Segurança dos dados
No mundo altamente conectado de hoje, ameaças à segurança cibernética e riscos internos são uma preocupação constante. As organizações precisam ter visibilidade dos tipos de dados que têm, evitar o uso não autorizado de dados e identificar e mitigar riscos em torno desses dados. As seções a seguir abordarão por que a segurança de dados é essencial, os riscos comuns à segurança dos dados e as práticas recomendadas de segurança dos dados para ajudar a proteger sua organização contra acesso não autorizado, roubo, corrupção, envenenamento ou perda acidental.
O que é segurança de dados?
Segurança de dados é um conjunto de práticas e procedimentos desenvolvidos para proteger os dados contra acesso não autorizado, roubo, corrupção, envenenamento ou perda acidental a fim de preservar a privacidade, a confidencialidade, a integridade e a disponibilidade dos dados. A segurança de dados deve ajudar a proteger os dados confidenciais (dados pessoais identificáveis, informações financeiras, dados de saúde e propriedade intelectual) durante todo o ciclo de vida dos dados, da criação à destruição. Ela deve abranger tudo, desde a segurança física de hardware e dispositivos de armazenamento até controles administrativos e de acesso, segurança de aplicativos de software e políticas de governança de dados.
Continue explorando
Práticas recomendadas de segurança para a plataforma de dados moderna
Aprenda técnicas comprovadas com especialistas em segurança de lakehouse
The Data Lakehouse Platform for Dummies
Como potencializar todas as suas análises em uma plataforma
Fundamentos do lakehouse
Fique por dentro do lakehouse fazendo este treinamento gratuito sob demanda
Por que a segurança de dados é importante?
Os dados são um dos ativos mais importantes para qualquer organização atualmente, portanto, a importância da segurança de dados não pode ser exagerada. A proteção de dados deve ser uma prioridade para todas as empresas de todos os setores. Isso é cada vez mais importante, pois as violações de segurança de dados continuam crescendo. De acordo com a Check Point Research, os ataques cibernéticos globais aumentaram 38% em 2022, em comparação com 2021.
A proteção de dados é fundamental porque a perda ou uso indevido de dados pode ter consequências graves para uma organização, incluindo danos à reputação, modelos imprecisos de ML, perda de negócios e perda de patrimônio líquido da marca. Além disso, se a propriedade intelectual de uma organização estiver comprometida, sua capacidade de competir poderá ser afetada permanentemente. De acordo com um relatório da IBM sobre o custo de uma violação de dados, realizado em 2023, o custo médio de uma violação de segurança de dados em 2023 foi de US$ 4,45 milhões, 15% a mais do que em 2020.
Além dos custos relacionados a danos à reputação, o não cumprimento dos requisitos regulamentares pode resultar em multas por não conformidade. O Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA) impõem multas às organizações que não protegem seus dados corretamente. De acordo com o GDPR, violações de dados podem levar a sanções de até 4% da receita anual de uma organização.
Riscos à segurança dos dados
Existem vários tipos de riscos à segurança de dados. Alguns dos mais comuns são:
Malware
O malware pode incluir worms, vírus ou spyware que permitem que usuários não autorizados acessem o ambiente de TI de uma organização. Depois de ganhar acesso, esses usuários podem interromper a rede de TI e os dispositivos endpoint ou roubar credenciais.
Ransomware
O ransomware infecta os dispositivos de uma organização e criptografa os dados para impedir o acesso até que um resgate seja pago. Às vezes, há perda de dados mesmo quando o pedido de resgate é pago.
Phishing
Phishing é o ato de enganar indivíduos ou organizações para que forneçam informações como números de cartão de crédito, senhas ou acesso a contas privilegiadas. A intenção é roubar ou danificar dados confidenciais fingindo ser uma empresa respeitável que a vítima já conhece. Os invasores externos também podem se passar por usuários legítimos para acessar, roubar, envenenar ou corromper dados.
Ataques de negação de serviço distribuído (DDoS)
Um ataque de DDoS tem como alvo sites e servidores, interrompendo os serviços de rede para sobrecarregar os recursos de um aplicativo. Os criminosos por trás desses ataques inundam um site com tráfego para desacelerar a funcionalidade do site ou causar uma interrupção total.
Erro humano
Os funcionários podem expor acidentalmente dados a públicos não intencionais à medida que os acessam ou os compartilham com colegas. Ou um funcionário pode acessar os recursos da empresa por meio de uma conexão sem fio não segura.
Ameaças internas
Funcionários insatisfeitos podem expor dados intencionalmente ou buscar lucrar com o roubo de dados.
Ferramentas e estratégias de segurança de dados
As ferramentas e estratégias de segurança de dados aumentam a visibilidade de uma organização sobre onde seus dados críticos residem e como eles são usados. Quando implementadas adequadamente, estratégias robustas de segurança de dados não só protegem os ativos de informações de uma organização contra atividades criminosas cibernéticas, mas também promovem a prevenção contra perda de dados, protegendo contra erros humanos e ameaças internas, duas das principais causas de violações de dados hoje em dia. Alguns tipos comuns de ferramentas de segurança de dados incluem:
- Criptografia de dados: usa um algoritmo para embaralhar caracteres de texto normais em um formato ilegível. As chaves de criptografia permitem que somente usuários autorizados leiam os dados.
- Mascaramento de dados: mascara dados confidenciais para que o desenvolvimento possa ocorrer em ambientes compatíveis. Ao mascarar os dados, as organizações podem permitir que as equipes desenvolvam aplicativos ou treinem pessoas usando dados reais.
- Eliminação de dados: usa software para substituir completamente os dados em qualquer dispositivo de armazenamento. Em seguida, verifica se os dados são irrecuperáveis.
- Gerenciamento de acesso: inclui políticas, auditorias e tecnologias para garantir que apenas os usuários certos possam acessar os recursos tecnológicos.
- Gerenciamento de acesso baseado em funções: controla o acesso a recursos em que as ações permitidas nos recursos são identificadas com funções, e não com identidades individuais de sujeitos.
Práticas recomendadas de segurança de dados
As práticas recomendadas de segurança de dados incluem ferramentas de proteção de dados, como aquelas descritas na seção anterior, bem como auditoria e monitoramento. As práticas recomendadas de segurança de dados devem ser usadas tanto on-premises quanto na cloud para mitigar a ameaça de uma violação de dados e ajudar a obter a conformidade regulatória. Recomendações específicas podem variar, mas normalmente exigem uma estratégia de segurança de dados em camadas arquitetada para aplicar uma abordagem defensiva para mitigar diferentes vetores de ameaças.
A governança de dados é uma prática recomendada de segurança essencial que inclui as políticas e os procedimentos que regem como os dados são disponibilizados, usados e protegidos. A governança estabelece processos que são aplicados em todas as organizações para garantir compliance e segurança dos dados, além de permitir que os usuários acessem os dados de que precisam para fazer seu trabalho.
Protegendo dados na Plataforma de inteligência de dados Databricks
A Plataforma de inteligência de dados Databricks oferece segurança de ponta a ponta para garantir que os dados sejam acessados corretamente, por indivíduos autorizados; e, ao mesmo tempo, ajudar as organizações a atender aos requisitos de compliance. A Databricks oferece segurança abrangente para proteger seus dados e cargas de trabalho, incluindo criptografia, controles de rede, governança de dados e auditoria. Também oferecemos artigos técnicos sobre práticas recomendadas, uma ferramenta de análise de segurança e templates do Terraform no Centro de segurança e confiança da Databricks.
O Unity Catalog, que é a solução de governança de dados da Databricks, oferece governança de dados refinada, metadados centralizados e gerenciamento de usuários, controles de acesso centralizado a dados, linhagem de dados e auditoria de acesso a dados para controlar perfeitamente dados estruturados e não estruturados, modelos de machine learning, notebooks, dashboards e arquivos em qualquer cloud ou plataforma.
