BLOG | ESCRITÓRIO DO DIRETOR DE TECNOLOGIA

Aliviando a tensão entre segurança de dados e automação

Miniatura de James Hendergart
James Hendergart
Publicado em 01 de agosto de 2024

A automação está em desacordo com a segurança de dados na empresa. Porquê?

O cerne da questão

A automação aumenta a produtividade ao aproveitar o poder das máquinas. Vários servidores podem ser comprados ou alugados na nuvem pelo preço de um profissional de informação humano. No entanto, acessar dados empresariais, principalmente com a velocidade e os volumes em que as máquinas trabalham, viola inúmeras políticas elaboradas e aplicadas para reduzir o risco de proliferação e exposição desses dados. Recentemente me deparei com essas forças conflitantes ao construir uma automação.

A automação coleta algumas páginas da web internas que contêm métricas do visualizador e as insere em um conjunto de planilhas. Em seguida, as planilhas são movidas para uma pasta de rede, onde uma segunda automação detecta os novos arquivos e os carrega para um local especificado, onde meu colega anota qualquer atividade ou tendência que precise de atenção. Nós amamos isso. Então, após várias semanas de execuções bem-sucedidas, ele falhou devido a um segredo de segurança expirado. Nossa política de governança de acesso a dados exige que certas credenciais do sistema expirem regularmente. Bom para segurança. Credenciais expiradas interrompem a automação. Ruim para a produtividade.

tensão-de-produtividade-e-segurança

Expirar regularmente os segredos de segurança é uma prática recomendada, mas isso precisa quebrar as coisas? A automação economiza um tempo significativo para minha equipe, mas consiste apenas em ler dados de um local e reformatá-los para facilitar a análise em outro. A automação realmente precisa ser executada no mesmo nível de privilégio que eu, um humano? Tem que haver um compromisso em algum lugar.

Compromisso

Aqui estão duas opções que me vêm à mente e que podem servir como um meio-termo:

Opção A

Emita um aviso cinco dias antes do vencimento, dando tempo para renová-lo antes que algo quebre.

Opção B

Emita credenciais de serviço específicas para a tarefa de automação com o menor privilégio necessário.

gráfico de produtividade-segurança

Trate a automação como outro tipo de usuário

Ambas as opções respeitam os requisitos de segurança de dados da organização e, por meio de um pouco mais de visibilidade e comunicação entre as operações comerciais e de segurança (SecOps), uma solução prudente e eficaz é possível. Um pequeno acordo bem fundamentado pode aliviar a tensão entre os imperativos de segurança de dados e as automações que aumentam a produtividade e, na maioria das vezes, nenhum dos lados perde, o que significa que a empresa ganha.

A automação introduz um novo usuário na governança empresarial chamado trabalhador da máquina. Ele reúne implementadores de políticas de segurança e automação. As organizações que reconhecem esse novo usuário e consideram seus requisitos reais em detalhes mais refinados escaparão da tensão de soma zero, estabelecerão práticas de uso de dados mais seguras e perceberão os ganhos comerciais oferecidos pelas tecnologias que aumentam a produtividade.