por Bruno Lobo*
Tema cada vez mais recorrente, a violação de dados demora em média 250 dias para ser identificada pelas companhias e outros 105 dias são necessários para que o vazamento seja contido depois de reconhecido. Estes números foram apresentados pela pesquisa de “Custos de Violação de Dados 2017”, realizado pelo Instituto Ponemon.
Este tempo se deve ao fato de muitas empresas não saberem onde são mantidos seus dados, mesmo que cientes da importância deles, e não tomarem nenhuma providência para mudar esta realidade. E isto está relacionado com o tipo de dado que as empresas utilizam: dados não estruturados – arquivos, mídia e documentos – e dados estruturados.
A diferença entre os dois está tanto no armazenamento, quanto no modo de análise de cada um. Enquanto os dados estruturados são armazenados em um banco de dados e são mais facilmente analisados, os dados não estruturados são armazenados fora dele e sua análise ainda está em desenvolvimento. Apesar deste último representar 80% de todos os dados armazenados de uma empresa, os dados não estruturados são mais difíceis de identificar e gerenciar, porque podem apresentar um ponto cego que é difícil de controlar.
Consequentemente, o risco de uma violação em dados não estruturados é muito maior. Outros fatores podem agravar este problema, como por exemplo, a variedade de locais que podem ser armazenados e o grande número de aplicativos que interagem com ele.
Violação de dados
No ano passado, de acordo com a pesquisa do Instituto Ponemon, o valor total para reparar violações de dados no Brasil foi de R$ 4,72 milhões. Um aumento de R$ 410 mil comparado com 2016. O estudo também analisou o número de registros violados, que ficou entre 1.980 e 97.300. Participaram da pesquisa 36 organizações brasileiras de 12 setores diferentes da economia.
Segundo o estudo, a principal causa da violação de dados surge devido aos ataques maliciosos (44%); falha humana – incluindo funcionário desatento ou negligente – e falha no sistema também foram considerados, correspondendo a 31% e 25% dos casos, respectivamente.
No 12º ano em que a pesquisa é realizada, outro aumento no registro de violação de dados foi apontado. O que deixa os governos ao redor do mundo em alerta para aprovar regulamentações pensadas em proteger os cidadãos contra roubo de dados.
Exemplo disto é o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) que entra em vigor no dia 25 de maio na União Europeia. Para o mercado brasileiro, temos o Marco Civil da internet, regulamentado em 2014 e, mais recentemente, a resolução 4.658 aprovada pelo Conselho Monetário Nacional (CMN) que obriga as instituições a terem controles e sistemas cada vez mais robustos ao que se refere a política de segurança cibernética. Portanto, também trata dos requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Como controlar o risco?
Por isso, é importante saber quais dados você tem, onde estão, seus conteúdos e analisar todos os dados não estruturados, mesmo em notebooks ou na nuvem. Com isso, ele pode ser protegido, retido para uso ou descartado apropriadamente. O que significa que poderá atender ao período aparentemente impossível de 72 horas de notificação de violação da GDPR.
Em contrapartida, a exigência de muitos administradores de dados ou DBAs ao uso de ferramentas de backup que não fazem parte dos padrões corporativos e a utilização de scripts personalizados complicarão o gerenciamento de aplicativos e, consequentemente, sua proteção. Os DBAs ainda podem fazer suas próprias cópias de bancos de dados fora dos processos de desenvolvimento normais – o que já é uma violação dos princípios do GDPR. Se essa cópia chegar a um depósito de armazenamento em nuvem inseguro (como já aconteceu muitas vezes nos últimos anos), os dados estarão novamente com alto risco de violação.
Políticas de segurança devem ter sua execução automatizada por meio de tecnologia ao invés de manualmente, mesmo que bem fundamentadas. Isso leva a uma recuperação rápida e pode ajudar a atender aos requisitos de disponibilidade e resiliência do GDPR. Além disso, se o software tiver condições de criptografar e deslocar os dados relevantes onde quer que sejam necessários, replicará em suas configurações de segurança, minimizando ainda mais o potencial de uma violação de dados.
*Bruno Lobo, Country Manager da Commvault Brasil