quero falar com um especialista

Artigos

Poucos minutos todos os dias para manter você atualizado sobre o que acontece na segurança cibernética de todo o mundo.

Como fazer o gerenciamento de riscos em projetos com armazenamento de dados

É preciso que as empresas obtenham um melhor entendimento acerca das principais tendências em gerenciamento de riscos em projetos com armazenamento de dados e práticas de segurança para serviços legados e baseados em nuvem.

Atualmente, o dado já é considerado um dos elementos mais importantes nas organizações, seja para melhorar a experiência do usuário, seja para inovar, seja para fornecer produtos customizados, seja para propiciar um relacionamento mais próximo com o cliente.

Sua relevância é tamanha que, no Brasil, a Lei Geral de Proteção de Dados (LGPD), a vigorar em 2020, tem gerado debates por parte de empresas, que tentam entender como se adaptar a esse novo cenário.

Se o gerenciamento de riscos em projetos com armazenamento de dados também é uma preocupação eminente em seu negócio, continue a leitura deste artigo, elaborado com base na entrevista de Maressa Juricic, especialista em Cyber Security & Privacy!

O que é um gerenciamento de riscos?

Segundo dados de um estudo do Ponemon Institute — 2018 Global Cloud Data Security Study, encomendado pela Gemalto e publicado na revista Convergência Digital —, com base na entrevista de 3,2 mil profissionais de segurança de TI, as empresas brasileiras estão entre as menos cuidadosas no compartilhamento de dados sensíveis com terceiros.

Apesar de 77% das organizações, em âmbito mundial, reconhecerem a importância de aumentar a efetividade de ações de segurança, como soluções de encriptação, a grande maioria (75%) enxerga dificuldade em atender requisitos regulatórios relacionados à privacidade e à proteção de dados em ambientes digitais.

Quando se fala em dados, existem duas implicações em projetos, que abrangem dados pessoais ou dados sensíveis: a privacidade e a proteção. Em relação à privacidade, a LGPD prescreve uma série de requisitos para que as empresas possam adquirir, tratar, armazenar e expor os dados de forma a respeitar a legislação.

No que diz respeito à proteção, ou seja, à segurança da informação, é necessário que todo projeto envolvendo dados tenha uma preocupação velada de como essa informação será protegida, seja no processo de armazenamento, seja na sua transferência.

Logo, é preciso garantir que a informação esteja íntegra — ou seja, não sofra algum tipo de modificação —, confidencial, acessível somente pelas pessoas a quem compete sua visualização e disponível para ser utilizada em momento oportuno.

Nesse contexto, ainda é necessário abranger a qualidade dos dados e atestar que somente a informação pertinente seja usada para o planejamento estratégico das operações.

O gerenciamento de riscos em projetos abrange essa análise do objetivo final de uso dos dados, a fim de que se evite uma exposição prejudicial para a credibilidade e a gestão financeira da empresa.

Ele deve ser baseado em uma estratégia de recuperação de desastres, mas com requisitos que precisam ser colocados em prática antes de qualquer ocorrência. Esse planejamento se relaciona diretamente ao conhecimento, ao entendimento dos riscos e ameaças, aos quais o ambiente de TI está exposto, às suas vulnerabilidades e ao impacto para a organização.

Quais são os riscos relacionados à armazenagem de dados?

Ambientes de TI estão sujeitos a muitas ameaças, internas ou externas, que podem afetar diretamente ou indiretamente a integridade e o armazenamento de dados. Os prejuízos podem ser:
• o vazamento de informações e impactos sociais, tanto para o indivíduo quanto para a credibilidade da empresa;
• a perda de dados que culmine em prejuízos por paradas de processos e, até mesmo, o fim das operações.

Dados armazenados em discos rígidos ou servidores legados são muito vulneráveis e podem estar sujeitos:
• às falhas de hardware;
• ao espaço de armazenamento insuficiente que acarreta a sobrescrição dos arquivos;
• às falhas de energia;
• ao roubo;
• a acidentes (incêndio, intempéries, desastres naturais — que, por sua natureza espontânea, não podem ser evitados, mas afetam, de maneira vital, a infraestrutura da empresa);
• a ataques de vírus ou malwares;
• à exclusão acidental de arquivos, entre outros.

Portanto, as empresas precisam adotar não somente planos de recuperação de desastres, mas também todo um escopo voltado para adquirir a capacidade de presumir efetivamente as ocorrências e agir de forma preventiva. Já a nuvem oferece aos usuários soluções que privilegiam um cuidado maior com a disponibilidade e a integridade dos dados — em um cloud server, é possível armazená-los, visualizá-los, editá-los e recuperá-los sempre que necessário. Apesar disso, de forma semelhante a outras tecnologias, não estão imunes a outros riscos. O provedor de serviços de armazenamento em nuvem, por exemplo, nega qualquer responsabilidade em relação aos dados armazenados em seus data centers. Logo, o usuário deve:
• salvar cópias de backups;
• criptografar as informações;
• manter uma alternativa de emergência, caso os serviços fiquem indisponíveis de forma temporária ou permanente.

Existe, ainda, uma remota possibilidade de o provedor ter que encerrar seus negócios, além de vulnerabilidades relacionadas ​​aos ataques cibernéticos e à atuação de hackers ou situações durante as quais os usuários não conseguem acessar nenhum de seus serviços ou informações armazenadas — o chamado lock-in de servidor.

Como evitar esses riscos no gerenciamento do projeto?

Os gestores de TI precisam trabalhar para garantir que os dados permaneçam seguros e facilmente recuperáveis ​​em caso de falhas. Para garantir a segurança das informações, é vital incluir, nessa política, uma rotina diária de backups.

Essa é a premissa mais básica para minimizar os riscos envolvidos no armazenamento local, sendo de suma importância garantir que todos os funcionários sigam rigorosamente essa política.

Empresas que optam por serviços em nuvem precisam atuar em três frentes:
• criptografar todos os dados armazenados;
• manter backups atuais, replicados em outro servidor;
• conhecer os SLAs (Service Level Agreements) estabelecidos com o provedor de serviços em nuvem.

Além disso, é preciso garantir que os funcionários não salvem dados privados nos serviços de nuvem ou que muitos profissionais tenham acesso irrestrito às informações corporativas — para isso, deve ser implementada uma rígida política de identidades e acessos.

Como gerenciar os dados para garantir sua melhor utilização?

Primeiramente, é preciso mapear os dados que fazem parte do projeto e classificá-los por tipo e nível crítico, ou seja, pelos impactos que poderiam ser causados com sua perda. Também deve-se fazer a identificação de riscos, e existem duas camadas para isso:
• security by design;
• privacy by design.

Uma empresa que consegue aplicar esses dois processos terá a certeza de que os riscos serão identificados e endereçados, para evitar qualquer brecha na sua segurança.
Existem, ainda, boas práticas de segurança a serem seguidas, como:
• frameworks — COBIT, por exemplo;
• normas de padrão internacional, como a Norma Internacional de Gestão de Segurança da Informação — ISO/IEC 27001;
• políticas internas, com controles específicos dos sistemas e restrição de acesso;
• treinamentos, que podem ser efetivados para que o manuseio do dado seja adequado.

Também é importante atentar para o compliance, com a LGPD no Brasil e a GDPR (Regulamento Geral sobre a Proteção de Dados) na União Europeia, por exemplo, para que o uso de dados esteja em conformidade com as leis do país.

São recomendáveis uma governança de dados corporativos com o gerenciamento de riscos em projetos estruturado no dia a dia da empresa e o uso de tecnologias disponíveis e estratégias de arquitetura para Big Data e Analytics. É preciso, ainda, tomar decisões acertadas e inteligentes com base nos dados coletados, pois não basta obter um grande volume de informação se a empresa não souber como usá-lo.

Gostaríamos de agradecer a colaboração de Maressa Juricic, que muito contribuiu para a elaboração deste artigo.
Interessou-se pelo assunto? Então, fale com um dos nossos especialistas e saiba como se proteger!

Anteriores

Fale com a Aon

Nossos especialistas estão prontos para ouvi-los e conversar sobre os Riscos Cibernéticos
e as possíveis soluções que o mercado de seguros pode oferecer.

A Aon e outras empresas do grupo usarão suas informações pessoais para contatá-lo eventualmente sobre produtos, serviços e eventos que acreditamos ser de seu interesse. Toda informação coletada é usada de acordo com nossa Política de Privacidade.

Ao preencher os dados, você autoriza expressamente a Aon a coletar, usar, armazenar, transferir e processar seus dados pessoais conforme previsto em tal Política de Privacidade. Por favor assinale este campo caso NÃO deseje receber estes comunicados.