Lidar com a mistura de mistura de segurança, identidade e mobilidade tem desafiado empresas de diferentes portes, áreas de atuação e localização geográfica. O italiano Alessandro Feste, escreveu recente um post em seu blog sobre o que chamou de série BYOI, para “falar” sobre #identitymanagement _ segurança, governança e gestão de IAM (gerenciamento de identidades e acessos). Em discussão, como aumentar o foco na identidade e projetos de privacidade para
conseguir uma resposta rápida para entregar o valor real não só para TI,
mas também para os negócios, especialmente em um mundo onde a identidade virtual passa a ser a identidade real.
Feste sugere que a classificação é a maneira mais fácil de resolver essa questão. Discordei da premissa central do post de Festa – não porque eu não acho que a classificação deva ser feita, mas por acreditar que precisa ser feita de forma diferente.
Classificação dos dados é muito importante e deve acontecer em todas as empresas.
É parte importante da Information Lifecycle Management (ILM),
apesar de ILM raramente ser praticado na maioria das empresas. O problema com a classificação, e, portanto, ILM, é que é realmente difícil de fazer na prática.
Quando a maioria das organizações decide instituir um programa de ILM, elas passam a maior parte do seu tempo elaborando as classificações
dos seus dados. Começam com governança. Criam vários comitês para olhar para os dados e em como classificá-los em categorias.
Isso pode demorar de seis meses a dois anos e, no momento em que
termina, as empresas podem ter mais de uma centena de recipientes nos quais podem registrar seus dados.
As chances são de que a organização já tenha adquirido uma ferramenta para
ajudá-la a classificar os dados e a mantê-los meticulosamente nos respectivos recipientes. Essa é a parte fácil.
Na sequência, as empresas precisam gastar tempo, dinheiro e muito esforço para treinar
todos os seus funcionários sobre como as categorias devem ser aplicadas a
cada dado. E em seguida, treinar os usuários na ferramenta.
Isso pode demorar até três anos antes que qualquer dado realmente seja
colocado em qualquer recipiente – uma vida para a maioria das organizações.
Como isso me ajuda a proteger meus dados ? Como isso me impede de expô-lo a qualquer um que tenha acesso depois de armazená-lo no Dropbox ou Box?
Isso não acontece. E esta é a razão pela qual sou a favor de uma abordagem muito mais simples: comece com dois recipientes de dados apenas.
No primeiro coloque todos os dados corporativos, independente da
importância ou qualquer outra classificação que você possa imaginar. No segundo, todos os dados não corporativos.
Depois de ter seu recipiente de dados corporativos, descubra como protegê-lo. Eu recomendo criptografar tudo. Se é criptografado, não importa de onde o usuário irá acessá-lo.
Se alguém entrar na pasta compartilhada publicamente por um usuário, tudo
o que invasor verá serão os dados criptografados, inúteis sem a
chave criptográfica.
Você constrói as chaves para os aplicativos ou plataformas com as quais seus usuários vão trabalhar (ajuda se forem identidades baseada, também), para que possam acessar os dados onde e quando precisarem deles.
Você pode argumentar que tendo apenas duas categorias, você
certamente não estará fazendo a gestão de informação móvel (MIM) , mas a gestão de aplicações móveis (MAM ). Acredito que seja sobre MIM – a segurança é
centrada em torno dos dados, e se a política for adicionada a esses
dados você terá MIM. Sem entrar em detalhes sobre MIM aqui, creio que esta pode ser uma solução muito viável.
Como
Feste apontou em seu post, a beleza de começar com dois recipientes é que
você não precisa de governança para fazer isso – você pode começar
imediatamente.
Meu conselho é que, com o passar do tempo, você não pare na definição dos dois recipientes. Comece a quebrar o recipiente de dados corporativos em recipientes menores. Quando começar a adicionar recipientes, o sistema já estará em vigor e já estará garantindo seus dados. Estes novos recipientes o ajudarão a aperfeiçoar o sistema e criar uma melhor APIs para acessar esses dados.
A meta para todas as empresas deve ser libertar seus dados. Você precisa construir APIs em torno de seus conjuntos de dados.
Essas APIs devem contabilizar todos os recipientes, tendo em conta
gerenciamento de identidade e acesso (IDAM), servindo como uma maneira
programática para obtenção de dados.
O problema é que hoje a maioria das empresas tenta quebrar as nozes inteiras de uma só vez. Há uma parábola antiga: “Como você come um elefante? Uma mordida de cada vez?”. Se as empresas gastam muito tempo tentando fazer tudo perfeito, pode ser tarde demais.
Seus funcionários vão encontrar uma maneira de usar os dados que eles precisam, quando e onde for
necessário, para fazer seu trabalho.
A única maneira de permitir que seus empregados o façam de forma responsável é dar um passo de cada vez. Você pode sempre decidir no momento de caminhar ou correr. Mas, para proteger os seus dados, dê o primeiro passo antes que todos os seus funcionários caminhem por conta própria.
A computação quântica ainda não tem aplicação comercial em escala. A Hewlett Packard Enterprise (HPE)…
A China voltou a defender a criação de mecanismos internacionais de governança para inteligência artificial…
A SpaceX alcançou um marco importante e histórico poucos dias após sua estreia na bolsa…
A inteligência artificial já entrou no radar estratégico das empresas brasileiras, mas sua adoção ainda…
Na visão de Domingos Bruno, especialista do IT Forum Inteligência, o CIO do futuro não…
O presidente Luiz Inácio Lula da Silva apresentou a posição brasileira sobre governança digital e inteligência…