Operacionalize a segurança para proteger seu perímetro de dados INICIAR
Proteger seus dados sem sacrificar a agilidade dos negócios As empresas geram uma montanha de dados todos os dias que são críticos para seus negócios. Com esses dados, surge um claro desafio: como você protege exabytes de dados espalhados por centros de dados globais, salas de informática, escritórios remotos, laptops, desktops e dispositivos móveis, e também os hospedados em muitos provedores de nuvem diferentes sem sufocar a agilidade dos negócios, a produtividade dos funcionários e a experiência do cliente? A solução não está em lançar mais tecnologia na rede, mas em tomar medidas específicas para identificar ações maliciosas e reagir a elas, a fim de corrigir o problema, um processo conhecido como operacionalizar a segurança. Em agosto de 2017, a IBM contratou a Forrester Consulting para conduzir uma pesquisa personalizada com 127 tomadores de decisões de TI e segurança em todos os setores da indústria para explorar como as organizações estão tentando operacionalizar a segurança a fim de proteger seus vastos repositórios de dados. Veja abaixo a divisão demográfica dos entrevistados: Região Porte da empresa Departamento Função 39% Estados Unidos 27% China 25% Alemanha 9% Canadá 13% 500 a 999 funcionários 42% 1.000 a 4.999 funcionários 20% 5.000 a 19.999 funcionários 25% + de 20.000 funcionários 61% TI 43% Segurança e risco 28% Gerente 31% Diretor 9% Vice-presidente 31% Executivo de nível C
1 As empresas estão confiantes na capacidade de definir seu perímetro de dados A responsabilidade de proteger montanhas de dados pode ser um desafio. Mas, felizmente, a grande maioria das empresas acredita possuir os detalhes técnicos necessários para definir com precisão seu perímetro de dados. Não é uma tarefa fácil, considerando não apenas a quantidade de dados, mas o fato de que os dados mais críticos são extraídos de vários locais. Embora a maioria das empresas forneça esses dados a partir de bancos de dados internos, provedores de nuvem, dispositivos externos, e os fornecedores também entram no jogo, complicando ainda mais as coisas. A definição de um perímetro de segurança é necessária para isolar e segmentar críticos de outras áreadadoss da rede onde seriam mais vulneráveis.
1 2 3 A criptografia de dados é determinada por esquemas de classificação Embora as regulamentações sejam inquestionavelmente importantes, a maioria das empresas opta por criptografar seus dados com base em esquemas de classificação específicos, e não em simples compliance. Os esquemas de classificação podem ser qualquer sistema que indique o que precisa ser protegido. O governo dos EUA, por exemplo, classifica os dados como "não classificados, classificados, secretos ou ultrassecretos". Apenas 12% dos entrevistados disseram que criptografam todos os seus dados. MAS NEM TODOS OS DADOS SÃO CRIPTOGRAFADOS Surpreendentemente, quase metade das empresas afirma que criptografam pouco ou nada de seus dados. Parece que, embora essas organizações possam definir seu perímetro de dados, elas ainda não estão à altura da tarefa de protegê-lo. Quarenta e seis por cento das organizações criptografam poucos ou nenhum dos seus dados.
1 2 3 A operacionalização da segurança é essencial para as medidas de proteção Questões de criptografia à parte, as empresas estão claramente priorizando a proteção de dados: 77% das empresas protegem seus dados acima de tudo 66% dos entrevistados aderiram a uma abordagem de Zero Trust (nunca confiar) para a segurança Além disso, quase três quartos das empresas observam que a operacionalização da segurança para proteger seus perímetros de dados é uma alta prioridade. Isso indica que muitas empresas entendem a necessidade de avançar para uma abordagem mais centrada em dados para segurança, em vez de se preocuparem com os perímetros ultrapassados. Apesar do movimento em direção à operacionalização da segurança e ao Zero Trust, mais de 75% das empresas ainda adotam uma abordagem de perímetro legado para a segurança.
1 2 3 A explosão de dados é o desafio número 1 para a operacionalização da segurança A principal razão pela qual as abordagens de segurança legadas e de perímetro não são mais suficientes hoje é a quantidade de dados com a qual cada empresa tem que lidar. Não surpreende, portanto, que quase metade dos entrevistados observe que o conceito de um perímetro seguro não é mais simples devido a essa explosão de dados. Identificar e classificar todos os dados que devem ser criptografados também é uma barreira para 39% dos entrevistados. E um quarto dos entrevistados foi além disso, dizendo que culturas 'traga seu próprio dispositivo' destruíram completamente o conceito de um perímetro seguro. Claramente, a abordagem do perímetro não é o caminho a ser seguido. Os problemas organizacionais não devem ser ignorados: 43% dizem que conseguir que as equipes de TI e de segurança trabalhem juntas de forma eficaz é um dos principais desafios.
1 2 As empresas estão tomando as medidas necessárias para operacionalizar a segurança Apesar dos desafios, as empresas estão se movendo na direção certa. A maioria das organizações que continuamente medem níveis aceitáveis de risco, implementam controles de acesso e automatizam as regras de autorização e verificação mostra um avanço decisivo para a operacionalização da segurança. No entanto, nem todos estão nesse ponto ainda. Um terço das empresas não está atualmente avaliando a totalidade de dispositivos que tocam sua rede, indicando que muitos ainda estão apenas no meio da jornada. Sem um entendimento completo dos dispositivos aplicáveis, a visão das organizações sobre seu perímetro de dados permanecerá incompleta, deixando-as vulneráveis a violações. A criptografia de dados continua sendo um desafio para muitos, embora 59% estejam trabalhando em direção à criptografia completa.
1 2 Operacionalizar a segurança beneficia o cliente, a marca e os resultados Violações de segurança são uma clara ameaça ao sustento dos negócios, resultando em remediação custosa, danos à reputação da marca e redução da confiança do cliente. Mas não se trata apenas de reduzir as violações. Quando a segurança é otimamente operacionalizada, as empresas experimentam maior confiança do cliente, melhor reputação e melhor aquisição e retenção de clientes, além de simplesmente cortar custos. Quando feito corretamente, proteger o perímetro de dados não significa apenas evitar custos potenciais, mas também permitir que as empresas eliminem o estresse de constantes ameaças iminentes e se concentrem mais no cliente e em suas necessidades.
Conclusão Combater a explosão de dados não é uma tarefa pequena para os profissionais de segurança de hoje. Para evitar violações dispendiosas e conquistar e manter a confiança de seus clientes, as empresas precisam trabalhar para definir claramente seu perímetro de dados e, ao mesmo tempo, operacionalizar os processos de segurança que o protegem. Ao compreender a totalidade de dispositivos que tocam a rede, promulgar práticas rigorosas de gerenciamento de alterações e impor o controle de acesso baseado em função em toda a empresa, as organizações estarão mais bem equipadas para proteger os dados de seus clientes, independentemente da sua quantidade ou de onde estão armazenados. METODOLOGIA Este perfil de adoção de tecnologia foi encomendado pela IBM. Para criar este perfil, a Forrester Consulting realizou uma pesquisa personalizada com 127 profissionais de TI e segurança em empresas norte-americanas, alemãs e chinesas com pelo menos 500 funcionários em todos os setores. Os entrevistados precisavam ser os responsáveis pela infraestrutura e pelas operações de segurança de sua organização. A pesquisa foi concluída em agosto de 2017. Para mais informações sobre o painel de dados da Forrester e os serviços de consultoria do setor de tecnologia, visite o site forrester.com. SOBRE A FORRESTER CONSULTING A Forrester Consulting fornece consultoria independente e objetiva baseada em pesquisas para ajudar os líderes a terem sucesso em suas organizações. Variando em escopo de uma sessão estratégica curta até projetos personalizados, os serviços de consultoria da Forrester o conectam diretamente com analistas de pesquisa que aplicam informações especializadas aos seus desafios comerciais específicos. Para mais inf ormações, acesse forrester.com/consulting. Diretora de projeto Rachel Linthw aite, consultora de impacto de mercado 2017, Forrester Research, Inc. Todos os direitos reservados. A reprodução não autorizada é estritamente proibida. As informações baseiam-se nas melhores fontes disponíveis. As opiniões emitidas neste documento refletem as avaliações do momento e estão sujeitas a alterações. Forrester, Technographics, Forrester Wave, RoleView, TechRadar, e Total Economic Impact são marcas comerciais da Forrester Research, Inc. Todas as demais marcas comerciais são de propriedade de suas respectivas empresas. Para mais informações, acesse forrester.com (em inglês). [E-34311]