Negócios
DSPM: entenda o conceito de segurança de dados para empresas
- Créditos/Foto:Divulgação / Freepik
- 13/Fevereiro/2024
- Da Redação, com assessoria
De uns tempos para cá, a Gestão da Postura de Segurança de Dados tem sido identificada no mundo corporativo pela sigla DSPM, uma tendência emergente na categoria de segurança de nuvem. Essa denominação foi estabelecida ano passado pela consultoria Gartner Group, e rapidamente se difundiu. Mas não se trata apenas de teoria. As práticas de DSPM fazem (ou devem fazer) parte do cotidiano das empresas, seja qual for a atividade econômica, seja qual for o porte.
Quer saber tudo sobre Universo Sugar? Clique aqui e leia o e-book O Guia dos Sugar Daddy & Sugar Babies
Nesta entrevista, o especialista no assunto Wellington Antonio Monaco, compliance manager da empresa de cibersegurança Viva Security, esclarece o conceito. Confira!
Qual a melhor forma de explicar, para leigos em cibersegurança, o que é DSPM?
A sigla DSPM (Data Security Posture Management) ou Gestão da Postura de Segurança de Dados é uma tendência de segurança da informação e segurança cibernética, nomeada pelo Gartner Group em seu Hype Cycle para Segurança de Dados em 2022.
O DSPM é uma prática que resolve as preocupações com a segurança dados, independentemente da sua localização – ou seja, sendo na nuvem, em ambientes de aplicações no modelo SaaS, Data Center Local, Data Center Terceirizado, e outros.
Fica responsável pela conexão dos dados, informações, aplicativos e identidades para fornecer uma visão abrangente da postura de segurança de uma empresa, permitindo que as equipes de segurança e de conformidade respondam a três perguntas fundamentais: 1) Onde estão nossos dados? 2) Quais dados sensíveis estão em risco devido às características de configuração, de controle de acesso, dentre outras? 3) Como podemos tomar medidas para remediar esse risco?
Como, na prática, se dá o conceito de DSPM?
Na prática, é um conceito que se dá em várias formas e frentes. Por exemplo, no monitoramento constante. O DSPM verifica continuamente o ambiente de dados da empresa em busca de atividades consideradas suspeitas. Outra forma é pelo gerenciamento de acesso, o controle e a garantia de que apenas pessoas autorizadas tenham permissão para visualizar ou modificar informações confidenciais. Também ajuda a identificar e tratar vulnerabilidades no sistema de armazenamento de dados, essencial na mitigação das possibilidades dos hackers explorarem possíveis pontos fracos. Por fim, podemos citar a conformidade com regulamentações. Empresas frequentemente precisam cumprir regulamentos de segurança de dados, como LGPD, PCI e outros. O DSPM ajuda a garantir que a empresa esteja conforme essas regras, evitando penalidades e problemas legais. Mas, mais que isso, permitindo que se obtenha visibilidade e se possa agir proativa e em vários casos, automaticamente, sobre os riscos detectados.
O conceito inclui, então, tanto diagnóstico como procedimentos?
Sim. O DSPM inclui tanto o foco de atuação em diagnósticos quanto na execução de procedimentos específicos, de forma que não se restringe apenas a identificar continuamente onde os dados estão e quais estão em risco, mas também fornece mecanismos para remediar esses riscos.
Isso significa que o DSPM envolve o uso de várias ferramentas de cibersegurança para proteger os dados, considerando soluções de prevenção de perda de dados, criptografia, controle de acesso, detecção de intrusão e muito mais.
Portanto, o DSPM é uma abordagem abrangente para a segurança dos dados, que inclui tanto a identificação dos riscos quanto a implementação de medidas para mitigar esses riscos. Isso ajuda as empresas a manterem seus dados seguros em um ambiente de nuvem dinâmico.
Vale dizer, que apesar de adotarmos continuamente a visão de nuvem, o DSPM pode ser adotado também ambientes on-premisse, da mesma forma.
Em uma empresa, qual área deve ser a responsável pelo DSPM?
A responsabilidade por uma Gestão da Postura de Segurança de Dados geralmente recai sobre a equipe de tecnologia da informação (TI) ou de uma equipe específica de segurança da informação e segurança cibernética. No entanto, é importante notar que a segurança dos dados é uma responsabilidade compartilhada que se estende por toda a organização.
Embora a equipe de TI possa implementar as ferramentas e processos técnicos necessários para o DSPM, a liderança executiva também desempenha um papel crucial. Eles são responsáveis por estabelecer a cultura de segurança e garantir que todos na organização entendam a importância da segurança dos dados.
Além disso, outras partes interessadas, como departamento jurídico, recursos humanos e operações, também podem estar envolvidos, pois a segurança dos dados pode ter implicações legais, de pessoal e operacionais.
Portanto, embora a equipe de TI possa ser a principal responsável pela implementação do DSPM, é uma iniciativa que deve ser apoiada em todos os níveis da organização.
Qual a sugestão para romper a barreira de que cibersegurança é algo distante nas empresas?
A cibersegurança é um assunto que afeta todos os aspectos de uma organização, não apenas o departamento de TI. Listo algumas sugestões para romper essa barreira:
- Educação e conscientização: realizar sessões de treinamento e workshops para educar todos os funcionários sobre a importância da cibersegurança. Isso pode incluir a compreensão dos diferentes tipos de ameaças cibernéticas, como phishing e ransomware, e como se proteger contra elas.
- Cultura de segurança: cultivar uma cultura de segurança em toda a organização. Isso significa que a segurança não é apenas responsabilidade do departamento de TI, mas de todos.
- Políticas claras: ter políticas claras e compreensíveis sobre segurança cibernética e garantir que todos na organização as conheçam e as sigam.
- Ferramentas acessíveis: utilizar ferramentas de cibersegurança que sejam fáceis de usar e entender. Isso pode incluir software antivírus, firewalls e outras tecnologias de proteção.
- Comunicação aberta: encorajar a comunicação aberta sobre questões de segurança. Se os funcionários se sentirem confortáveis para falar sobre suas preocupações, será mais fácil identificar e resolver problemas.
Dessa forma, compartilhar a responsabilidade pela cibersegurança é fundamental para garantir a proteção dos dados e sistemas da organização. Cada membro desempenha um papel importante nesse processo.
Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga