O Dia Internacional da Proteção de Dados, celebrado em 28 de janeiro, serve como um lembrete crucial da responsabilidade coletiva em garantir que, enquanto aproveitamos os benefícios de tecnologias avançadas, como IA, IoT, Big Data, Chatbots e automação – também nos preocupamos em garantir a segurança e a privacidade de dados. E, atualmente, proteger e controlar os dados está mais complexo uma vez que eles estão distribuídos por ambientes variados, desde on premisses até nuvem privada, pública, híbrida, multicloud etc.
A celebração do Dia Internacional da Proteção de Dados ganha ainda mais relevância no contexto atual do avanço da Inteligência Artificial Generativa (GenAI). A GenAI, que utiliza vastos conjuntos de dados para criação de conteúdos, também levanta questões sobre privacidade e segurança. A segurança não só deve de se adaptar ao crescimento dos dados distribuídos, mas também se antecipar a identidades excessivamente privilegiadas e configurações complexas que podem se tornar pontos de entrada para agentes maliciosos.
Para 2025, a previsão não é otimista em relação ao volume de ataques. Pois, analisar a responsabilidade corporativa da proteção de dados, é uma missão crítica, uma vez que 74% das organizações têm ativos de armazenamento expostos publicamente, incluindo aqueles nos quais residem dados confidenciais, segundo o estudo Cloud Risk Report 2024. Essa exposição muitas vezes acontece devido a permissões desnecessárias ou excessivas, gerando também aumento de ataques de ransomware.
Para reduzir a superfície de ataque é necessário proteger os dados da maneira correta. Uma dessas formas é combater cargas de trabalho expostas publicamente, criticamente vulneráveis e altamente privilegiadas, evitando a exposição.
Listo abaixo algumas recomendações principais para a proteção de dados na nuvem:
- Trate a segurança da sua infraestrutura de nuvem como um todo. Os invasores descobriram que as integrações multicloud oferecem terreno fértil. Coloque seus vários ambientes de nuvem sob um teto de segurança, unificando o monitoramento de carga de trabalho, o gerenciamento de direitos e a postura de segurança, visando uma visibilidade abrangente. Inclua análise contextual para revelar quais ativos de nuvem contêm dados confidenciais e quem pode acessá-los.
- Não espere, corrija CVEs. Faça com que a cultura de segurança da sua organização resolva rapidamente vulnerabilidades graves. O contexto é importante ao priorizar vulnerabilidades para correção. A capacidade de analisar rapidamente quais sistemas contêm uma vulnerabilidade, quais usuários interagem com esse sistema, quais dados são armazenados lá e se são ou não acessíveis publicamente, permitirá que você priorize as vulnerabilidades que representam o maior risco para sua organização.
- Não subestime o risco de permissões. Analise todas as identidades dinamicamente, permitindo que as equipes identifiquem o risco de acesso e resolvam com confiança as permissões excessivas. Aplique os princípios de privilégio mínimo, inclusive por meio de controles de acesso just-in-time que economizam tempo e tornam os desenvolvedores parceiros de segurança.
- Esteja ciente dos ativos e configurações voltados ao público externo. A exposição externa é uma faca de dois gumes — necessária para fazer negócios e uma fonte potencial de exposição. Controle e monitore os ativos configurados como 'públicos'.
Portanto, no Dia Internacional da Proteção de Dados, vale reforçar o quanto é essencial a segurança das informações armazenadas na nuvem e empresas e indivíduos devem adotar práticas robustas de segurança a fim de garantir a integridade e a confidencialidade dos dados. Somente firmando um compromisso contínuo com a proteção de dados podemos construir um ambiente digital seguro.
Alejandro Dutto, diretor de Engenharia de Segurança da Tenable para América Latina e Caribe.
