Chat with us, powered by LiveChat

O calcanhar de Aquiles da proteção de dados

Health Share of Oregon, a maior organização de assistência coordenada do Medicaid do estado, expôs informações de identificação pessoal (PII) de 654.362 de seus membros, incluindo nomes, endereços, números de telefone, datas de nascimento, números do Seguro Social e números de identificação do Medicaid. A violação não ocorreu na própria Health Share of Oregon, no entanto. O escritório de um de seus fornecedores, GridWords IC, uma empresa de transporte médico, foi assaltado e um laptop com esses dados foi roubado.

Quando se trata de proteção de dados, os fornecedores terceirizados de uma empresa costumam ser o seu calcanhar de Aquiles. Uma empresa pode reforçar sua própria postura de segurança com a mais recente e melhor tecnologia, mas ainda precisa fornecer acesso e compartilhar informações com seus fornecedores, e com os fornecedores de seus fornecedores, e assim por diante, em toda a cadeia. A cada grau de separação, a empresa tem menos controle sobre a segurança de seus fornecedores - especialmente pequenos fornecedores com programas de segurança modestos. Mas quando há uma violação de dados, não importa o quão longe na cadeia de abastecimento, a empresa (Health Share of Oregon, neste caso) ainda é responsável.

“Nenhuma informação de identificação pessoal (PII) está segura. As empresas não podem contar com a integridade das capacidades de segurança de seus fornecedores e parceiros ”, afirma CSO Online. Espere que mais empresas exijam auditorias de segurança de seus parceiros, fornecedores e prestadores de serviços. As violações de terceiros estão se tornando mais comuns e mostra que a segurança de qualquer organização é tão boa quanto sua rede estendida.

Violações de fornecedores terceirizados em ascensão

Em uma das maiores violações de dados da história, os hackers roubaram 40 milhões de cartões de crédito da Target. Os hackers conseguiram acessar esses dados por meio de seu fornecedor terceirizado de HVAC. Ninguém se lembra do nome da empresa HVAC, mas todos se lembram da Target. A violação custou à Target mais de US $ 200 milhões, além de danos contínuos à reputação até hoje.

Hoje, violações de dados de alto perfil são uma ocorrência quase diária e, se você ler os detalhes, muitas vezes a causa raiz é uma violação de terceiros. Uma pesquisa recente descobriu que quase 60% das empresas em 2018 foram vítimas de violações de dados de terceiros, um aumento notável em relação ao ano anterior. Os maiores sucessos incluem:

• Quest Diagnostics

• LabCorp

• DoorDash

• Walmart

• Verizon

• Scottrade Bank

• banco italiano UniCredit

• O Comitê Nacional Republicano

• Deloitte

• Accenture

Os dois últimos exemplos, Deloitte e Accenture, destacam que, embora a tinta fraca possa ser seu fornecedor de HVAC familiar, os grandes fornecedores também são um risco. A Deloitte e a Accenture são amplamente consideradas como especialistas em proteção de dados e ambas são bem pagas para aconselhar sobre segurança. As violações flagrantes que sofreram foram o auge da vergonha na segurança de terceiros.

Nenhuma boa solução?

Os CIOs concordam que as violações de segurança do fornecedor são um dos maiores problemas na proteção de dados hoje; no entanto, até o momento, isso parece ser um problema sem uma solução inadequada.

Termos contratuais, auditoria e conformidade

Como primeira linha de defesa, as empresas exigem termos contratuais mais rígidos com os fornecedores, em termos da segurança que exigem de seus fornecedores e das consequências jurídicas e financeiras de uma violação. Essa transição está ocorrendo em um ritmo glacial. As grandes empresas já têm milhares de fornecedores e não estão em posição de renegociar facilmente os termos contratuais com todos eles. Na melhor das hipóteses, os termos contratuais aprimorados podem fornecer alguma compensação financeira e legal, embora mesmo isso seja altamente dependente do tamanho do fornecedor e da jurisdição na qual eles seriam responsabilizados. Em última análise, a responsabilidade de uma violação ainda é da própria empresa, especialmente incluindo o dano duradouro à reputação (o público se lembra da sua marca, ninguém se lembra do fornecedor).

Contratos e boa vontade não são suficientes. Além disso, só porque um fornecedor está de acordo e está disposto, isso não significa que suas medidas de proteção de dados sejam adequadas. As empresas estão gastando mais do que nunca para auditar seus parceiros, fornecedores e prestadores de serviços, mas isso é extremamente caro, e a grande ironia é que as auditorias hoje assumem que medidas de segurança antiquadas estão em vigor, como criptografia de disco e DLP, que estão longe de ser uma garantir que uma violação de dados não ocorreria.

Para agilizar a certificação e auditoria de fornecedores, surgiram registros de terceiros que auditam e certificam fornecedores para você. Um exemplo é a Vendorpedia, que certifica que fornecedores terceirizados estão em conformidade com padrões como GDPR, NIST e ITAR. A ideia é que, como empresa, você não teria que auditar todos os seus fornecedores, mas simplesmente exigir que qualquer fornecedor mostre prova de certificação e auditoria de um desses registros. Mas existem muitos problemas aqui. Um registro de terceiros só é útil se atingir uma massa crítica de fornecedores, o que levará muito tempo e pode nunca acontecer. E mesmo assim, na melhor das hipóteses, os fornecedores estão atestando um certo nível de conformidade; no entanto, como qualquer analista de segurança júnior pode lhe dizer, conformidade não significa seguro.

Opções de Tecnologia

Em termos de tecnologia, algumas empresas enviam laptops protegidos a seus terceiros e exigem que os terceiros trabalhem apenas nesses laptops. Outros exigem que seus fornecedores trabalhem em um espaço virtual usando VDI. Essas soluções são onerosas, diminuem a produtividade e simplesmente não se adaptam a milhares de fornecedores.

O gerenciamento de direitos digitais (DRM) ressurgiu recentemente porque oferece uma tese atraente - proteja seus e-mails e arquivos confidenciais e onde quer que eles vão. Mesmo se eles caírem nas mãos erradas, eles ainda estão protegidos. A noção não está errada. Em vez de implementar níveis infinitos de auditoria, conformidade e segurança de perímetro, é razoável supor que os dados irão para as mãos de seus parceiros e, eventualmente, para as mãos erradas, e que a solução é a proteção que segue os dados onde quer que eles viajem. Infelizmente, o DRM continua sendo, na melhor das hipóteses, uma ideia teórica, assim como era há 20 anos. Na prática, o DRM sofre de problemas significativos de experiência do usuário, pois os usuários são obrigados a classificar seus dados e o acesso é limitado a certos tipos de arquivos, aplicativos especiais, plug-ins, mecanismos de autenticação, controles de acesso, etc. Gerenciar isso em escala é difícil de manejar , e quase impossível quando os dados começam a fluir para as mãos dos fornecedores que possuem sistemas operacionais, aplicativos, versões e plug-ins diferentes. Após 20 anos de DRM, existem muito poucas histórias de sucesso.

Se ao menos houvesse uma maneira de proteger seus dados onde quer que eles fossem, mas com uma experiência de usuário invisível que não diminui a produtividade?

DASB: proteção que segue seus dados, com uma experiência de usuário transparente

O Data Access Security Broker (DASB) é uma solução de proteção de dados ilimitada, oferecendo proteção de dados transparente e persistente. O DASB move as políticas de controle de acesso do sistema de armazenamento de dados para os próprios dados - de centrado no dispositivo para centrado nos dados. Os dados são protegidos automaticamente por padrão e essa proteção segue os dados e todas as ações que os afetam, mesmo quando eles vão para as mãos de um fornecedor.

Seja dentro de sua empresa ou no site de um parceiro, fornecedor ou cliente, um usuário só pode acessar os dados se tiver os privilégios apropriados de acordo com a política de segurança. Um administrador pode revogar o acesso aos dados e alterar as permissões a qualquer momento. Dados maliciosos ou compartilhados acidentalmente não podem ser acessados por partes não aprovadas.

No caso da Health Share of Oregon, seu fornecedor GridWorks IC não teria acesso às PII de seus membros, a menos que a Health Share of Oregon tivesse autorizado isso em sua política. Assim que soubesse que o laptop com essas informações foi roubado, um administrador teria cortado remotamente o acesso a todos os dados protegidos, e o agente malicioso teria acesso apenas a blobs criptografados, nada mais. O Health Share of Oregon também teria uma trilha de auditoria de cada tentativa de acesso aos dados, mesmo os dados roubados e protegidos que agora estavam nas mãos do ator malicioso, dando a eles uma visão mais detalhada do incidente.

Mas, ao contrário da tecnologia DRM, o DASB é completamente invisível para o usuário final, tornando-o rápido de implementar e fácil de escalar. O DASB não impõe limites aos aplicativos, versões, tipos de arquivo, tamanhos de arquivo, repositórios, ferramentas de desenvolvedor, fluxos de trabalho ou qualquer outra coisa no ambiente, não importa o quão complexo ou específico da empresa seja. Os usuários nem percebem que está lá.

DASB protege sua empresa e sua cadeia de suprimentos

As empresas que dependem de terceiros e fornecedores estão expostas a um nível maior de risco de violação de dados. Infelizmente, todas as empresas modernas hoje se enquadram nessa descrição, e a tendência só está aumentando. A empresa moderna está altamente interconectada com uma miríade de fornecedores, e não importa o quão fortemente você fortaleça sua própria postura de segurança, seu calcanhar de Aquiles sempre será aqueles terceiros com quem você compartilha informações.

O DASB elimina esse risco. Quer você seja uma empresa de mídia como a HBO, que colabora com centenas de fornecedores grandes e pequenos durante a produção de uma série, quer você seja uma empresa de serviços financeiros, aproveita os serviços de terceiros da Deloitte e da Accenture do mundo, um gigante do comércio como o Target que precisa de HVAC, ou um provedor de saúde como o Health Share of Oregon, o DASB protege os dados de forma persistente por padrão para que você permaneça no controle, mesmo quando as informações chegam às mãos dos fornecedores. Mesmo quando isso inevitavelmente flui para as mãos erradas. O DASB cobre você e toda a sua cadeia de suprimentos, ao mesmo tempo em que oferece uma experiência totalmente transparente.

O calcanhar de Aquiles da proteção de dados