O que é Segurança de Dados?
A proteção de dados envolve estratégias adotadas para proteger as informações de acessos não autorizados, garantindo sua confidencialidade, integridade e acessibilidade. Neste campo, as melhores abordagens englobam métodos como cifragem de informações, administração de chaves, edição e segmentação de dados, além da ocultação de certas informações. Também são fundamentais os controles de acesso para usuários com permissões especiais, junto com atividades de auditoria e supervisão constante.
Por que a segurança de dados é importante?
Criada em 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) transformou o modo como as empresas lidam com dados, exigindo uma abordagem mais cuidadosa e padronizada. Para se adequar à nova legislação, muitas organizações se mobilizaram, resultando em um crescimento estrutural interno, especialmente na área de TI. Contudo, a natureza e o porte da empresa influenciam a maneira como essa adaptação ocorre. Conforme pesquisa do Serasa Experian, 91% das empresas do setor tecnológico perceberam avanços na compreensão da LGPD, e 93% se sentiam preparadas para implementá-la. Ao mesmo tempo, um estudo da Fundação Dom Cabral indicou que 40% das instituições participantes não estavam prontas para a conformidade, mesmo próximo ao prazo estipulado.
Ignorar a conformidade à LGPD não só coloca uma empresa em desvantagem competitiva, mas também pode acarretar penalidades legais e desconfiança do público. Além de possíveis multas da Autoridade Nacional de Proteção de Dados (ANPD), empresas inadimplentes podem enfrentar ações judiciais por parte dos titulares dos dados. A adaptação à lei demanda investimento, tanto em tecnologia quanto na capacitação de colaboradores. Instituições que demonstram compromisso com a conformidade reforçam seu posicionamento no mercado, conquistam a confiança dos clientes e garantem a privacidade das informações pessoais dos indivíduos envolvidos. Assim, além de seguir rigorosamente a LGPD, é importante que as empresas se inspirem em normas internacionais, como a General Data Protection Regulation (GDPR), consolidando uma governança robusta em relação aos dados.
Principais desafios para garantir a segurança de dados
Como um grande depósito de informações vitais, os bancos de dados estão frequentemente na mira de cibercriminosos. Esses invasores podem ser externos, variando de hackers independentes a organizações patrocinadas por estados, ou internos, incluindo funcionários e parceiros que possam comprometer a segurança intencionalmente ou por descuido. Ambos os tipos de ameaças comprometem a integridade de dados financeiros, pessoais, comerciais e regulamentados.
As técnicas empregadas por cibercriminosos para acessar e roubar esses dados são diversificadas. Entre elas, destacam-se o phishing e a engenharia social para obter credenciais de administradores, explorar vulnerabilidades em aplicativos, como injeção de SQL, e acessar bancos de dados mal configurados ou não atualizados. A segurança também é comprometida por falhas humanas, como compartilhamento de senhas e configurações erradas, responsáveis por uma grande parcela das violações de segurança. A proteção não adequada em ambientes de desenvolvimento e teste, assim como em backups de mídia, oferece outras vias de acesso. Portanto, é essencial a conscientização e constante vigilância para proteger esses depósitos valiosos de um vazamento de dados confidenciais.
Formas de proteger os dados na sua empresa
Criptografia de dados
A criptografia é uma técnica muito usada na segurança virtual, transformando dados legíveis em formatos codificados que só podem ser revertidos com a devida descriptografia. Essa técnica, essencial para proteger informações durante transmissões na vasta rede da Internet, utiliza chaves criptográficas – acordos matemáticos entre remetente e destinatário – para cifrar e decifrar os dados. Quanto mais complexa a chave, mais resistente ela é a tentativas de decodificação não autorizadas. Além disso, a criptografia desempenha um papel vital na segurança de senhas, tornando-as inacessíveis a hackers.
Backup e teste de backup
O backup é um processo que envolve a criação e armazenamento de cópias de segurança dos dados essenciais de uma organização, garantindo que eles possam ser restaurados em situações adversas, como ciberataques, falhas humanas ou desastres naturais. Este processo é estruturado em três etapas principais: criação das cópias, armazenamento apropriado e, finalmente, restauração dos dados conforme necessário.
O teste de backup, por sua vez, é uma verificação sistemática e periódica dessas cópias de segurança. Seu principal objetivo é assegurar a eficiência e eficácia dos três passos do processo de backup. Isso inclui avaliar a integridade das cópias, a rapidez e sucesso da restauração e a consistência global do procedimento de backup. Portanto, o teste de backup é essencial, pois garante que, no caso de uma necessidade real de recuperação de dados, a organização esteja preparada e os dados possam ser restaurados com precisão e eficiência.
Não perca! Ouça agora o 8º episódio do podcast Itshow.
Segurança de rede
A segurança de rede refere-se às medidas e práticas implementadas para proteger a infraestrutura de TI e os dados de uma organização contra acessos não autorizados, ataques e ameaças. Em um ambiente cada vez mais conectado, com a migração de muitos aplicativos para a nuvem, garantir a integridade da rede tornou-se imprescindível. Para isso, as empresas utilizam diversas abordagens, como firewalls que filtram o tráfego mal-intencionado, sistemas de detecção e prevenção de intrusões que monitoram atividades suspeitas, e políticas de controle de acesso para garantir que apenas usuários autorizados tenham acesso a informações específicas, mantendo assim a segurança de dados na internet.
Além disso, a segurança de aplicativos também tomou o foco, visto que muitos softwares e aplicativos da web podem ter vulnerabilidades que potencializam riscos. Portanto, a segurança de rede é um conjunto integrado de soluções e práticas que buscam preservar a integridade, confidencialidade e disponibilidade dos recursos e dados de uma rede.
Zero Trust
Zero Trust é uma abordagem moderna de segurança de rede que opera sob o princípio de que nenhum usuário ou dispositivo, seja interno ou externo, deve ser automaticamente confiável. Criada por John Kindervag em 2010, esta estratégia desafia a noção tradicional de “confiar e verificar”, exigindo que todas as tentativas de acesso sejam rigorosamente validadas, independente de sua origem. Em contraste com a antiga visão de um “castelo com fosso”, onde o interno era considerado seguro e o externo perigoso, o Zero Trust reconhece que as fronteiras modernas não são tão definidas, exigindo autenticações robustas e contínuas para garantir a segurança em um mundo digitalmente conectado.
Microssegmentação
A microssegmentação é uma estratégia avançada de segurança que utiliza controles baseados em software para isolar sistemas em ambientes digitais, superando as limitações de técnicas mais tradicionais, como a segmentação de rede. Diferente das abordagens anteriores, a microssegmentação se desvincula da infraestrutura convencional, proporcionando uma definição mais detalhada e flexível das políticas de acesso. Em tempos onde a adoção de serviços na nuvem cresce, a microssegmentação ganha destaque por oferecer uma visibilidade aprimorada da infraestrutura, facilitando a identificação de atividades permitidas e não permitidas. Assim, as organizações podem estabelecer políticas que refletem diferentes necessidades e contextos, e aplicar o conceito de “menor privilégio”, onde cada um tem apenas o acesso aos dados necessários para suas funções, fortalecendo a segurança em ambientes de data center e nuvem.
Como saber quanto investir em segurança digital
Para os líderes em TI, é crucial perceber o papel da sua área dentro da organização. Uma visão limitada poderia levar a considerar a TI simplesmente como um centro de despesas. No entanto, a realidade é que a área de TI se tornou uma peça fundamental para o funcionamento eficiente de uma empresa, influenciando comportamentos e assegurando a segurança de informações.
Equilíbrio de necessidades críticas
Abordar a questão do custo em TI, especialmente quando se trata de segurança, pode ser um desafio monumental para os CIOs. Os custos são inevitáveis, e compreender como avaliá-los em termos de retorno se torna vital. Para diminuir esse ônus, empresas devem estar em busca constante de ferramentas e práticas eficientes, equilibrando a necessidade de segurança com a responsabilidade de gerenciar o orçamento
Da perspectiva de investimento, a segurança em TI não deve ser vista como um custo, mas como um recurso fundamental. A necessidade de segurança é inquestionável em nossa era digital. Quando se trata do gerenciamento desses investimentos, as empresas têm buscado ferramentas eficientes e os fabricantes têm se esforçado para minimizar os custos sem comprometer a segurança.
“Gerenciar custos é um desafio constante”, Mara Maehara, CIO da TOTVS, observa. Na situação de uma empresa que já tem uma infraestrutura em um data center, é necessário fazer uma análise constante. Mara compartilha: “Às vezes é mais vantajoso manter uma solução local, em outros casos, a nuvem é a opção ideal. Também já aconteceu de trazermos soluções que estavam na nuvem de volta para a infraestrutura local devido aos custos.” Ela ainda sublinha a importância de ter uma equipe bem formada e capacitada: “é essencial em cada uma das tecnologias que existem nessas nuvens, para que possamos tomar as melhores decisões sobre onde alocar recursos”.
Boas Práticas de Segurança
Ao final, gerenciar investimentos em TI é uma arte. Exige equilíbrio, planejamento estratégico, capacitação técnica e uma percepção clara do papel vital que a TI desempenha em uma organização moderna. Com a mentalidade certa e as ferramentas corretas, é possível maximizar o retorno sobre o investimento, ao mesmo tempo em que se garante a segurança e a eficiência operacional.
Priorização de dados críticos
A abordagem de segurança de TI deve ser inteligente e faseada, priorizando o que é conhecido como “jóias da coroa” – servidores mais delicados e essenciais para a infraestrutura da empresa. A implementação de uma proteção eficaz deve ser feita de forma escalonada, protegendo os ativos mais valiosos em primeiro lugar
Migração para cloud ou multicloud
O equilíbrio entre manter soluções on-premise ou mover para a nuvem é outro desafio. A análise das soluções deve levar em consideração o investimento existente e os potenciais benefícios de uma migração para a nuvem. As organizações devem ter a capacidade de avaliar cada situação de forma independente, evitando uma abordagem única para todos .
Em relação à gestão de custos na nuvem, é vital ter uma equipe capacitada para avaliar tecnicamente as configurações de cada serviço. As organizações devem possuir especialistas internos em cada uma das tecnologias disponíveis, para não depender apenas das orientações do provedor.
A transição para a nuvem requer um aprendizado significativo e pode ser caro no início. Muitas organizações gastaram muito dinheiro antes de entenderem plenamente a mecânica da nuvem e de como otimizar seus custos. Com o tempo, a gestão de custos se torna mais eficiente, pois as equipes se familiarizam com as diferentes nuvens e aprendem a utilizá-las de forma mais adequada para cada tipo de solução.
“Nós temos diversos modelos que integram on-premise com a nuvem”, disse Mara. “Você tem um data center e várias nuvens contratadas que precisam interagir”. Quando surgiu a questão de migrar para a nuvem, Mara comenta que havia muito uma questão da escolha certa da nuvem por conta de diferenças tecnológicas para poder rodar aquela aplicação. “Esbarrava também no aspecto comercial, questão operacional e de suporte. E aí tem a questão da integração, né? Hoje em dia isso já é muito mais fluido, mas no passado não era assim. Toda vez que você coloca algo num lugar e outro no outro e precisa criar uma comunicação entre elas, você tem que gerenciar essa comunicação.”
Pentest
O “pentest”, ou Teste de Intrusão, é um método sistemático e autorizado para identificar vulnerabilidades em sistemas de informação, simulando ataques de hackers. Esse teste examina os pontos fracos que poderiam ser explorados por invasores, revelando quais informações são passíveis de serem acessadas indevidamente.
Realizado por especialistas em segurança da informação, o processo é dividido em fases, desde o reconhecimento inicial e coleta de dados da empresa-alvo, passando pela varredura da rede, enumeração de serviços, exploração de vulnerabilidades identificadas, até a geração de um relatório detalhado sobre as falhas encontradas e recomendações para correções.
Existem diferentes abordagens de pentest, como o White Box (onde o profissional tem pleno acesso às informações da rede), Black Box (sem informações prévias da rede) e Gray Box (com informações limitadas), além de variantes focadas em testar a segurança interna ou externa de uma organização. A escolha do tipo adequado depende das necessidades e do contexto específico da empresa.
Importância da Segurança de dados em tecnologias emergentes
No final das contas, o mantra para as lideranças de TI de grandes empresas é: “não adote a tecnologia apenas por adotá-la”. Ao contrário, é vital entender como cada inovação pode agregar valor ao negócio e riscos. Isso requer uma abordagem ponderada e estratégica para a inovação em TI.
Os desafios enfrentados pelas lideranças de TI nas grandes empresas são numerosos e constantemente mutáveis. Além das questões técnicas intrínsecas, uma complexidade adicional surge na necessidade de alinhar as soluções de TI às necessidades do negócio. Este alinhamento, por vezes, exige uma abordagem estratégica que transcende a mera adoção de novas tecnologias.
“O cenário atual exige um novo paradigma na segurança digital, pois a pandemia forçou um regime de trabalho que é hoje híbrido, mas que já foi 100% home office”. Maehara destaca que “a contingência de cada empresa está na residência do funcionário”, o que apresenta riscos, especialmente no acesso à rede e à infraestrutura. Mara é defensora de conceitos como “zero trust” e microssegmentação, dizendo que “precisamos garantir que cada endpoint esteja preparado para acessar de forma segura a infraestrutura da empresa”.
Os CIOs, entendem que sua função não está apenas em manter-se atualizado com as últimas inovações. Eles devem ser capazes de filtrar as tendências relevantes e implementar soluções que não apenas sejam viáveis, mas também agreguem valor ao negócio. Nesse sentido, o conhecimento profundo das operações de negócios torna-se tão importante quanto a compreensão da tecnologia em si.
“Meu papel como CIO é estar sempre atualizada sobre novas tecnologias, como Inteligência Artificial e 5G, e implementar as que atendem às necessidades do negócio.” Mara insiste que a adoção de novas tecnologias precisa ser justificada por seus benefícios tangíveis, seja em termos de produtividade, velocidade ou qualidade. “Não se trata apenas de usar a última tecnologia, mas de como essa tecnologia pode melhorar o nosso negócio.”
IA
Outro aspecto chave da inovação em TI é a adoção de tecnologias como chatbots e IA no atendimento ao cliente. A implementação dessas tecnologias deve estar vinculada às necessidades do negócio e deve trazer benefícios tangíveis, como aumento de produtividade e eficiência. Vinicius Mariano, especialista em segurança na nuvem, ressalta a importância de garantir a qualidade durante a adoção dessas tecnologias, e não apenas adotá-las por adotar.
No contexto da evolução tecnológica, a Inteligência Artificial (IA) é um exemplo de como uma inovação disruptiva torna-se comum ao longo do tempo. Assim como a cloudificação (ou a migração para a nuvem) uma vez representou uma fronteira inovadora, a IA agora está se tornando parte do nosso dia a dia, assim como o trabalho remoto. Essas tecnologias emergentes, depois de devidamente analisadas e testadas, passam a ser ferramentas efetivas para melhorar a eficiência e produtividade das empresas.
5G e 6G
A chegada do 5G, e a prospectiva chegada do 6G, têm o potencial de acelerar ainda mais a velocidade de transformação. Essas tecnologias não apenas aumentam a velocidade de transmissão de dados, mas também permitem a implementação de soluções de negócios mais complexas e eficientes. No entanto, essas novas oportunidades também trazem novos desafios, exigindo das lideranças em TI uma compreensão abrangente de seu impacto e potencial.
IOT
A Internet das Coisas (IoT) é o conceito que envolve a interconexão de dispositivos comuns do dia a dia à internet, permitindo que eles coletem e compartilhem dados. Isso se tornou possível graças à miniaturização e ao barateamento de chips de computador, que agora estão presentes em objetos variados, desde escovas de dentes a carros. Essa conectividade estende a capacidade dos dispositivos, permitindo que operem de maneira mais inteligente e autônoma.
Na prática, um dispositivo IoT coleta informações do ambiente ou de interações e as envia para uma aplicação central que, por sua vez, analisa esses dados (muitas vezes utilizando inteligência artificial) e toma decisões. As ações resultantes são enviadas de volta ao dispositivo. Esse ciclo de coleta, análise e resposta permite uma vasta gama de aplicações, desde casas inteligentes a cidades conectadas, sendo controlado e gerenciado frequentemente por interfaces gráficas, como aplicativos móveis ou plataformas web.
O futuro da segurança da informação: desafios e estratégias para líderes de TI
À medida que nos aprofundamos na era digital, a segurança da informação se solidifica como uma medida prioritária para as organizações. Líderes de TI enfrentam um cenário em constante evolução: cibercriminosos aprimorando suas táticas, como ataques de ransomware mais direcionados, e a expansão da superfície de ataque com a proliferação da IoT. Simultaneamente, as oportunidades oferecidas pela Inteligência Artificial para detectar ameaças em tempo real são contrabalançadas pelo potencial de adversários usarem essa mesma tecnologia contra nós.
A migração para soluções baseadas em nuvem exige uma nova abordagem para a segurança, enquanto a importância do treinamento e da conscientização do fator humano nunca foi tão evidente. Além disso, regulamentos de privacidade de dados, como GDPR e LGPD, estão redefinindo as responsabilidades das empresas, tornando a colaboração interorganizacional vital para combater ameaças coletivamente. Em suma, a resiliência e adaptabilidade emergem como competências essenciais para CIOs e líderes de TI em geral, na busca por garantir uma defesa robusta em um mundo de mudanças incessantes.