Empresas como Google e Facebook não escondem que lucram com os dados dos usuários. Como elas, grande parte das empresas esperam monetizar de alguma forma as informações dos clientes, mesmo que seja apenas para oferecer serviços mais adequados e personalizados. Por esse motivo, temos hoje um grande volume de dados nas empresas, embora a maioria não tenha a menor ideia do que fazer com eles.
Com a chegada da Lei Geral de Proteção de Dados (LGPD) no Brasil prevista para agosto de 2020 (e com proposta em andamento de prorrogação para 2022), as empresas começaram a investir mais em soluções de segurança cibernética, preocupadas em manter o compliance. Nessa hora surge o dilema: Quanto valem esses dados?
Saber tipificar e qualificar os dados armazenados para definir o grau de importância de cada um para a empresa é essencial para o controle de custo. Sem isso, existe o risco de realizar um investimento sem qualquer retorno financeiro ou ainda de multa pela falta de controle dos dados.
Infelizmente, algumas empresas só devem parar pra pensar no assunto quando a lei as atingir, como aconteceu com algumas empresas europeias quando a General Data Protection Regulation (GDPR) entrou em vigor. Um dos casos com maior notoriedade na mídia foi a multa de quase 200 milhões de libras esterlinas aplicada na British Airways após o vazamento de informações por falta de controles básicos, conforme constatado durante a fiscalização.
Para evitar esse tipo de situação, a solução mais eficaz é antecipar o compliance e fazer uma análise para mitigar riscos com base na estrutura de dados da empresa. Pensar não só no volume, mas na relevância dos dados, quais devem ser protegidos de maneira mais crítica, como estão sendo acessados e qual o nível de visibilidade, principalmente quando estão armazenados na nuvem.
Para controlar o risco é preciso remover os elementos de identificação pessoal dos clientes. Há muitas maneiras de fazer isso, como, por exemplo, a partir da criptografia ou ofuscação dos dados, que é uma alteração na forma de leitura do arquivo, dificultando a decodificação por usuários externos. Desta forma é possível manter as informações na empresa sem que elas sejam identificáveis. E, então, caso ocorra um vazamento, esses dados seriam inúteis, pois não teriam significado algum para quem o recebe, apenas para a empresa que entende o contexto da informação e a sua utilidade.
Aplicar o controle dos dados de maneira eficiente é um outro ponto fundamental que pode elevar o nível de proteção. Controles rigorosos aplicados em conteúdos acessados por muitos usuários, por exemplo, não garantem segurança, já que nesses casos os usuários acabam tentando acessar por caminhos mais simples, salvando as informações em outras plataformas não monitoradas pela TI e aumentando o risco de exposição.
Outro ponto essencial é a visibilidade, que se tornou, sem dúvidas, a chave da segurança na nuvem. É preciso compreender o contexto dos caminhos que os dados percorrem dentro das aplicações na nuvem, identificar os controles necessários e quais atividades devem ser restringidas para não descumprir a regulamentação. Além disso, a preocupação não é apenas local. As empresas precisam saber exatamente, e em tempo real, de onde os usuários estão acessando as informações, para onde os dados estão indo e quais são as leis locais de proteção.
Adotar o conceito de Zero Trust é uma boa opção para mitigar os riscos na nuvem. Em geral são ações para minimizar acesso aos dados sensíveis e a determinados tipos de serviços, além de utilizar recursos e funções que ajudem a construir regras específicas para os usuários como, por exemplo, o que ele pode fazer ou a quais informações pode ter acesso.
A nuvem já é uma realidade e a aplicação da LGPD no Brasil é apenas uma questão de tempo. Adequar as formas de controle de dados para manter o compliance com os princípios de cibersegurança se tornou um diferencial competitivo, que pode garantir a confiança das marcas e, principalmente, a sobrevivência da maioria das empresas no mercado nos próximos anos.
(*) Nathan Smolenski é diretor de estratégias corporativas da Netskope
