Este é o segundo artigo da série Governança de Dados em Um Mundo Data-Driven. Se está chegando agora, comece pela primeira parte, aqui. Boa leitura.

Governança e Segurança de Dados

É fundamental que as organizações criem e apliquem uma política de governança forte para todos os seus dados e controlem quem pode enviar o que e a quem, independentemente do tipo de dispositivo que eles estão usando.

Um clique inadvertido de um funcionário, uma decisão de armazenar informações da empresa “por conveniência” em um espaço público como o OneDrive ou o Dropbox, ou uma única transferência de dados não autorizada para um fornecedor ou cliente pode resultar em uma violação de dados dispendiosa e embaraçosa.

As apostas estão mais altas do que nunca. As violações de dados estão se tornando mais caras, com mais registros perdidos ou roubados a cada ano, de acordo com o Ponemon Institute. A probabilidade média de uma empresa sofrer uma violação significativa nos próximos 24 meses é de 27,9%. O custo médio dessa violação é de US $ 3,86 milhões (referências ao final do artigo).

Atualmente, não são apenas os funcionários e os dispositivos móveis com os quais você precisa se preocupar. A revolução da IoT (Internet of Things) está em andamento e, em 2025, haverá 25 bilhões de coisas conectadas, que variam de carros e televisões a máquinas industriais e monitores cardíacos. Cada um deles representará um novo portal que os hackers podem tentar penetrar.

A Target, rede americana do setor de varejo, aprendeu esta lição da maneira mais difícil em 2013, depois de instalar um sistema HVAC inteligente. Embora o sistema não estivesse conectado à rede da empresa, ele também não era seguro, e os hackers abriram caminho para roubar os dados pessoais de 41 milhões de clientes.

Pode ter sido o início de uma tendência muito indesejável. E frequentemente temos notícias de empresas que tem seus dados violados.

Em um estudo recente da Raytheon, 82% dos profissionais de TI previram que dispositivos IoT não seguros provavelmente causarão uma violação de dados em sua organização, e 80% disseram que essa violação pode ser catastrófica.

A solução não é tentar controlar milhares de dispositivos dos funcionários ou ignorar a nuvem e a IoT, mas implementar um programa abrangente e centralizado de Governança de Dados que seja fácil para a TI impor e não frustre tanto os usuários que os rodeiam.

“A forte Governança e Segurança de Dados andam de mãos dadas”, disseKevin Shannon, chefe global de Governança de Dados corporativos da Dun & Bradstreet, que coleta e vende informações comerciais e de crédito de 100 milhões de empresas em todo o mundo.

“Nossa equipe de Segurança trabalha em estreita colaboração com nossa equipe de Governança de Dados”, disse Shannon. A equipe de Governança de Dados, formada essencialmente por Arquitetos de Dados e Analistas, classifica as informações em cinco categorias de acordo com a sensibilidade, usando ferramentas de varredura automatizadas para grande parte do processo.

“As ferramentas descobrem onde os documentos estão armazenados e informam com um nível razoável de granularidade o que há nos dados e quantos anos tem”, disse Shannon. Os dados ultrassensíveis passam por uma revisão manual para decisões de classificação e retenção.

Os dados estruturados e não estruturados são marcados com metadados, permitindo que a empresa defina controles de acesso automatizados para a equipe interna. A empresa criptografa os dados que vende para os clientes e os aconselha a usar políticas fortes de Governança de Dados.

A identificação de dados para segurança permite que as organizações os gerenciem centralmente e automatizem os controles sobre eles. A equipe de TI ou segurança pode evitar problemas sem exigir que os funcionários ponderem todas as informações antes de compartilhá-las. A TI pode criar controles personalizados para que, se alguém enviar um arquivo contendo informações confidenciais do cliente a um visualizador não autorizado, o sistema de controle de dados oculte automaticamente os dados confidenciais, permitindo a passagem do restante dos dados. Os funcionários de TI economizam tempo e podem se concentrar em objetivos estratégicos, em vez de apagar incêndios após a ocorrência de problemas relacionados à segurança.

Armazenar dados em um local central também pode limitar o dano causado pelos invasores. Esse é um recurso importante em um ambiente em que os golpes de phishing e malware estão se tornando mais sofisticados e perigosos, e novos vetores de ataque estão surgindo, incluindo o ransomware, que o relatório de investigações de violação de dados da Verizon em 2018 classificou como a principal ameaça à segurança cibernética.

Se um malware ou ransomware infectar o dispositivo de alguém, a empresa poderá removê-lo de circulação, examinar o problema em uma rede isolada especial e emitir ao funcionário um novo dispositivo carregado do repositório central com todos os dados aos quais ele ou ela acessou anteriormente.

A Governança de Dados não é mais uma opção. É uma necessidade básica em um mundo data-driven (orientado a dados). Antes de qualquer preocupação com análises sofisticadas dos dados ou mesmo aplicações de Inteligência Artificial, temos que pensar na gestão e fluxo dos dados e como eles serão mantidos em segurança, protegidos de hackers, mas também de erros humanos dentro da própria empresa.

A função do Arquiteto de Dados é exatamente desenhar e manter as soluções de Governança de Dados, alinhadas com as estratégias de segurança cibernética das empresas.

Acompanhe o terceiro artigo da série aqui.

Equipe DSA

Referências:

Governing with Data Lineage in Modern Architectures

Best Practices in Enterprise Data Governance

Build a Data Governance Strategy for the New Digital Era

Data Governance Is Risk Number One

Data Management: The Science Of Insight And Scalability For Growing Businesses

Data Governance: Controlling Your Information In A World Of Digital Transformation

Data Privacy and Data Security: Outsourcing to Third Parties and the Effect on Consumers, Companies, and the Cybersecurity Industry as a Whole