Classificação de dados: mais cedo ou mais tarde sua empresa vai precisar dela

Lidar com a mistura de mistura de segurança, identidade e mobilidade tem desafiado empresas de diferentes portes, áreas de atuação e localização geográfica. O italiano Alessandro Feste, escreveu recente um post em seu blog sobre o que chamou de série BYOI, para “falar” sobre #identitymanagement _ segurança, governança e gestão de IAM (gerenciamento de identidades e acessos). Em discussão, como aumentar o foco na identidade e projetos de privacidade para conseguir uma resposta rápida para entregar o valor real não só para TI, mas também para os negócios, especialmente em um mundo onde a identidade virtual passa a ser a identidade real.

Feste sugere que a classificação é a maneira mais fácil de resolver essa questão. Discordei da premissa central do post de Festa – não porque eu não acho que a classificação deva ser feita, mas por acreditar que precisa ser feita de forma diferente.

Classificação dos dados é muito importante e deve acontecer em todas as empresas. É parte importante da Information Lifecycle Management (ILM), apesar de ILM raramente ser praticado na maioria das empresas. O problema com a classificação, e, portanto, ILM, é que é realmente difícil de fazer na prática.

Quando a maioria das organizações decide instituir um programa de ILM, elas passam a maior parte do seu tempo elaborando as classificações dos seus dados. Começam com governança. Criam vários comitês para olhar para os dados e em como classificá-los em categorias. Isso pode demorar de seis meses a dois anos e, no momento em que termina, as empresas podem ter mais de uma centena de recipientes nos quais podem registrar seus dados.

As chances são de que a organização já tenha adquirido uma ferramenta para ajudá-la a classificar os dados e a mantê-los meticulosamente nos respectivos recipientes. Essa é a parte fácil. Na sequência, as empresas precisam gastar tempo, dinheiro e muito esforço para treinar todos os seus funcionários sobre como as categorias devem ser aplicadas a cada dado. E em seguida, treinar os usuários na ferramenta. Isso pode demorar até três anos antes que qualquer dado realmente seja colocado em qualquer recipiente – uma vida para a maioria das organizações.

Como isso me ajuda a proteger meus dados ? Como isso me impede de expô-lo a qualquer um que tenha acesso depois de armazená-lo no Dropbox ou Box?

Isso não acontece. E esta é a razão pela qual sou a favor de uma abordagem muito mais simples: comece com dois recipientes de dados apenas. No primeiro coloque todos os dados corporativos, independente da importância ou qualquer outra classificação que você possa imaginar. No segundo, todos os dados não corporativos.

Depois de ter seu recipiente de dados corporativos, descubra como protegê-lo. Eu recomendo criptografar tudo. Se é criptografado, não importa de onde o usuário irá acessá-lo. Se alguém entrar na pasta compartilhada publicamente por um usuário, tudo o que invasor verá serão os dados criptografados, inúteis sem a chave criptográfica. Você constrói as chaves para os aplicativos ou plataformas com as quais seus usuários vão trabalhar (ajuda se forem identidades baseada, também), para que possam acessar os dados onde e quando precisarem deles.

Você pode argumentar que tendo apenas duas categorias, você certamente não estará fazendo a gestão de informação móvel (MIM) , mas a gestão de aplicações móveis (MAM ). Acredito que seja sobre  MIM – a segurança é centrada em torno dos dados, e se a política for adicionada a esses dados você terá MIM. Sem entrar em detalhes sobre MIM aqui, creio que esta pode ser uma solução muito viável.

Como Feste apontou em seu post, a beleza de começar com dois recipientes é que você não precisa de governança para fazer isso – você pode começar imediatamente.

Meu conselho é que, com o passar do tempo, você não pare na definição dos dois recipientes. Comece a quebrar o recipiente de dados corporativos em recipientes menores. Quando começar a adicionar recipientes, o sistema já estará em vigor e já estará garantindo seus dados. Estes novos recipientes o ajudarão a aperfeiçoar o sistema e criar uma melhor APIs para acessar esses dados.

A meta para todas as empresas deve ser libertar seus dados. Você precisa construir APIs em torno de seus conjuntos de dados. Essas APIs devem contabilizar todos os recipientes, tendo em conta gerenciamento de identidade e acesso (IDAM), servindo como uma maneira programática para obtenção de dados.

O problema é que hoje a maioria das empresas tenta quebrar as nozes inteiras de uma só vez. Há uma parábola antiga: “Como você come um elefante? Uma mordida de cada vez?”. Se as empresas gastam muito tempo tentando fazer tudo perfeito, pode ser tarde demais. Seus funcionários vão encontrar uma maneira de usar os dados que eles precisam, quando e onde for necessário, para fazer seu trabalho.

A única maneira de permitir que seus empregados o façam de forma responsável é dar um passo de cada vez. Você pode sempre decidir no momento de  caminhar ou correr. Mas, para proteger os seus dados, dê o primeiro passo antes que todos os seus funcionários caminhem por conta própria.

Fonte: CIO

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *