Publicado: 5 Abril 2024
Colaboradores: Annie Badman, Matthew Kosinski
Proteção de dados é a prática de proteger informações confidenciais contra perda e corrompimento de dados. Seu objetivo é proteger os dados e garantir a disponibilidade e conformidade com os requisitos regulatórios.
Uma estratégia eficaz de proteção de dados faz mais do que simplesmente proteger dados. Também replica e restaura dados em caso de perda ou dano. Isso ocorre porque os princípios fundamentais da proteção de dados são salvaguardar os dados e apoiar a disponibilidade dos dados. Disponibilidade significa garantir que os usuários possam acessar dados para operações comerciais, mesmo que os dados sejam danificados, perdidos ou corrompidos, como em caso de violação de dados ou ataque de malware.
Esse foco na disponibilidade de dados ajuda a explicar por que a proteção de dados está intimamente relacionada ao gerenciamento de dados, uma prática mais ampla focada no gerenciamento de dados durante todo o seu ciclo de vida para garantir que sejam precisos, seguros e capazes de serem aproveitados para decisões comerciais estratégicas.
Atualmente, as estratégias de proteção de dados abrangem medidas tradicionais de proteção de dados, como backups de dados e funções de restauração e planos de continuidade de negócios e recuperação de desastres (BCDR). Por isso, muitas organizações estão adotando serviços como recuperação de desastres como serviço (DRaaS) como parte das estratégias mais amplas de proteção de dados.
Embora muitos utilizem os termos proteção de dados e segurança de dados como se fossem a mesma coisa, são dois campos distintos com diferenças importantes.
A segurança de dados é um subconjunto da proteção de dados concentrado na proteção das informações digitais contra o acesso não autorizado, corrompimento ou roubo. Engloba diversos aspectos da segurança da informação, abrangendo Physical Security, políticas organizacionais e controles de acesso.
Por outro lado, a proteção de dados engloba toda a segurança dos dados e vai além, enfatizando a disponibilidade dos dados.
Tanto a proteção quanto a segurança dos dados envolvem privacidade de dados. A privacidade de dados concentra-se em políticas que apoiam o princípio geral de que uma pessoa deve ter controle sobre seus dados pessoais, inclusive a capacidade de decidir como as organizações reúnem, armazenam e utilizam seus dados.
Em outras palavras, a segurança de dados e a privacidade de dados são subconjuntos dentro do campo mais amplo da proteção de dados.
Para entender a importância da proteção de dados, considere o papel dos dados em nossa sociedade. Sempre que alguém cria um perfil online, faz uma compra em um aplicativo ou navega em uma página da web, deixa um rastro cada vez maior de dados pessoais.
Para as empresas, esses dados são essenciais. Isso os ajuda a simplificar as operações, atender melhor aos clientes e tomar decisões de negócios essenciais. Na verdade, muitas organizações dependem tanto dos dados que mesmo um tempo curtode inatividade ou uma pequena quantidade de perda de dados pode prejudicar gravemente suas operações e seus lucros.
De acordo com o custo de uma violação de dados da IBM, o custo médio global de uma violação de dados em 2023 foi de US$ 4,45 milhões, um aumento de 15% em três anos.
Consequentemente, muitas organizações estão se concentrando na proteção de dados como parte de seus esforços mais amplos de segurança cibernética. Com uma estratégia robusta de proteção de dados, as organizações podem reforçar as vulnerabilidades e se protegerem melhor contra ataques cibernéticos e violações de dados. No caso de um ataque cibernético, as medidas de proteção de dados podem salvar vidas, reduzindo o tempo de inatividade e garantindo a disponibilidade dos dados.
As medidas de proteção de dados também podem ajudar as organizações a cumprir os requisitos regulatórios em constante evolução, muitos dos quais podem acarretar multas pesadas. Por exemplo, em maio de 2023, a autoridade de proteção de dados da Irlanda impôs uma multa de USD 1,3 bilhão à Meta, com sede na Califórnia, por violações do GDPR (link fora de ibm.com). A proteção de dados por meio de sua ênfase na privacidade de dados pode ajudar as organizações a evitar essas infrações.
As estratégias de proteção de dados também podem oferecer muitos benefícios do gerenciamento eficaz do ciclo de vida das informações (ILM), como simplificar o processamento de dados pessoais e extrair melhor os dados essenciais para obter insights importantes.
Em um mundo em que os dados são a força vital de muitas organizações, está se tornando cada vez mais necessário que as empresas saibam processar, tratar, proteger e aproveitar seus dados críticos da melhor maneira possível.
Reconhecendo a importância da proteção de dados, governos e outras autoridades criaram um número cada vez maior de regulamentações de privacidade e padrões de dados que as empresas devem cumprir para fazer negócios com os seus clientes.
Alguns dos padrões e regulamentações mais comuns de dados são:
O Regulamento Geral de Proteção de Dados (GDPR) é uma estrutura abrangente de privacidade de dados promulgada pela União Europeia (UE) para proteger as informações pessoais de indivíduos, chamados de "titulares de dados".
O GDPR concentra-se principalmente em informações de identificação pessoal, ou PII, e impõe requisitos rigorosos de conformidade aos provedores de dados. Ela exige que as organizações dentro e fora da Europa sejam transparentes sobre suas práticas de coleta de dados. As organizações também devem adotar algumas medidas específicas de proteção de dados, como a nomeação de um diretor de proteção de dados para supervisionar o manuseio dos dados.
O GDPR também concede aos cidadãos da UE maior controle sobre suas PII e mais proteção de dados pessoais, como nome, número de identificação, informações médicas, dados biométricos e outras informações. As únicas atividades de processamento de dados isentas do GDPR são atividades de segurança nacional ou de aplicação da lei e uso puramente pessoal dos dados.
Um dos aspectos mais marcantes do RGPD é a sua postura intransigente em relação à não conformidade. Impõe multas substanciais para aqueles que não cumprem seus regulamentos de privacidade. Essas multas podem chegar a até 4% do faturamento global anual de uma organização ou 20 milhões de euros, o que for maior.
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde, ou HIPAA, foi aprovada nos Estados Unidos em 1996. Ela estabelece as diretrizes de como entidades de saúde e empresas lidam com as informações pessoais de saúde dos pacientes (PHI) para garantir sua confidencialidade e segurança.
De acordo com a HIPAA, todas as "entidades cobertas" devem manter determinados padrões de segurança e conformidade de dados. Essas entidades abrangem não somente os prestadores de serviços de saúde e planos de seguro, mas também os associados comerciais com acesso a PHI. Serviços de transmissão de dados, prestadores de serviços de transcrição médica, empresas de software, seguradoras e outros devem estar em conformidade com a HIPAA se lidarem com PHI.
A Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma lei de privacidade de dados histórica nos Estados Unidos.
Assim como o GDPR, concentra-se nas empresas para ser transparente sobre suas práticas de dados e dá às pessoas maior controle sobre suas informações pessoais. Sob a CCPA, os residentes da Califórnia podem solicitar detalhes sobre os dados coletados por empresas, recusar vendas de dados e solicitar exclusão de dados.
No entanto, ao contrário do GDPR, a CCPA (e muitas outras leis de proteção de dados dos EUA) baseiam-se na opção de pedir exclusão em vez de inclusão. As empresas podem utilizar as informações do consumidor até que sejam especificamente informadas em contrário. A CCPA também se aplica somente a empresas que excedem um limite de receita anual ou que lidam com grandes volumes de dados pessoais, o que a torna relevante para muitas empresas da Califórnia, embora não todas.
O PCI-DSS (Payment Card Industry Data Security Standard) é um conjunto de diretrizes regulatórias para proteger dados de cartões de crédito. O PCI-DSS não é uma regulamentação governamental, mas um conjunto de compromissos contratuais impostos por um órgão regulador independente conhecido como Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC).
O PCI-DSS é aplicado a todas as empresas que lidam com dados do titular do cartão, seja coletando, armazenando ou transmitindo dados. Mesmo que haja processadores de terceiros envolvidos em transações com cartão de crédito, a empresa que aceita o cartão permanecerá responsável pela conformidade com o PCI-DSS e deverá tomar as medidas necessárias para gerenciar e armazenar os dados dos titulares de cartão de forma segura.
À medida que o cenário de proteção de dados evolui, várias tendências estão moldando as estratégias que as organizações utilizam para proteger suas informações confidenciais.
Algumas dessas tendências são:
A portabilidade de dados enfatiza a movimentação constante de dados entre plataformas e serviços. Essa tendência oferece às pessoas maior controle sobre seus dados, facilitando sua transferência entre aplicativos e sistemas. A portabilidade de dados também se alinha à tendência geral de maior transparência e capacitação do cliente, permitindo que os usuários gerenciem seus dados pessoais com mais eficiência.
Com o uso generalizado de smartphones, as organizações estão cada vez mais preocupadas com a segurança dos dados em dispositivos móveis. Consequentemente, muitas empresas estão se concentrando mais na proteção de dados móveis, que implementa medidas robustas de segurança de dados para smartphones e tablets, incluindo criptografia e métodos de autenticação seguros.
O aumento dos ataques de ransomware fez com que muitas organizações adotassem estratégias avançadas de proteção de dados.
Ransomware é um tipo de malware que bloqueia os dados ou o dispositivo de uma vítima e ameaça mantê-los bloqueados, ou pior, a menos que a vítima pague um resgate ao invasor. De acordo com o IBM Security X-Force Threat Intelligence Index 2023, os ataques de ransomware representaram 17% de todos os ataques cibernéticos em 2022. Espera-se que ataques de ransomware custem às vítimas um total estimado de US$ 30 bilhões em 2023 (link fora de ibm.com).
A natureza desses ataques em constante evolução exige que as organizações implementem medidas de segurança proativas, como backups regulares, detecção de ameaças em tempo real e treinamento de funcionários para mitigar o impacto do ransomware e proteger informações confidenciais.
À medida que os ataques cibernéticos tornam-se cada vez mais avançados, as organizações estão reconhecendo a importância crítica de manter a continuidade durante desastres. O resultado é que muitos estão investindo em recuperação de desastres como serviço (DRaaS).
O DRaaS é uma solução de terceiros que oferece proteção de dados e recursos de recuperação após desastres (DR). Ela utiliza alto nível de automação para limitar o tempo de inatividade e terceirizar serviços de recuperação de desastres, proporcionando uma solução escalável e econômica para as organizações recuperarem seus dados críticos e infraestrutura de TI durante catástrofes.
Ao decidir por uma solução DRaaS, as organizações podem escolher entre três opções: data centers, soluções baseadas em nuvem e backups híbridos que combinam data centers físicos e armazenamento em nuvem.
O Copy Data Management (CDM) ajuda as organizações a gerenciar e controlar melhor os dados duplicados, reduzindo assim os custos de armazenamento e melhorando a acessibilidade dos dados. O CDM é parte essencial do gerenciamento do ciclo de vida da informação (ILM) porque ajuda a maximizar o valor dos dados e, ao mesmo tempo, minimiza a redundância e as ineficiências de armazenamento.
As organizações geralmente utilizam várias soluções e tecnologias de proteção de dados para proteger-se contra ameaças cibernéticas e garantir a integridade, a confidencialidade e a disponibilidade dos dados.
Algumas dessas soluções são:
- Data loss prevention (DLP), ou prevenção contra perda de dados, abrange as estratégias, processos e tecnologias que as equipes de cibersegurança utilizam para proteger dados confidenciais contra roubo, perda e uso indevido. A DLP acompanha a atividade do usuário e sinaliza comportamentos suspeitos para evitar acesso não autorizado, transmissão ou vazamento de informações confidenciais.
- Os backups de dados envolvem a criação e o armazenamento regular de uma versão secundária de informações críticas. Os backups apoiam a disponibilidade de dados, garantindo que as organizações voltem rapidamente seus sistemas a um estado anterior em caso de perda ou corrompimento de dados, minimizando o tempo de inatividade e a possibilidade de perdas.
- Os firewalls atuam como uma primeira linha de defesa dos dados, monitorando e controlando o tráfego de rede de entrada e saída. Essas barreiras de segurança impõem regras de segurança predeterminadas, impedindo o acesso não autorizado.
- Tecnologias de autenticação e autorização , como a autenticação multifator, verificam as identidades dos usuários e regulam seu acesso a recursos específicos. Juntos eles garantem que somente indivíduos autorizados acessem informações confidenciais, aumentando a segurança geral dos dados.
- As soluções de gerenciamento de identidade e acesso (IAM) centralizam a administração das identidades e permissões dos usuários. Gerenciando o acesso do usuário com base em funções e responsabilidades, as organizações podem reduzir o risco de acesso não autorizado aos dados e reduzir as ameaças internas que podem colocar dados críticos em risco.
- A criptografia transforma os dados em um formato codificado, tornando-os ilegíveis sem a chave de descriptografia apropriada. Esta tecnologia protege as transferências e o armazenamento de dados, adicionando uma camada extra de proteção contra o acesso não autorizado.
- A segurança de endpoint concentra-se na proteção de dispositivos individuais, como computadores e dispositivos móveis, contra atividades maliciosas. Pode incluir uma gama de soluções, como software antivírus, firewalls e outras medidas de segurança.
- As soluções antivírus e antimalware detectam, impedem e removem softwares maliciosos que podem comprometer dados, incluindo vírus, spyware e ransomware.
- O gerenciamento de correções garante que o software, os sistemas operacionais e os aplicativos recebam as correções de segurança mais recentes. Atualizações regulares ajudam a fechar vulnerabilidades e proteger contra possíveis ataques cibernéticos.
- As soluções de eliminação de dados garantem a remoção segura e completa dos dados dos dispositivos de armazenamento. A eliminação é particularmente importante na desativação do hardware para impedir o acesso não autorizado a informações confidenciais.
- As tecnologias de arquivamento facilitam o armazenamento sistemático e a recuperação de dados históricos. O arquivamento auxilia na conformidade e ajuda as organizações a gerenciar dados com eficiência, reduzindo o risco de perda de dados.
- As ferramentas de certificação e auditoria ajudam as organizações a avaliar e demonstrar a conformidade com os regulamentos e as políticas internas do setor. Auditorias regulares também garantem que as medidas de proteção de dados sejam efetivamente implementadas e mantidas.
- Soluções de recuperação de desastres, como DRaaS, restauram a infraestrutura e os dados de TI após eventos disruptivos. A recuperação de desastres geralmente inclui planejamento abrangente, estratégias de backup de dados e mecanismos para minimizar o tempo de inatividade.
Proteja os dados em nuvens híbridas e facilite a conformidade com os requisitos.
Proteja dados confidenciais no local e na nuvem. O IBM Security Guardium é uma solução de segurança de dados que se adapta à medida que o ambiente de ameaças muda, fornecendo visibilidade, conformidade e proteção completas em todo o ciclo de vida da segurança dos dados.
Tenha proteção de dados em grande escala. O IBM Storage Protect é um software de backup e recuperação de dados.