DSPM, um conceito de segurança de Dados que deve estar na rotina de toda empresa

Em entrevista, o especialista Wellington Antonio Monaco, Compliance manager da Viva Security, empresa de cibersegurança, explica de forma didática o que significam essas quatro letrinhas. “Não é assunto só de TI; deve estar na cultura da organização”

De uns tempos para cá, a Gestão da Postura de Segurança de Dados tem sido identificada no mundo corporativo pela sigla DSPM, uma tendência emergente na categoria de segurança de Nuvem. Essa denominação foi estabelecida ano passado pela consultoria Gartner Group, e rapidamente se difundiu. Mas não se trata apenas de teoria: as práticas de DSPM fazem (ou devem fazer) parte do cotidiano das empresas, seja qual for a atividade econômica, seja qual for o porte.

Na entrevista a seguir, o especialista no assunto Wellington Antonio Monaco, compliance manager da Viva Security, empresa de cibersegurança, esclarece o conceito. De forma didática, pontua em que consiste, quais os benefícios, e alerta para a necessidade de um despertar de consciência: “a cibersegurança é uma responsabilidade compartilhada e todos na organização têm um papel a desempenhar para garantir que os Dados e sistemas estejam seguros”.

Podemos definir, resumidamente, o conceito de DSPM como o gerenciamento de segurança de Dados? Qual a melhor forma de explicar, para leigos em cibersegurança, o que é DSPM?
Wellington Antonio Monaco | A sigla DSPM (Data Security Posture Management) ou Gestão da Postura de Segurança de Dados é uma tendência de segurança da informação e segurança cibernética, nomeada pelo Gartner Group em seu Hype Cycle para Segurança de Dados em 2022.

O DSPM é uma prática que resolve as preocupações com a segurança Dados, independentemente da sua localização – ou seja, sendo na Nuvem, em ambientes de aplicações no modelo SaaS, Data Center Local, Data Center Terceirizado, e outros; na Nuvem ao automatizar atividades de detecção e proteção de Dados em um ambiente dinâmico.

Fica responsável pela conexão dos Dados, informações, aplicativos e identidades para fornecer uma visão abrangente da postura de segurança de uma empresa, permitindo que as equipes de segurança e de conformidade respondam a três perguntas fundamentais: 1) Onde estão nossos Dados? 2) Quais Dados sensíveis estão em risco devido às características de configuração, de controle de acesso, dentre outras? 3) Como podemos tomar medidas para remediar esse risco?

Da mesma forma, como no dia a dia, na prática, se dá o conceito de DSPM?
Wellington Antonio Monaco | Na prática, é um conceito que se dá em várias formas e frentes. Por exemplo, no monitoramento constante: o DSPM verifica continuamente o ambiente de dados da empresa em busca de atividades consideradas suspeitas. Outra forma: pelo gerenciamento de acesso, o controle e a garantia de que apenas pessoas autorizadas tenham permissão para visualizar ou modificar informações confidenciais. O DSPM ajuda a identificar e tratar vulnerabilidades no sistema de armazenamento de dados, essencial na mitigação das possibilidades dos hackers explorarem possíveis pontos fracos. Por fim, podemos citar a conformidade com regulamentações: empresas frequentemente precisam cumprir regulamentos de segurança de dados, como LGPD, PCI e outros. O DSPM ajuda a garantir que a empresa esteja conforme essas regras, evitando penalidades e problemas legais. Mas, mais que isso, permitindo que se obtenha visibilidade e se possa agir proativa e em vários casos, automaticamente, sobre os riscos detectados.

O conceito inclui, então, tanto diagnóstico como procedimentos? É dizer que inclui também o conjunto de ferramentas de cibersegurança adotados?
Wellington Antonio Monaco | Sim, correto. O DSPM, isto é, a Gestão da Postura de Segurança de Dados, inclui tanto o foco de atuação em diagnósticos quanto na execução de procedimentos específicos de forma que não se restringe apenas a identificar continuamente onde os dados estão e quais estão em risco, mas também fornece mecanismos para remediar esses riscos.

Isso significa que o DSPM envolve o uso de várias ferramentas de cibersegurança para proteger os Dados, considerando-se soluções de prevenção de perda de Dados, criptografia, controle de acesso, detecção de intrusão e muito mais.

Portanto, o DSPM é uma abordagem abrangente para a segurança dos Dados que inclui tanto a identificação dos riscos quanto a implementação de medidas para mitigar esses riscos. Isso ajuda as empresas a manterem seus dados seguros em um ambiente de Nuvem dinâmico.

Vale dizer, que apesar de adotarmos continuamente a visão de nuvem, o DSPM pode ser adotado também ambientes on – premisse, da mesma forma.

Em uma organização, de uma empresa, qual área deve ser a responsável pela DSPM? A de tecnologias da informação mesmo, ou a uma área que integre o topo do organograma organizacional?
Wellington Antonio Monaco | A responsabilidade por uma Gestão da Postura de Segurança de Dados geralmente recai sobre a equipe de tecnologia da informação (TI) ou de uma equipe específica de segurança da informação e segurança cibernética. No entanto, é importante notar que a segurança dos Dados é uma responsabilidade compartilhada que se estende por toda a organização.

Embora a equipe de TI possa implementar as ferramentas e processos técnicos necessários para o DSPM, a liderança executiva também desempenha um papel crucial. Eles são responsáveis por estabelecer a cultura de segurança e garantir que todos na organização entendam a importância da segurança dos Dados.

Além disso, outras partes interessadas, como o departamento jurídico, recursos humanos e operações, também podem estar envolvidas, pois a segurança dos dados pode ter implicações legais, de pessoal e operacionais.

Portanto, embora a equipe de TI possa ser a principal responsável pela implementação do DSPM, é uma iniciativa que deve ser apoiada em todos os níveis da organização.

Para profissionais e empresas que ainda veem o tema da cibersegurança como algo distante, exclusividade de entendidos em TI e/ou segurança da informação, qual a sugestão para romper essa barreira e entender que o tema pode e deve ser de interesse e atuação de todos?
Wellington Antonio Monaco | A cibersegurança é um assunto que afeta todos os aspectos de uma organização, não apenas o departamento de TI. Listo algumas sugestões para romper essa barreira:

Educação e conscientização: realizar sessões de treinamento e workshops para educar todos os funcionários sobre a importância da cibersegurança. Isso pode incluir a compreensão dos diferentes tipos de ameaças cibernéticas, como phishing e ransomware, e como se proteger contra elas.

Cultura de Segurança: cultivar uma cultura de Segurança em toda a organização. Isso significa que a Segurança não é apenas responsabilidade do departamento de TI, mas de todos.

Políticas claras: ter políticas claras e compreensíveis sobre Segurança Cibernética e garantir que todos na organização as conheçam e as sigam.

Ferramentas acessíveis: utilizar ferramentas de cibersegurança que sejam fáceis de usar e entender. Isso pode incluir software antivírus, firewalls e outras tecnologias de proteção.

Comunicação aberta: encorajar a comunicação aberta sobre questões de segurança. Se os funcionários se sentirem confortáveis para falar sobre suas preocupações, será mais fácil identificar e resolver problemas.

Dessa forma, compartilhar a responsabilidade pela cibersegurança é fundamental para garantir a proteção dos Dados e sistemas da organização. Cada membro desempenha um papel importante nesse processo.