|

    Desmascarando os Dados Ocultos: Como Proteger a Sua Organização dos Seus Riscos

    Os Shadow Data ou dados em sombra muitas vezes permanecem em locais inadvertidos e podem pôr em risco a segurança de uma organização. Neste guia, exploraremos o que são os dados em sombra, porque são importantes, as ferramentas para os gerir, exemplos do mundo real e estratégias eficazes para os administrar, permitindo-lhe proteger informações confidenciais e manter o controlo.

    1. A ascensão dos Shadow Data: Estatísticas-chave

    O relatório 2024 Cost of a Data Breach Report da IBM destaca os riscos crescentes apresentados pelos «shadow data», dados não geridos que residem em fontes não autorizadas ou não monitorizadas. Estas estatísticas mostram o seu impacto:

    • Prevalência: Os dados em sombra estiveram envolvidos em 35% das violações de dados, destacando o desafio de gerir a proliferação de dados em diferentes ambientes.
    • Custos mais elevados: As violações que envolvem dados em sombra tiveram um custo médio de 5,27 milhões de dólares, 16,2% mais do que as violações sem «shadow data».
    • Ciclos de vida mais longos: As violações com dados em sombra duraram em média 291 dias, 24,7% mais do que as sem eles. Especificamente, demoraram 26,2% mais para serem identificadas e 20,2% mais para serem contidas.
    • Complexidade de armazenamento: O armazenamento de dados em múltiplos ambientes aumentou os riscos. 40% das violações envolveram estratégias de armazenamento em múltiplos ambientes (nuvem pública, privada e local). Por outro lado, quando armazenados num único tipo de ambiente, as violações ocorreram com menor frequência: nuvem pública (25%), on-premise (20%), nuvem privada (15%).
    • Não é apenas um problema da nuvem: 25% das violações relacionadas com dados em sombra ocorreram apenas on-premise, indicando que os riscos não se limitam ao armazenamento em nuvem.

    Estas cifras demonstram a importância dos «shadow data» para as organizações e o impacto atual.

    2. O que são exatamente os dados em sombra?

    Os dados em sombra referem-se a dados que existem dentro de uma organização, mas permanecem fora da visibilidade ou controlo de processos formais de TI ou segurança. Geralmente acabam «em sombra» devido ao seu armazenamento em locais não autorizados, como unidades pessoais na nuvem, dispositivos locais ou plataformas de terceiros não geridas. Embora possam derivar de atividades empresariais legítimas, a falta de governação cria vulnerabilidades de segurança.

    O Shadow Data refere-se especificamente a cópias de dados não geridas, ocultas ou sem acompanhamento, fora do alcance dos controlos oficiais de uma organização. Surge muitas vezes quando os funcionários manipulam informação sensível através de plataformas ou métodos não autorizados, como guardar ficheiros de trabalho em unidades pessoais ou partilhar dados em serviços de nuvem não aprovados.

    Um funcionário que reencaminha ficheiros confidenciais da empresa do seu e-mail de trabalho para uma conta pessoal cria «Shadow Data»: as cópias não geridas dos ficheiros passam a estar fora dos sistemas da organização. Se esse funcionário usar uma plataforma não aprovada, como o Dropbox, para partilhar os ficheiros com um colega, isto constitui Shadow IT, pois envolve o uso de uma plataforma não autorizada.

    Compreender a diferença entre Shadow Data e Shadow IT é crucial, pois os riscos, causas e estratégias de mitigação são distintos. Os dados em sombra afetam diretamente a integridade dos dados, privacidade e conformidade normativa, porque a informação sensível existe em locais onde não se aplicam políticas de governação. Por outro lado, a TI em sombra refere-se à tecnologia em si, apresentando riscos relacionados com ferramentas não aprovadas, vulnerabilidades de software ou falhas de integração.

    Shadow Data e Shadow IT são frequentemente confundidos porque surgem juntos. Por exemplo, Shadow Data é muitas vezes criado devido ao uso de Shadow IT. Ferramentas ou plataformas não aprovadas geram inadvertidamente dados não protegidos ou não monitorizados, tornando difícil distinguir entre os dois.

    3. Características dos Shadow Data

    Os dados em sombra aparecem de várias formas e podem existir em locais difíceis de monitorizar. Compreender suas características e tipos ajuda as organizações a identificá-los e abordá-los de forma eficaz.

    Tipos de dados em sombra:

    • Backups não monitorizados: Dados armazenados em backups antigos, não geridos, em unidades, dispositivos ou na nuvem.
    • Uso de armazenamento pessoal: Ficheiros em dispositivos pessoais, USBs ou contas na nuvem não supervisionadas pela empresa.
    • Dados obsoletos ou órfãos: Dados abandonados por processos ou aplicações obsoletas.
    • Dados ocultos em aplicações SaaS: Arquivos ou dados em plataformas SaaS de terceiros não integradas.
    • Ambientes de teste ou desenvolvimento: Cópias de dados de produção usadas em testes ou desenvolvimento, sem proteção adequada.
    • Conjuntos de dados em sombra: Dados agregados ou isolados em folhas de cálculo ou relatórios criados sem aprovação.

    Identificação dos Shadow Data:

    • Identificar dados sem etiquetas ou órfãos.esgos que plantean.
    • Verificar atividade fora da rede: contas pessoais na nuvem, dispositivos pessoais, USBs.
    • Monitorizar o uso de plataformas não aprovadas: dados em sombra muitas vezes correlacionados com Shadow IT.
    • Verificar sistemas ou ambientes obsoletos.
    • Rastrear cópias, duplicados e exportações.

    4. Principais causas dos dados em sombra

    Os dados em sombra geralmente resultam de lacunas nos processos organizacionais, falta de supervisão e comportamentos humanos que contornam os controlos estabelecidos. Compreender as suas causas principais ajuda as organizações a aplicar estratégias para os prevenir eficazmente. Causas comuns dos dados em sombra:

    • Shadow IT: Quando os funcionários utilizam ferramentas ou plataformas não aprovadas sem informar as equipas de TI ou de governação.
      Exemplo: Uma equipa de marketing utiliza uma ferramenta SaaS gratuita para armazenar os dados de uma campanha, sem a aprovação da TI.
    • Falta de governação de dados: A ausência de uma responsabilidade clara sobre os dados pode dar origem a ficheiros não geridos ou órfãos.
      Exemplo: Uma equipa carrega dados sensíveis para uma pasta partilhada sem designar ninguém para a sua manutenção ou supervisão.
    • Práticas não aprovadas de gestão de dados: Funcionários que criam backups não oficiais, duplicam ficheiros ou exportam dados por conveniência sem os proteger adequadamente.
      Exemplo: Um funcionário guarda dados de clientes numa unidade USB pessoal para aceder a eles offline.
    • Armazenamento complexo ou em múltiplos ambientes: O armazenamento de dados em vários ambientes (por exemplo, nuvem pública, nuvem privada, servidores locais) dificulta o seu rastreio e gestão.
      Exemplo: Um conjunto de dados é copiado para várias plataformas na nuvem para facilitar a colaboração, deixando os duplicados sem gestão.
    • Sistemas e processos legados: Sistemas ou fluxos de trabalho obsoletos muitas vezes deixam dados não utilizados que são esquecidos mas ainda acessíveis.
      Exemplo: Uma aplicação desativada deixa antigos registos de clientes num servidor que não foi mantido.
    • Erros humanos e falta de comunicação: Cópias acidentais de ficheiros, colaboração informal ou ausência de políticas claras para a gestão de dados.
      Exemplo: Um membro da equipa partilha folhas de cálculo financeiras por e-mail sem encriptação nem rastreio.
    • Consciencialização dos funcionários: A falta de consciência sobre a importância da governação de dados leva à criação involuntária e à má gestão dos dados em sombra.
      Exemplo: Os funcionários podem desconhecer os riscos de guardar dados sensíveis em dispositivos pessoais ou plataformas na nuvem para aceder rapidamente a eles.

    5. Riscos associados aos Shadow Data

    Os dados em sombra apresentam riscos significativos para as organizações, derivados principalmente da sua falta de visibilidade e controlo. O principal problema dos dados em sombra reside na sua vulnerabilidade inerente: quando são roubados, divulgados publicamente ou partilhados acidentalmente, as organizações enfrentam riscos consideráveis. Uma vez que os dados em sombra muitas vezes não são geridos e são desconhecidos, permanecem expostos e suscetíveis a violações, facilitando enormemente a sua exploração por atores maliciosos.

    Riscos financeiros

    Os dados em sombra podem provocar custos imprevistos associados a fugas de dados ou à perda de informação confidencial. Quando os dados ficam fora do alcance dos protocolos de conformidade e segurança, os custos de remediação podem aumentar rapidamente.
    Exemplo: Uma empresa enfrenta perdas financeiras inesperadas após uma fuga de dados expor informação confidencial de clientes armazenada num serviço de nuvem não autorizado. As organizações devem ter estes riscos em conta nos seus planos de resposta a violações de dados.

    Riscos para a reputação

    A exposição de dados pode manchar a reputação de uma organização e minar a confiança dos clientes. A notícia de um incidente com dados pode prejudicar a credibilidade de uma marca, afetando a fidelidade de clientes e parceiros a longo prazo.
    Exemplo: A fuga de dados de uma base não autorizada prejudica a reputação de uma empresa, gerando cobertura mediática negativa e perda de clientes.

    Multas regulamentares e de conformidade

    O incumprimento das normas de proteção de dados devido a dados em sombra pode acarretar multas elevadas e repercussões legais. As organizações correm o risco de violar leis como o GDPR, NIS2 ou o Critical Security Control 3 v8 do CIS se fluxos de dados não autorizados forem ignorados.
    Exemplo: Uma empresa enfrenta sanções significativas após suspender uma auditoria de conformidade porque o Shadow IT dos funcionários contornou as medidas de controlo de dados.

    Desvantagem competitiva

    Os dados em sombra podem vazar inadvertidamente informação estratégica para concorrentes. Dados fora de ambientes controlados são mais vulneráveis a ataques ou partilhas acidentais, comprometendo a inovação e a posição competitiva.
    Exemplo: Informação confidencial armazenada numa conta pessoal insegura torna-se acessível a concorrentes, prejudicando a posição da organização no mercado.

    6. Estratégias para evitar os dados em sombra

    A prevenção dos dados em sombra requer uma abordagem estratégica e contínua que combine avaliação, identificação, gestão de riscos, implementação de controlos e melhoria contínua. A seguir estão os passos-chave que as organizações podem seguir para abordar e mitigar os dados em sombra de forma eficaz:

    1. Realize uma análise GAP e compreenda o contexto da organização: Comece por analisar as práticas atuais de gestão de dados e compreender o contexto específico da sua organização. Examine onde existem lacunas de governação, visibilidade ou controlo.
      Exemplo: Avalie quais departamentos ou equipas tendem a utilizar ferramentas não autorizadas, como serviços pessoais na nuvem, para armazenar ou processar dados.
    2. Identifique os tipos de dados em sombra: Catalogue os dados em sombra, identificando onde residem e como são criados. Concentre-se em sistemas não auditados, ferramentas criadas pelos utilizadores e locais de armazenamento ou aplicações não aprovadas.
      Exemplo: Uma equipa de TI revisa as pastas partilhadas de todas as equipas e descobre ficheiros com dados confidenciais de clientes armazenados em serviços na nuvem não autorizados. Existem muitos tipos de informação sensível; saiba identificá-los.
    3. Identifique os riscos: Avalie os riscos associados aos dados em sombra descobertos, incluindo impacto financeiro, reputacional e regulatório. Dê prioridade aos dados de alto risco com base na sua sensibilidade e exposição.
      Exemplo: Identifique os riscos relacionados com bases de dados sensíveis de clientes encontradas em ferramentas não autorizadas de uma equipa de marketing, que carecem de encriptação e controlos de segurança. Note que é importante utilizar o tipo de encriptação mais robusto disponível.
    4. Implemente práticas, controlos e medidas de segurança: Estabeleça práticas e controlos para evitar inicialmente a criação de dados em sombra. Eduque os funcionários sobre os riscos e imponha o uso de plataformas seguras. Implemente ferramentas para monitorização e rastreio automatizado de dados para identificar atividades não autorizadas.
      Exemplo: Implemente uma ferramenta de prevenção de perda de dados (DLP) para monitorizar o movimento de dados sensíveis e bloquear transferências para plataformas não autorizadas, e forme os funcionários sobre as ferramentas aprovadas para armazenar os dados de forma segura.
    5. Documente todos os processos: Desenvolva um registo claro e detalhado dos sistemas, políticas e procedimentos aprovados relativos ao uso de dados. Garanta que funções e responsabilidades para a governação de dados estão bem documentadas.
      Exemplo: Crie um documento de políticas centralizado que descreva onde e como os funcionários devem armazenar os dados, e distribua-o por toda a organização.
    6. Realize auditorias periódicas: Audite regularmente os sistemas de dados para descobrir novos casos de shadow data e garantir a conformidade com políticas e normas de segurança. Isto ajudará a verificar a eficácia dos controlos.
      Exemplo: Realize auditorias periódicas de serviços de armazenamento na nuvem e de dispositivos finais para detetar depósitos de dados não autorizados.
    7. Melhore continuamente os pontos fracos: Utilize os resultados das auditorias e feedback para aperfeiçoar a sua estratégia. Aborde os pontos fracos dos controlos, reveja políticas e atualize medidas de segurança para manter-se atualizado face às ameaças.
      Exemplo: Após uma auditoria descobrir dados em sombra em ferramentas de colaboração, reforce os controlos introduzindo políticas de acesso mais rigorosas e fornecendo formação adicional ao pessoal.

    Ao aplicar sistematicamente este quadro, as organizações podem ganhar visibilidade sobre os dados em sombra, minimizar os riscos e criar uma cultura de responsabilidade e gestão segura dos dados. Lembre-se de seguir as diretrizes do modelo de confiança zero.

    7. Ferramentas e soluções de automação

    As ferramentas e plataformas de automação desempenham um papel crucial na identificação, gestão e mitigação dos riscos dos shadow data. Estas tecnologias agilizam o processo de descoberta, proteção e monitorização de dados não regulamentados ou ocultos em todos os sistemas de uma organização. Entre as soluções-chave incluem-se:

    • Soluções de monitorização da nuvem: Estas ferramentas fornecem visibilidade dos ambientes na nuvem, identificando os dados em sombra gerados por uso não autorizado ou mal configurado da nuvem. Permitem às organizações monitorizar fluxos de dados, detetar anomalias e garantir a conformidade com as políticas de segurança.
    • Soluções de Gestão de Direitos Digitais Empresariais (EDRM): As ferramentas EDRM ajudam a proteger os dados em sombra aplicando controlos de acesso e permissões, mesmo quando os dados são partilhados fora da organização. Fornecem monitorização detalhada e impedem o uso não autorizado. Podem bloquear tentativas de copiar conteúdos e encriptar cópias dos ficheiros originais. Uma guia detalhada ajuda a implementar uma solução EDRM.
    • Plataformas de Gestão de Acessos e Identidade (IAM): As plataformas IAM ajudam a controlar quem pode aceder aos dados dentro da organização, garantindo autenticação e autorização adequadas. Estruturas IAM robustas podem minimizar o risco de os utilizadores criarem ou acederem inadvertidamente a dados em sombra.
    • Ferramentas de Prevenção de Perda de Dados (DLP): As soluções DLP monitorizam dados sensíveis para evitar que sejam partilhados ou transferidos sem autorização. Estas ferramentas podem identificar fugas de dados em sombra e aplicar políticas de segurança nos endpoints e nas redes.
    • Ferramentas de descoberta de dados: Estas plataformas digitalizam automaticamente os sistemas organizacionais para localizar e classificar dados ocultos. Ao fornecer um inventário completo dos ativos de dados, permitem às organizações compreender e gerir eficazmente os seus dados ocultos.

    8. SealPath: o seu aliado contra os dados em sombra

    O SealPath destaca-se como uma solução poderosa para combater os dados em sombra graças à sua avançada tecnologia Enterprise Digital Rights Management (EDRM). Simplifica a proteção de dados ao mesmo tempo que garante segurança e conformidade em múltiplos ambientes. A seguir explicamos por que o SealPath é o aliado perfeito contra os dados em sombra:

    • Proteção automatizada de dados: O SealPath protege automaticamente os ficheiros armazenados em pastas locais do PC, plataformas de armazenamento na nuvem e servidores de ficheiros. Isto elimina o risco de que dados não geridos se tornem shadow data.
    • Integração com regras DLP: O SealPath funciona perfeitamente com soluções de Prevenção de Perda de Dados (DLP), reforçando as políticas de segurança. Protege as cópias dos ficheiros e garante a segurança dos dados sensíveis onde quer que residam. Protege os dados com base em regras definidas; por exemplo, quando os dados estão prestes a sair do ambiente corporativo, obriga à sua proteção. Isto proporciona maior flexibilidade sem comprometer a segurança.
    • Controlos de acesso granulares: Bloqueia ações não autorizadas, como copiar, colar ou partilhar conteúdos de ficheiros, garantindo o cumprimento rigoroso dos protocolos de segurança da organização.
    • Monitorização e controlo em tempo real: O SealPath fornece relatórios detalhados sobre o acesso e uso dos ficheiros, mantendo uma vigilância constante sobre os dados em sombra e ajudando a identificar possíveis vulnerabilidades.
    • Proteção unificada em todas as plataformas: Independentemente de os dados estarem armazenados localmente, na nuvem ou partilhados externamente, o SealPath garante que a proteção acompanha os dados para onde quer que vão.

    Ao combinar automação, controlo em tempo real e integração perfeita com os frameworks de segurança, a tecnologia EDRM do SealPath aborda os desafios dos dados em sombra de forma holística, tornando-se um aliado de confiança para que as organizações mantenham visibilidade e segurança sobre os seus dados.e los datos.

    9. Conclusão

    Os dados em sombra apresentam riscos graves para a segurança e conformidade das organizações. Se estes dados ocultos ou não regulamentados não forem identificados, geridos e protegidos, podem ocorrer violações de dados, sanções regulatórias e danos à reputação.

    Ao compreender os shadow data, aproveitar ferramentas de automação e adotar soluções como a tecnologia EDRM do SealPath, as organizações podem retomar o controlo, mitigar os riscos e garantir a proteção da informação confidencial, onde quer que esta se encontre.

    A lição é clara: uma gestão proativa dos dados e medidas de segurança robustas são essenciais para evitar as consequências de longo alcance dos dados em sombra.

    Aceda aqui ao post completo.

    Próximos eventos

    ¿Necesitas más información?


      Em cumprimento do artigo 13.º do Regulamento (UE) 2016/679 Geral sobre a Proteção dos Dados, informamos que a IGNITON irá tratar os seus dados pessoais para gerir a sua consulta. Pode exercer os seus direitos em matéria de proteção de dados através de pedido enviado para o nosso DPO em gdpr@ingecom.net. Pode obter informações adicionais sobre o tratamento de dados na nossa Política de Privacidade publicada em www.ignition-technology.pt/.