article

O que é segurança de dados

A segurança de dados compreende aspráticas utilizadas para proteger informações digitais ao longo de seu ciclo de vida contra qualquer acesso não autorizado (por exemplo, cibercriminosos, infiltrados mal-intencionados, erro humano) que possa resultar em roubo, exposição, corrupção ou exclusão. Uma série de processos e tecnologias empresariais, organizacionais e de TI são fundamentais para a proteção dos dados, incluindo o acesso a todos os tipos de hardware e software, bem como às estruturas físicas que os abrigam.

Um modelo e estrutura comuns que constituem a base da segurança de dados é a tríade de Confidencialidade, Integridade e Disponibilidade (CIA, Confidentiality, Integrity, and Availability). Cada componente exerce um papel:

  • Confidencialidade: Medidas de segurança implementadas para garantir que apenas usuários autorizados, e com as devidas credenciais, acessem as informações.
  • Integridade: Sistemas de segurança de dados são implementados para garantir que as informações permaneçam confiáveis, precisas e protegidas contra alterações indesejadas.
  • Disponibilidade: Verificações de segurança são implementadas para garantir que os dados estejam prontamente acessíveis e disponíveis para as necessidades contínuas de usuários autorizados.

Além dos riscos relacionados a malwares e ameaças persistentes avançadas (APTs, Advanced Persistent Threats), a segurança de dados visa mitigar ameaças humanas, como:

  • Cair em táticas de engenharia social: A engenharia social é um dos vetores de ameaças à segurança cibernética mais eficazes, pois explora um dos elos mais fracos da segurança de dados de uma organização: as pessoas. Esses ataques causam violações de segurança ao manipular usuários autorizados para que compartilhem informações confidenciais, como credenciais ou informações de identificação pessoal (PII, Personally Identifiable Information).
  • Erro humano: Em geral, vazamentos de dados estão associados a cibercriminosos ou infiltrados mal-intencionados, mas erros humanos simples costumam ser a causa da exposição de dados ou informações confidenciais, que decorrem do compartilhamento acidental, da concessão de acesso, do extravio ou do manuseio incorreto de informações confidenciais.
  • Infiltrados mal-intencionados: Podem fazer parte dessas ameaças internas funcionários, contratados, fornecedores ou parceiros que ameaçam intencionalmente a segurança dos dados. Infiltrados mal-intencionados usam o conhecimento que possuem de uma organização para neutralizar medidas de segurança de dados e roubar, vazar, danificar ou destruir informações confidenciais.

Além de proteger as informações contra cibercriminosos, a segurança de dados oferece outros benefícios:

  • Ajuda as organizações a manter uma boa reputação junto a clientes, parceiros e funcionários, dando garantias de que estão tomando medidas para manter as informações confidenciais seguras.
  • Proporciona uma vantagem sobre a concorrência, diferenciando a empresa de outras que sofreram vazamentos de dados.
  • Garante que as informações estejam disponíveis para sistemas e usuários autorizados.

Por que a segurança de dados é importante

A importância da segurança de dados tem crescido de modo significativo com o aumento do trabalho remoto, serviços na nuvem e dispositivos de Internet das Coisas (IoT, Internet of Things). Essas tendências expandiram exponencialmente as superfícies de ataque, proporcionando oportunidades de acesso não autorizado em números sem precedentes.

Essa tendência continua aumentando a demanda por segurança de dados, à medida que as organizações empenham-se para proteger informações confidenciais. Três dos principais motivos mais citados para a importância da proteção dos dados estão relacionados aos requisitos de conformidade, valor e patrimônio da marca, e informações proprietárias.

1. Requisitos de conformidade da segurança de dados

Organizações públicas e privadas estão sujeitas a uma ampla gama de padrões e regulamentações, inclusive a requisitos rigorosos de segurança de dados.

São regulamentações específicas do setor:

  • Combate à lavagem de dinheiro (AML, Anti-Money Laundering);
  • Diligência prévia do cliente (CDD, Customer Due Diligence);
  • Lei de Direitos Educacionais e Privacidade da Família (FERPA, Family Educational Rights and Privacy Act);
  • Lei Federal de Gestão da Segurança da Informação (FISMA, Federal Information Security Management Act) de 2002;
  • Lei Gramm-Leach-Bliley (GLBA, Gramm-Leach-Bliley Act );
  • Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, Health Insurance Portability and Accountability Act);
  • Conheça seu cliente (KYC, Know Your Client);
  • Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS, Payment Card Industry Data Security Standard);
  • Lei Sarbanes-Oxley (SOX, Sarbanes-Oxley Act);
  • São regulamentações que abrangem todas as organizações em uma área geográfica:
  • Lei de Privacidade do Consumidor da Califórnia (CCPA, California Consumer Privacy Act);
  • Lei de Proteção à Internet para Crianças (CIPA, Children’s Internet Protection Act);
  • Lei de Proteção à Privacidade Online Infantil (COPPA, Children’s Online Privacy Protection Act);
  • Regulamento Geral de Proteção de Dados (RGPD) da União Europeia;
  • Proteção de informações pessoais e documentos eletrônicos (PIPEDA, Personal Information Protection and Electronic Documents).

Um vazamento de dados também poderá gerar prejuízos financeiros significativos, como multas, se os protocolos de segurança de dados ditados pelos requisitos de conformidade não forem seguidos, além de honorários advocatícios relacionados ao tratamento de reivindicações de indenização por perdas e danos, caso dados confidenciais precisem ser recuperados.

2. Segurança de dados para evitar danos ao valor e ao patrimônio da marca

A segurança de dados também é fundamental para lidar com o risco reputacional associado a um vazamento de dados, que pode acarretar a perda da confiança dos clientes e a consequente perda de participação de mercado para a concorrência.

O custo de uma marca danificada não pode ser subestimado: um vazamento de dados de grande conhecimento do público pode destruir anos, até décadas, de valor e patrimônio da marca que não podem ser recuperados a qualquer preço. Aliás, isso é citado como o principal impacto de um vazamento de dados, o que reforça a extrema importância da segurança de dados.

3. Segurança de dados para proteger informações proprietárias

Em sua essência, a segurança de dados visa proteger os ativos e os sistemas digitais de uma organização, como a propriedade intelectual, redes, servidores e infraestrutura crítica. Além do roubo financeiro, os cibercriminosos frequentemente visam organizações para a prática de roubo de segredos comerciais e informações valiosas de clientes.

Outros ataques concentram-se em interrupções ao atingir a infraestrutura de TI, que paralisa as operações e a infraestrutura crítica, podendo desestruturar serviços essenciais, como o fornecimento de energia elétrica ou água. A segurança de dados fornece as proteções necessárias à defesa contra esses ataques.

Tipos de segurança de dados

Os cinco tipos mais comuns de segurança de dados usados para proteger informações, dispositivos, redes, sistemas e usuários são: criptografia de dados, apagamento de dados, mascaramento de dados, resiliência de dados e tokenização. Dependendo do caso de uso, os tipos são usados​ separadamente e combinados.

1. Criptografia de dados: A criptografia de dados usa um algoritmo para transformar textos que podem ser lidos por pessoas em uma sequência de caracteres. Esses dados criptografados só podem ser decodificados de volta à forma de texto simples por um usuário autorizado com uma chave de descriptografia única. A criptografia é uma ferramenta eficaz de segurança de dados amplamente utilizada para proteger dados em repouso e em trânsito.

2. Apagamento de dados: O apagamento de dados é uma maneira mais segura de remover permanentemente dados de um sistema do que a limpeza de dados. O apagamento de dados é fundamental para a segurança de dados, garantindo que qualquer informação deixada em um dispositivo seja completamente substituída e confirmada como sendo irrecuperável.

3. Mascaramento de dados: O mascaramento de dados permite que as organizações apresentem conteúdo legível aos usuários, ao mesmo tempo em que ocultam informações confidenciais usando texto de substituição. Isso ocorre “mascarando” ou ocultando informações importantes por meio da troca do texto legível por caracteres proxy. O conteúdo é revertido à sua forma original quando usuários autorizados o acessam.

4. Resiliência de dados: A resiliência de dados é fundamental para a segurança dos dados, pois ela garante a disponibilidade deles. Empregar sistemas e processos de resiliência de dados, como backups de dados, minimiza a interrupção em caso de destruição acidental ou perda de dados em caso de ataque cibernético (por exemplo, ransomware) ou de desastre cibernético.

5. Tokenização: Assim como a criptografia de dados, a tokenização substitui o texto simples por uma sequência de caracteres. A tokenização substitui o texto simples por uma versão ilegível dos mesmos dados, chamada de token.

Essa sequência de caracteres representa os dados originais, armazenados em um cofre de tokens seguro. É uma solução de segurança de dados capaz de proteger informações confidenciais, como informações de identificação pessoal (PII, Personally Identifiable Information) ou informações de saúde protegidas (PHI, Protected Health Information).

Ferramentas e soluções de segurança de dados

São ferramentas e soluções de segurança de dados comumente utilizadas:

  • Gerenciamento e controles de acesso;
  • Autenticação, como biometria,logon único (SSO, Single Sign-On), e autenticação multifator (MFA, Multi-Factor Authentication);
  • Monitoramento de atividades de dados e arquivos;
  • Descoberta e classificação de dados;
  • Prevenção contra perda de dados (DLP, Data Loss Prevention);
  • Segurança de e-mail;
  • Gerenciamento de identidade e acesso (IAM, Identity and Access Management);
  • Proteção, monitoramento e controles de rede e endpoints;
  • Sistemas e monitoramento de dados em tempo real;
  • Avaliação de vulnerabilidades e análise de riscos.

Estratégias de segurança de dados

Uma estratégia abrangente de segurança de dados combina ferramentas e soluções com processos focados em pessoas. A seguir, algumas das estratégias importantes que devem ser empregadas com ferramentas e soluções.

  • Aplicar patches e manter softwares atualizados.
  • Criar políticas que garantam o estado de prontidão em caso de ataque cibernético.
  • Não se esquecer da segurança dos dados móveis.
  • Treinar os funcionários sobre a importância da proteção dos dados.
  • Empregar as seguintes estratégias de gerenciamento de dados:
  • Garantir a segurança física dos servidores e dispositivos dos usuários, da seguinte forma:
  • Saber onde os dados residem.
  • Particionar arquivos confidenciais.
  • Restringir atividades de alto risco.
  • Testar processos e sistemas.
  • Rastrear o acesso dos usuários.
  • Usar permissões baseadas em comportamento.
  • Realizar auditoria de dados.
  • Minimização de dados.
  • Avaliação de risco de dados.
  • Eliminar dados e aplicativos obsoletos.
  • Contratar pessoal de segurança.
  • Implementar controle de acesso usando crachás ou biometria.
  • Manter armários de arquivamento trancados.
  • Trancar portas de escritório.
  • Destruir registros em papel.
  • Usar câmeras de vigilância.

As práticas recomendadas para proteção de dados também sugerem a implementação de segurança administrativa e operacional.

  • A segurança administrativa aborda riscos que se originam fora de uma organização com medidas como:
  • A segurança operacional envolve a proteção de informações contra vulnerabilidades de origem interna com táticas como:
  • A realização de avaliações de risco de terceiros.
  • O desenvolvimento de políticas de privacidade, resposta a incidentes e segurança da informação.
  • A contratação de seguro de segurança cibernética.
  • A implementação de controles de auditoria.
  • O fornecimento de treinamento de conscientização de segurança.
  • A aplicação de mensagens de segurança nas telas de login.
  • O desenvolvimento e a implementação de procedimentos de integração e desligamento de funcionários.
  • A promoção de uma cultura de segurança.
  • O monitoramento dos dispositivos dos usuários.
  • O treinamento dos usuários internos e externos.

Tendências em segurança de dados

Expansão das superfícies de ataque a partir de dispositivos IoT

Dispositivos de Internet das Coisas (IoT) representam um dos maiores riscos à segurança de dados por causa de escala e velocidade de implantação: bilhões em todo o mundo. Esses dispositivos podem ser encontrados em quase todos os lugares e, como muitos estão conectados a redes, suas superfícies de ataque aumentaram exponencialmente.

Além do número de dispositivos de IoT implantados, a vulnerabilidade deles torna-os uma ameaça específica à segurança dos dados. A maioria dos dispositivos de IoT não foi desenvolvida tendo a segurança como prioridade e, frequentemente, eles são implantados sem segurança.

Como os dispositivos de IoT têm capacidade limitada de processamento e armazenamento, instalar softwares de segurança de dados neles é um desafio. Além disso, devido ao seu número e dispersão, é difícil manter os sistemas de segurança atualizados e instalar atualizações e patches de segurança.

Ameaça crescente dos ransomwares

Embora façam parte do cenário de ameaças cibernéticas desde 1989, os ransomwares tornaram-se os malwares preferidos de muitos criminosos cibernéticos. É relativamente fácil de implantar, com sua carga útil sendo a mesma de outros malwares comumente usados.

Os ransomwares também são amplamente acessíveis na dark web. Até mesmo indivíduos ou pequenos grupos de criminosos cibernéticos podem utilizá-lo com eficácia, aproveitando o ransomware como serviço.

Soluções de segurança de dados são usadas para combater ransomwares. No entanto, os sistemas de segurança enfrentam o desafio de impedir ransomwares, pois eles comumente usam engenharia social para contornar essas soluções.

Uso crescente de inteligência artificial na segurança de dados

A inteligência artificial (IA) é cada vez mais usada em conjunto com o aprendizado de máquina (ML, Machine Learning) para melhorar a eficácia das soluções de segurança de dados. Emprega-se IA e ML para automatizar processos de segurança e detecção de ameaças com melhoria contínua, à medida que os dados coletados são usados para aprimorar a identificação de atividades suspeitas. A importância da IA para a proteção dos dados está em sua capacidade de processar grandes volumes de dados, tomando decisões rápidas, capazes de informar a resposta a incidentes de modo milhares de vezes mais rápido do que pessoas e softwares básicos.

Outro ramo da IA, o processamento de linguagem natural (PLN, NLP na sigla em inglês), é usado para combater tentativas de phishing, pois ferramentas habilitadas para IA e ML podem identificar mensagens maliciosas com mais eficiência do que as pessoas. A IA também melhora a precisão e o desempenho da triagem biométrica para autorização, como reconhecimento facial, de impressão digital e de voz. Ela também está sendo usada no desenvolvimento de métodos adicionais de triagem biométrica visando aperfeiçoar a segurança de dados, como o reconhecimento de comportamento.

Segurança de dados corporativos

A segurança de dados corporativos exige uma abordagem multicamadas para garantir que os dados e os aplicativos estejam sempre seguros e disponíveis. Ela também prevê a capacidade de prontidão para a continuidade dos negócios, a fim de minimizar interrupções de serviço em caso de ataque cibernético ou desastre.

O escopo da segurança de dados corporativos continua a se expandir com o crescente número de pessoas trabalhando em casa, o amplo uso de dispositivos móveis e a explosão de dispositivos IoT. Cada um desses casos de uso depende fortemente de informações que, muitas vezes, são confidenciais. Isso eleva o padrão da segurança de dados corporativos à medida que a complexidade, o volume de usuários (ou seja, máquinas e pessoas) e as superfícies de ataque aumentam.

Segurança de dados na nuvem

A segurança de dados estende-se além dos limites da TI interna para dar cobertura à crescente presença de infraestrutura e serviços baseados na nuvem. Normalmente, a segurança de dados para infraestrutura e serviços baseados em nuvem é fornecida em conjunto com provedores de serviços em nuvem e equipes de TI corporativas.

A computação em nuvem apresenta muitas das mesmas ameaças que as implantações locais. As soluções de segurança de dados foram otimizadas para gerenciar ambientes de nuvem, mas precauções adicionais devem ser implementadas. Entre os fatores adicionais de segurança de dados para infraestrutura e serviços baseados em nuvem estão a proteção da migração para a nuvem e a prevenção de configurações incorretas que criam vulnerabilidades.

Segurança de dados e “traga seu próprio dispositivo” (BYOD, Bring Your Own Device)

O BYOD (traga seu próprio dispositivo), ou o uso de computadores pessoais, tablets e dispositivos móveis em ambientes de computação corporativa, veio para ficar e está se expandindo, apesar da indignação justificada das equipes de segurança de TI sobre os riscos que essa prática representa. As medidas de segurança de dados continuam a crescer para tentar proteger esses dispositivos.

Os protocolos de segurança de dados empregados para reforçar as proteções contra as ameaças que o BYOD traz exigem que os funcionários que usam dispositivos pessoais instalem software de segurança para acessar as redes corporativas. O objetivo dessa prática é tentar centralizar o controle e a visibilidade do acesso e da movimentação de dados de e para dispositivos pessoais. Outras táticas que ajudam a garantir a segurança em torno do BYOD exigem o uso de criptografia, senhas fortes, autenticação multifator, instalação regular de patches e atualizações de software, além de backups.

O monitoramento é outra importante medida de segurança de dados usada para mitigar o risco de BYOD. Esse método também contempla o uso de BYOD não autorizado, identificando todos os dispositivos.

Acompanhando os avanços em segurança de dados

Presente desde o advento da informação, a segurança de dados tem desempenhado um papel vital para garantir sua integridade e disponibilidade, desde as primeiras cifras manuais até as criptas para armazenar segredos.

Como a maioria das tecnologias, a segurança de dados continua a evoluir. Para aproveitar ao máximo o seu poder e eficácia, reserve um tempo para se manter atualizado sobre as tendências em desenvolvimento e as soluções relacionadas que estão sendo disponibilizadas.

Data: 16 de julho de 2025Tempo de leitura: 16 minutos
Access ManagementUntitledCompliance

Introdução

Veja o que o SailPoint Identity Security pode fazer pela sua organização

Descubra como nossas soluções permitem que as empresas modernas da atualidade enfrentem o desafio de garantir acesso seguro aos recursos sem comprometer a produtividade ou a inovação.

Solicitar uma demonstraçãoContato