O que são dados sombra e como pode minimizar os danos?
Não pode ter a certeza de que os dados da sua organização estão escondidos de olhares curiosos, mesmo depois de implementar as mais recentes soluções de segurança de dados. Os agentes de ameaças podem visar os dados sombra na sua empresa para provocar violações de dados, causando estragos na reputação e nas finanças da sua empresa.
Os dados sombra referem-se a informações que existem fora dos sistemas formais de gestão de dados de uma organização, mas que ainda podem ser utilizadas ou utilizadas para efeitos de tomada de decisões. São frequentemente provenientes de várias fontes, como dispositivos de funcionários, aplicações de terceiros e serviços na nuvem. Para mitigar os riscos associados aos dados sombra, as organizações devem implementar uma estratégia abrangente de gestão de dados que inclua políticas e procedimentos para gerir informações sensíveis, monitorizar padrões de utilização e garantir a conformidade com os regulamentos relevantes. Além disso, a formação dos funcionários sobre as melhores práticas para lidar com a segurança dos dados pode ajudar a reduzir a probabilidade de exposição acidental ou utilização incorrecta intencional de dados sombra.
O que são dados sombra?
Os dados sombra, também designados por “dados sombra”, englobam informações que permanecem ocultas da estrutura de governação de dados abrangente de um indivíduo ou de uma organização.
As organizações empregam uma série de medidas de segurança de dados para identificar, categorizar e salvaguardar informações sensíveis. No entanto, os dados sombra - que estão fora do alcance dos sistemas tradicionais de monitorização e registo - apresentam desafios significativos de conformidade e segurança devido à sua natureza não monitorizada.
Exemplos de dados sombra incluem:
A utilização de informações autênticas do cliente em contextos de desenvolvimento é uma prática comum, embora apresente riscos inerentes devido ao potencial de violações e utilização não intencional.
Uma empresa pode possuir software desatualizado que já não utiliza, o qual pode conter informações cruciais e estar sujeito a potenciais vulnerabilidades de segurança devido à sua falta de manutenção.
A geração de registos de aplicações pode resultar na criação de registos contendo dados confidenciais, que podem potencialmente levar a um compromisso se não forem ativamente monitorizados e geridos.
Não é invulgar as empresas delegarem várias responsabilidades a prestadores de serviços externos, mas fazê-lo pode implicar alguns riscos se essas entidades não dispuserem de protocolos de segurança robustos.
Vamos aprofundar um discurso relativo às disparidades que existem entre dados sombra e TI sombra.
Em que é que os dados sombra são diferentes da TI sombra?
A TI sombra, que engloba o hardware e o software não aprovados utilizados pelas organizações, pode manifestar-se de várias formas, tais como funcionários que utilizam aplicações de comunicação proibidas ou equipas de projeto que utilizam software externo fora do alcance do conhecimento do departamento de Tecnologias de Informação (TI).
Embora os dados sombra se refiram a informações que permanecem ocultas das medidas de segurança de dados e dos protocolos operacionais de uma organização, englobam todas as formas de material sensível que estão fora do alcance de tais salvaguardas e políticas.
Dado que o departamento de TI da sua organização permanece alheio à existência de TI Sombra, quaisquer dados processados utilizando fontes de hardware e software não aprovadas podem permanecer não detectados pelas medidas de cibersegurança da sua instituição. Consequentemente, qualquer informação sensível transmitida ou armazenada neste domínio ilícito existirá como “dados sombra”, fora do alcance das estratégias convencionais de proteção de dados.
De facto, qualquer informação relacionada com o trabalho armazenada pelos funcionários nas suas plataformas pessoais na nuvem constitui dados sombra num contexto empresarial.
Embora tanto a TI sombra como os dados sombra apresentem riscos distintos, os respectivos perigos diferem em termos de carácter. A utilização de TI sombra pode resultar em fragilidades de segurança não resolvidas na infraestrutura de rede de uma organização, bem como no incumprimento de políticas e regulamentos estabelecidos. Por outro lado, o manuseamento de dados sombra representa um risco acrescido de acesso não autorizado a registos confidenciais e informações sensíveis.
A TI sombra e os dados sombra representam coletivamente uma potencial ameaça à segurança, uma vez que constituem o meio e o alvo, respetivamente.
Em que é que os dados sombra são diferentes dos dados obscuros?
Os dados obscuros referem-se a informações recolhidas por uma organização no decurso das suas operações regulares, mas que não são utilizadas para outros fins. Muitas vezes, este tipo de dados é retido devido a requisitos de conformidade e pode existir em vários departamentos da empresa. Existe a possibilidade de estes dados representarem uma ameaça para a cibersegurança da empresa se não forem geridos corretamente.
Os dados obscuros abrangem uma variedade de fontes de informação não utilizadas, tais como registos históricos de funcionários, materiais de apresentação desactualizados, inquéritos de feedback de clientes obsoletos e e-mails arquivados.
Os dados obscuros referem-se a informações geradas pela própria infraestrutura de TI de uma empresa no decurso das suas operações comerciais normais, mas que não são utilizadas para qualquer outro fim e podem tornar-se obsoletas, supérfluas ou deixar de ser consideradas valiosas com o tempo.Isto contrasta com os dados sombra, que englobam todos os tipos de dados não estruturados e semi-estruturados fora dos sistemas e bases de dados formais de uma organização, criados em resultado do comportamento e das interacções dos funcionários em várias plataformas digitais, como as redes sociais, as aplicações de mensagens, os serviços de armazenamento na nuvem, etc., e que são frequentemente recolhidos sem o consentimento explícito dos indivíduos.
Em contrapartida, existem dois métodos para criar dados sombra:
Induzido intencionalmente para além dos limites da estrutura de tecnologia da informação autorizada de uma organização, muitas vezes referido como “TI sombra”, é um fenómeno que surge de várias motivações e necessidades dentro da empresa ou do ambiente de trabalho.
⭐Causado, sem saber, pela partilha excessiva da sua empresa.
O conceito de “dados obscuros” pode englobar certas instâncias de “dados sombra”, que se referem a informações que existem nos sistemas de uma organização, mas que não podem ser facilmente acedidas ou analisadas devido a limitações técnicas ou outros factores. Neste sentido, quaisquer dados que se enquadrem em qualquer uma das categorias podem ser potencialmente considerados como parte da definição mais alargada de dados obscuros.
Como é que os dados obscuros ocorrem?
Os dados obscuros surgem devido a vários factores cruciais.
Em primeiro lugar, é concebível que o seu pessoal DevOps, na pressa de acelerar as operações, possa ignorar medidas de segurança essenciais. Esse esquecimento pode dar origem a ameaças latentes provenientes de dados “sombra”. No decurso do rápido aprovisionamento e desmantelamento de recursos baseados na nuvem, existe a possibilidade de activos de informação não detectados serem inadvertidamente deixados para trás, escapando à atenção das unidades de TI e de proteção de dados.
Além disso, a proliferação do teletrabalho deu lugar a uma maior dependência de soluções de software de nicho destinadas a facilitar a comunicação e a colaboração em tempo real, dando assim origem inadvertidamente ao fenómeno dos “dados sombra”. Este fenómeno ocorre quando o pessoal utiliza aplicações não autorizadas de terceiros que não estão sob a alçada da gestão de TI, levando a uma acumulação sub-reptícia de informações sensíveis.
Para além disso, a utilização de recursos tecnológicos não aprovados pelo pessoal dá origem ao que se designa por TI sombra. A utilização de tais ferramentas para armazenar ou partilhar informações resulta na criação de dados sombra, que existem para além dos limites dos sistemas autorizados e da supervisão de uma empresa.
Gerir uma empresa que opera em várias nuvens representa um desafio quando se trata de monitorizar os dados de forma eficiente e identificar a acumulação de dados sombra.
Por último, é possível que os seus funcionários armazenem informações confidenciais nos seus dispositivos pessoais ou em serviços de armazenamento na nuvem, como o Google Drive ou o OneDrive, sem a devida autorização, contornando assim os protocolos de gestão de dados da sua organização.
Como minimizar os riscos dos dados sombra
A prevalência dos dados sombra é, até certo ponto, inevitável, uma vez que resulta frequentemente das actividades diárias de uma empresa.
No entanto, a implementação de determinadas medidas pode atenuar as potenciais ameaças que os dados sombra representam para uma empresa.
Detetar e proteger os seus dados
É imperativo que os seus departamentos de segurança e conformidade examinem minuciosamente todas as instalações de armazenamento de dados, incluindo lagos de dados, sistemas baseados na nuvem e plataformas de Software como Serviço (SaaS), para identificar quaisquer activos que contenham informações sensíveis.
Para implementar eficazmente medidas de segurança adequadas para os dados da sua organização, é essencial começar por identificar e categorizar todas as informações relevantes armazenadas em vários repositórios. Este processo não se deve limitar aos dados estruturados, mas deve também incluir fontes de dados semi-estruturados e não estruturados.
Idealmente, recomenda-se a utilização de um utilitário que consolide todas as fontes de dados de uma organização numa plataforma unificada, ao mesmo tempo que concede acesso a um painel de controlo abrangente. Esta solução permite a rápida identificação de tendências ou padrões aberrantes nos dados.
Ao implementar restrições nas permissões e no acesso aos dados, as organizações podem impedir que partes não autorizadas tenham acesso a informações confidenciais. Os mecanismos de controlo de acesso permitem a divulgação selectiva de dados sensíveis, concedendo permissões a pessoal específico que as necessite para fins legítimos. Esta medida protege contra a utilização incorrecta de informações sensíveis e mantém a privacidade dos dados.
Gerir a ocorrência e a acumulação de TI sombra
Uma gestão eficaz das TI sombra pode atenuar os potenciais perigos colocados pelos dados sombra. Ao manter a supervisão do software e das plataformas utilizadas, torna-se mais viável proteger as informações aí armazenadas.
Assegurar que o nosso pessoal tem acesso a recursos adequados para desempenhar eficazmente as suas funções, simplificar o processo de avaliação e autorização para integrar novas soluções tecnológicas e sensibilizar o nosso pessoal para os potenciais perigos associados a aplicações de software não autorizadas pode contribuir para uma gestão eficaz das TI sombra na nossa organização.
Assim, é possível regular a quantidade de dados sombra produzidos numa organização em consequência de práticas de TI sombra.
Implementar políticas de segurança em primeiro lugar
A integração de medidas robustas de cibersegurança no ciclo de vida de desenvolvimento de software (SDLC) deve ser uma prioridade para qualquer organização, com as equipas de conformidade e segurança a manterem uma supervisão abrangente das actividades DevOps e do tratamento de informações sensíveis por parte dos programadores.
A implementação de directrizes de segurança e regulamentares adequadas no início do ciclo de vida de desenvolvimento de software (SDLC) pode reduzir eficazmente a geração de dados sombra resultantes das práticas de DevOps e das actividades dos programadores.
Além disso, recomenda-se vivamente o estabelecimento de directrizes abrangentes para o apagamento sistemático de quaisquer sombras residuais na base de dados, de forma consistente.
Formar os seus funcionários
Para atenuar as potenciais ameaças associadas aos dados sombra, é crucial que as organizações dêem prioridade à sua abordagem no sentido de desenvolver programas robustos de formação em cibersegurança que se concentrem na sensibilização dos funcionários para os perigos do armazenamento de dados não seguro e para as medidas necessárias para evitar a sua criação.
Além disso, é essencial evitar tratar a cibersegurança como um evento único na sua organização. Em vez disso, considere a implementação de sessões de formação frequentes e mais pequenas, dispersas ao longo do ano, centradas no reconhecimento de dados sombra, na proteção segura das informações armazenadas e na preservação de activos de dados críticos contra potenciais ameaças.
Os dados sombra são um grande risco para a segurança
É imperativo mitigar os potenciais perigos colocados pelos dados não regulamentados para garantir a segurança das informações confidenciais. As informações que estão fora do alcance de uma empresa podem ser susceptíveis de intrusão não autorizada, ataques informáticos e divulgações. Tais ocorrências podem resultar em implicações legais, danos à reputação e erosão da confiança do consumidor.
A gestão dos dados sombra é da maior importância para garantir uma cibersegurança abrangente.