Muitas organizações enfrentam dificuldades para construir e manter um programa de proteção de informações. Este é um desafio muito mais assustador do que muitos outros, por várias razões, em parte porque os controles de segurança podem afetar os usuários.
Construir programas em torno das ameaças de cibersegurança é mais fácil porque a maioria do plano de controle reside na borda, com sistemas de propriedade e controle das equipes de TI ou segurança da informação. Isso significa que os controles de segurança geralmente têm pouco ou nenhum impacto nas atividades diárias dos usuários.
Programas de gerenciamento de identidade e acesso (IAM) também são mais fáceis de construir, porque as equipes de TI e segurança da informação possuem o diretório e os sistemas de controle IAM. Portanto, embora o gerenciamento de acesso possa afetar os usuários, isso não tem um impacto diário sobre eles. Esses programas também têm envolvimento e educação limitados dos usuários, pois os usuários interagem com esses sistemas de controle com pouca frequência.
Por que a proteção de informações é desafiadora?
Por que é mais difícil criar e manter um programa de proteção de informações do que um programa de proteção contra ameaças cibernéticas ou IAM? Afinal, esses programas possuem suas próprias tecnologias. A equipe de proteção de informações possui ferramentas de prevenção de perda de dados (DLP), classificação de dados, descoberta de dados e gerenciamento de ameaças internas.
A razão pela qual é desafiador se resume ao problema que está tentando resolver, ou seja, prevenir a exfiltração de dados sensíveis. Ao contrário de um programa de cibersegurança que visa impedir uma ideia nebulosa de uma "ameaça", um programa de proteção de informações deve interagir ativamente com os usuários e como eles interagem com o conteúdo.
Aqui está uma analogia que ilustra o desafio da proteção de informações: uma varejista fecha seus caixas e escritório nos bastidores. Além disso, ela tem um processo formal para controlar como o dinheiro é manuseado quando um cliente compra um item e sai da loja. No entanto, impedir que itens sejam roubados é muito mais complexo.
Para evitar o roubo, existem controles como etiquetas RFID para itens caros (semelhantes à classificação de dados). Também existem controles instalados na porta de saída que emitem um alarme se um item com etiqueta RFID sair da loja. E existem câmeras - embora sejam usadas principalmente para validação após o incidente, porque a equipe de segurança no varejo geralmente é reduzida. O restante da equipe de varejo pode ser treinado para ficar de olho em atividades suspeitas, mas todos têm suas próprias tarefas a fazer.
Por esses e outros motivos, incluindo o fato de que a maioria dos produtos na loja não é etiquetada, os varejistas aceitam que seu estoque encolherá de 1% a 2% ao ano.
Os mesmos conceitos gerais se aplicam à proteção de informações ou dados. Os dados que não são excessivamente sensíveis ou de grande valor são deixados sem classificação ou visualização, porque sua perda não prejudicaria a empresa. Existem também controles - mas frequentemente encontram desafios e resistência porque a segurança da informação, como um todo, é "muito invasiva". Os controles de segurança podem afetar significativamente como um usuário conduz suas tarefas diárias. Portanto, na maioria das empresas, esses processos são executados de maneira "enxuta".
Além disso, quando se trata de recursos de educação e treinamento, a proteção de informações é o espaço mais negligenciado na segurança da informação. Em minha experiência pessoal trabalhando com diversas organizações, apenas um em cada 10 líderes tentou executar um programa de proteção de informações.
As etapas para criar um programa de proteção de informações bem-sucedido
Então, o que é necessário para construir um programa de proteção de informações bem-sucedido e sustentável? Aqui estão seis etapas essenciais:
- Coloque as pessoas certas no lugar.
- Defina seus ativos de dados, riscos e requisitos.
- Faça um inventário de suas capacidades e lacunas.
- Planeje seu programa.
- Implante e estabeleça um ciclo de revisão.
- Amplie ao longo do tempo.
Essas etapas estabelecem a base para um programa que você pode desenvolver e expandir ao longo do tempo. Se você está pronto para construir um programa de proteção de informações, pode aprender mais sobre essas etapas e muito mais baixando nosso e-book "Iniciação à prevenção de perda de dados e ao gerenciamento de ameaças internas".
Pronto para construir um programa de proteção de informações?
Os líderes de proteção de informações devem saber que têm opções ao construir um programa de proteção de informações. Eles não precisam fazer isso sozinhos. A Proofpoint pode ajudá-lo não apenas a construir um programa bem-sucedido, mas também oferecemos serviços de proteção de informações gerenciadas para preencher quaisquer lacunas em sua experiência interna.
Sobre o autor
Joshua Linkenhoker é um líder no espaço de proteção de informações há mais de 20 anos. Ele ocupou múltiplas funções de diretor em empresas da Fortune 500, com foco em proteção de informações, segurança em nuvem e segurança de e-mail. Como consultor sênior na Proofpoint, Josh trabalha com muitas grandes organizações globais para construir programas abrangentes de proteção de informações, gerenciamento de ameaças internas e segurança em nuvem. Ele lidera e educa tanto a equipe quanto os clientes no espaço de proteção de informações, sendo um participante ativo nos Laboratórios de Descoberta da Proofpoint, Séries de Poder e Cursos de Certificação.