desenvolvimento de software ou terceirização de negócios.
A visibilidade de terceiros refere-se a como terceiros interagem e se conectam aos ativos, dados, integrações e outros ativos de sua organização. De certa forma, ela pode ser considerada uma forma de Shadow IT, mas é significativa o suficiente para ser observada por si só.
São inúmeras as histórias de violações de dados relacionadas a terceiros, como o ataque à cadeia de suprimentos da SolarWinds em 2019/2020, que levou à instalação de software malicioso em 18.000 organizações, incluindo departamentos federais e várias empresas da Fortune 500. A violação resultante foi descrita como "a mais grave intrusão cibernética da história [dos Estados Unidos]".
A violação de 2019 na Capital One, que resultou em 100 milhões de aplicativos de crédito roubados, ocorreu devido a um servidor AWS mal configurado.
Uma vulnerabilidade em uma ferramenta de registro de terceiros chamada Log4j resultou em centenas de milhões de computadores comprometidos em 2019, levando o Ministro Federal de Segurança da Informação da Alemanha a designar a ameaça com seu nível de ameaça mais alto.
Para lidar com o risco de terceiros, as empresas precisam ter visibilidade de como esses terceiros interagem com seus sistemas e empresas. Embora, em um estado ideal, os líderes de segurança devam trabalhar apenas com empresas terceirizadas de boa reputação que não apresentem riscos, é um fato concreto que sempre existirão vulnerabilidades e que não existe software à prova de hackers. Ao ter visibilidade de terceiros e de seus aplicativos, você pode decidir rapidamente se essas partes têm acesso a mais informações do que o estritamente necessário.
Por exemplo, o famoso hack da MoveIt poderia ter sido amplamente atenuado se as organizações tivessem criptografado seus dados antes de transferi-los. Uma simples estratégia de criptografia de chave pública-privada teria tornado os dados roubados inúteis para os hackers. A visibilidade dos dados não criptografados em repouso teria dado aos líderes de segurança uma visão dessa exposição ao risco antes que ela se tornasse um problema.
Os serviços de suporte de terceiros, como o suporte técnico terceirizado, também podem ter escalado privilégios em sua rede. Portanto, é fundamental realizar uma auditoria sobre quais entidades têm privilégios elevados e acesso excessivo aos dados e quais realmente precisam disso.
Saber onde procurar é tão importante quanto saber como procurar em relação à segurança e à descoberta de dados. Os pontos acima são extremamente comuns, mas também completamente solucionáveis.
"Melhorar a visibilidade dos canais sem propriedade requer a combinação certa de tecnologia, política e educação contínua dos funcionários", diz Sopuch. "Soluções como a prevenção contra perda de dados (DLP) e espaços de trabalho virtuais ou baseados na nuvem ajudam a separar os ambientes pessoais dos comerciais, mantendo os dados corporativos protegidos mesmo em sistemas de propriedade dos funcionários ou de terceiros. Combinadas com a conscientização do usuário, o monitoramento contínuo e a governança clara, essas medidas oferecem segurança e conveniência, garantindo visibilidade sem limitar a produtividade."
ZbyněkSopuch, CTO da Asafetida
Ao garantir que você tenha um plano para dar visibilidade à TI invisível, aos vários dispositivos e aos riscos de terceiros, você pode tomar medidas para tornar sua prevenção contra perda de dados (DLP) e sua estratégia de segurança de dados mais infalíveis.
Como obter essa visibilidade é outra questão. Você pode optar por várias ferramentas que aumentam a complexidade ou por uma única ferramenta, como a soluçãoabrangente de descoberta e classificação de dadosda Safetica . No entanto, Sopuch recomenda considerar a visibilidade sobre os canais sem propriedade de forma mais estratégica, em vez de algo a ser evitado o máximo possível.
"Em vez de resistir a essa tendência, as organizações devem se concentrar em tornar as operações seguras igualmente convenientes", diz ele. "Serviços em nuvem, aplicativos baseados na Web e clientes finos ou virtuais permitem que os usuários trabalhem com segurança em qualquer dispositivo, mantendo os dados corporativos em ambientes gerenciados e controlados."
ZbyněkSopuch, CTO da Safetica
Independentemente do que você faça, é importante entender que a segurança total vai além da detecção ativa de ameaças e se estende à obtenção de visibilidade de seus dados, onde quer que eles estejam.