A segurança de dados refere-se às medidas de proteção empregadas para proteger os dados contra acesso não aprovado e para preservar a confidencialidade, integridade e disponibilidade dos dados. As boas práticas de segurança de dados incluem técnicas de proteção de dados, como criptografia de dados, gerenciamento de chaves, edição de dados, subconjunto de dados e mascaramento de dados, bem como controles de acesso de usuário privilegiado, auditoria e monitoramento.
As boas práticas de segurança de dados devem ser aproveitadas tanto on-premises quanto na nuvem para mitigar o risco de violação de dados e ajudar a alcançar a conformidade regulamentar. As recomendações específicas podem variar, mas normalmente exigem uma estratégia de segurança de dados em camadas arquitetada para aplicar uma abordagem de defesa em profundidade. Diferentes controles atenuam diferentes vetores de ameaças. Áreas de solução distintas incluem a capacidade de avaliar, detectar e monitorar a atividade e as ameaças do banco de dados.
Os dados são um dos ativos mais importantes para qualquer organização. Como tal, é fundamental proteger os dados de todo e qualquer acesso não autorizado. Violações de dados, auditorias malsucedidas e falha no cumprimento de requisitos regulatórios podem resultar em danos à reputação, perda de valor da marca, propriedade intelectual comprometida e multas por não conformidade. Sob o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, as violações de dados podem levar a multas de até 4% da receita anual global de uma organização, geralmente resultando em perdas financeiras significativas. Os dados confidenciais incluem informações de identificação pessoal, informações financeiras, informações de saúde e propriedade intelectual. Os dados devem ser protegidos para ajudar a evitar uma violação de dados e alcançar a conformidade.
Mascaramento de dados, subconjuntos de dados e redação de dados são técnicas para reduzir a exposição de dados confidenciais contidos em aplicativos. Essas tecnologias desempenham um papel fundamental no tratamento dos requisitos de anonimato e pseudonimização associados a regulamentações como o GDPR da UE. O GDPR da União Europeia foi criado com base em princípios de privacidade amplamente aceitos, como limitação de finalidade, legalidade, transparência, integridade e confidencialidade. Ele fortalece os requisitos de privacidade e segurança existentes, incluindo requisitos de notificação e consentimento, medidas de segurança técnicas e operacionais e mecanismos de fluxo de dados transfronteiriços. Para se adaptar à nova economia digital, global e baseada em dados, o GDPR também formaliza novos princípios de privacidade, como responsabilidade e minimização de dados.
De acordo com o Regulamento Geral de Proteção de Dados (GDPR), as violações de dados podem levar a multas de até quatro por cento do faturamento anual global de uma empresa ou € 20 milhões, o que for maior. As empresas que coletam e lidam com dados na UE precisarão considerar e gerenciar suas práticas de tratamento de dados, incluindo os seguintes requisitos:
Bancos de dados são repositórios valiosos de informações confidenciais, o que os torna o principal alvo de ladrões de dados. Normalmente, os hackers de dados podem ser divididos em dois grupos: ataques externos e internos. As pessoas de fora incluem qualquer um, desde hackers solitários e cibercriminosos que buscam interrupção dos negócios ou ganho financeiro, ou grupos criminosos e organizações patrocinadas por estados que buscam perpetrar fraudes para criar interrupções em escala nacional ou global. As pessoas de dentro podem incluir funcionários atuais ou antigos, curiosos e clientes ou parceiros que se aproveitam de sua posição de confiança para roubar dados ou que cometem um erro que resulta em um evento de segurança não intencional. Tanto as pessoas de fora quanto as de dentro criam riscos para a segurança dos dados pessoais, dados financeiros, segredos comerciais e dados regulamentados.
Os cibercriminosos têm uma variedade de abordagens que empregam ao tentar roubar dados de bancos de dados:
Uma estratégia de segurança de banco de dados bem estruturada deve incluir controles para mitigar uma variedade de vetores de ameaças. A melhor abordagem é uma estrutura integrada de controles de segurança que podem ser implementados facilmente para aplicar os níveis apropriados de segurança. Aqui estão alguns dos controles mais comumente usados para proteger bancos de dados:
Reduza o risco de violação de dados e simplifique a conformidade com as boas práticas de segurança de dados, incluindo criptografia, gerenciamento de chaves, mascaramento de dados, controles privilegiados de acesso de usuários, monitoramento de atividades e auditoria.