Mauro Capellão, diretor de canais da empresa SailPoint, entrevistou Douglas Barbosa, gerente de desenvolvimento de negócios da Sec4You. Em uma conversa rica em informações, é possível aprender sobre classificação e governança de dados não estruturados.
Gerenciamento de dados não estruturados
Douglas Barbosa começou resgatando o conceito de dados estruturados: “São arquivos ou informações que você tem espalhados na sua rede, nos seus servidores, nos seus componentes corporativos e que você não controla adequadamente a segurança”.
O que se aprende logo no início do discurso de Barbosa é que a maioria das empresas (cerca de 56%) ainda não tem um plano para controlar os acessos, enquanto a minoria restante, que já deu cabo a alguma iniciativa, não tem governança. “Elas possuem iniciativas de DLP, que são muito mais voltadas à questão de vazamento e fuga de informação”.
A governança tem como papel trazer compreensão aos acessos concedidos para os arquivos espalhados na estrutura de rede, sendo que 80% deles não estão seguros. Barbosa ainda complementou respondendo como se deve gerir dados não estruturados: “Você precisa descobrir onde estão esses dados, trabalhando no descobrimento. Em um segundo momento, você vai precisar entender que isso vai gerar uma demanda que depois vai tirar demanda da área de TI. (…) Em um terceiro momento, você ainda precisa trabalhar a adequação ao compliance. (…) Agora você precisa mitigar os riscos”.
File Access Manager (FAM)
Douglas Barbosa apresentou uma solução oferecida pela SailPoint, chamada File Access Manager (FAM), que trata o que ele chama de “ponto cego” da governança de acessos: os dados não estruturados. Adicionalmente, Barbosa listou os principais problemas associados ao tema. São eles:
- com a urgência no permissionamento da força de trabalho (funcionários passaram a trabalhar remotamente devido à pandemia), as empresas precisaram se adequar rapidamente e deixaram a segurança de lado;
- houve um aumento significativo no volume de provisionamento de acessos sem que houvesse uma política determinando o caminho a ser seguido;
- o respeito à LGPD precisou ser revisitado, uma vez que arquivos classificados como de alto risco deixaram dados sensíveis com o acesso exposto;
- o alto volume de provisionamento, justificado pelos acessos concedidos de forma veloz à força remota, potencialmente espalhou arquivos na rede por meio do compartilhamento.
Para solucionar essas dores, Barbosa afirmou: “O File Access Manager vem justamente para trabalhar isso, porque você consegue conectar vários recursos a ele e ele faz a varredura para você. (…) Quando conectado aos endpoints, ele faz uma descoberta de todos os arquivos que você tem no dispositivo (OneDrive, Google Drive, Dropbox, SharePoint, pastas de rede, nuvem em geral). Ele consegue validar e classificar esses arquivos. (…) E aí você pode dizer onde você está correndo risco”.
O que se aprende é que, graças ao FAM, pode-se desenvolver um conjunto de monitoramento ativo – a partir das informações extraídas da solução, consegue-se trabalhar de maneira cíclica com todos os dados, arquivos e dispositivos que surgem na rede descontroladamente. É com isso que se faz a análise do permissionamento.
Douglas Barbosa trouxe mais benefícios entregues pelo File Access Manager: “Ele também consegue se conectar a diversos tipos de Linux, como RedHat, Ubuntu e CentOS. É muito importante isso, porque às vezes é ali que reside uma aplicação com estrutura frágil de dados e quem tem acesso a isso também tem acesso a dados sensíveis”.
Os recursos de interface do File Access Manager se mostram bastante simplificados: “Um usuário consegue com um pequeno conhecimento técnico consegue entender. Ele consegue operar facilmente a ferramenta”, garantiu Barbosa. Em seu discurso, ele também fala sobre o FAM ser uma solução stand alone, ou seja, você não precisa conectar outras soluções ao File Access Manager para fazer a governança de dados não estruturados.
Passando para o tópico de integração com IDM, o File Access Manager entrega controle de acesso baseado em função. Douglas Barbosa esclareceu: ” A partir do momento que você tem os perfis carregados no FAM, você consegue identificar se esses usuários deveriam ter acesso ou não. E isso te dá uma visão da governança dos seus acessos. (…) Você pode fazer o controle do seu permissionamento de acessos não estruturados”.
Ao finalizar a entrevista, Mauro Capellão revisitou alguns dos benefícios que são entregues pela solução:
- visibilidade e controle de dados não estruturados
- conhecimento do tipo de informações sensíveis que os dados contêm
- conexão com o tema LGPD
- garantia de poder atribuído às figuras corretas