Apresentado pela Capital One
A segurança dos dados continua a ser um dos domínios menos maduros na segurança cibernética empresarial. De acordo com IBM35% das violações em 2025 envolveram fontes de dados não gerenciadas ou “dados ocultos”. Isto revela uma falta sistémica de conhecimento básico dos dados. Não é por falta de ferramentas ou investimento. É porque muitas organizações ainda lutam com as questões mais fundamentais: Que dados temos? Onde ele mora? Como isso se transfer? E quem é o responsável por isso?
Num ecossistema cada vez mais complexo de fontes de dados, plataformas de nuvem, aplicações SaaS, APIs e modelos de IA, essas questões estão cada vez mais difíceis de responder. Colmatar a lacuna de maturidade na segurança de dados exige uma mudança cultural em que a segurança não seja mais tratada como algo secundário. Em vez disso, a proteção é incorporada em todo o ciclo de vida dos dados, baseada em um inventário robusto, classificação clara e mecanismos escaláveis que traduzem políticas em proteções automatizadas.
Visibilidade como base
A barreira mais persistente à maturidade da segurança de dados é a visibilidade básica. As organizações muitas vezes se concentram na quantidade de dados que possuem, mas não na composição desses dados. Contém informações de identificação pessoal (PII)? Dados financeiros? Informações sobre saúde? Propriedade intelectual? Sem esse nível de compreensão e inventário, é muito mais difícil implementar uma proteção significativa.
No entanto, isso pode ser evitado priorizando recursos empresariais que possam detectar dados confidenciais em escala em uma área grande e variada. A detecção deve ser combinada com ação, excluindo dados onde não são mais necessários e protegendo os dados onde eles estão, alinhando a aplicação a uma política bem definida.
As organizações maduras devem começar tratando a segurança dos dados como um problema de “compreensão do seu ambiente”. Mantenha um inventário, classifique o que está no ecossistema e alinhe as proteções com a classificação, em vez de depender apenas de controles de perímetro ou soluções pontuais em escala.
Protegendo dados caóticos
Um dos motivos pelos quais a segurança dos dados ficou atrás de outros domínios de segurança é que os dados em si são inerentemente caóticos. Ao contrário da segurança perimetral, que depende de portas explícitas e limites definidos, os dados são amplamente imprevisíveis. Ou seja, as mesmas informações subjacentes podem aparecer em formatos muito diferentes: bancos de dados estruturados, documentos não estruturados, transcrições de chats ou pipelines analíticos. Cada um pode ter codificações ou transformações ligeiramente diferentes que introduzem alterações imprevistas e muitas vezes não detectadas nos próprios dados.
O comportamento humano agrava o desafio, com diferentes ações introduzindo riscos de maneiras que os controles perimetrais simplesmente não conseguem prever. Isso pode ser qualquer coisa, desde um número de cartão de crédito copiado em um campo de comentários de formato livre, uma planilha enviada por e-mail para fora do público-alvo ou um conjunto de dados reaproveitado para um novo fluxo de trabalho.
Quando a proteção é aplicada no ultimate de um fluxo de trabalho, as organizações criam pontos cegos. Eles contam com verificações posteriores para detectar falhas de projeto anteriores. Com o tempo, a complexidade acumula-se e o risco de exposição torna-se uma questão de quando, e não de se.
Um modelo mais resiliente pressupõe que os dados sensíveis surgirão em locais e formatos inesperados, pelo que a proteção é incorporada a partir do momento em que os dados são capturados. A defesa profunda torna-se um princípio de design: segmentação, criptografia em repouso e em trânsito, tokenização e controles de acesso em camadas.
Fundamentalmente, essas proteções acompanham o ciclo de vida dos dados, desde a ingestão até o processamento, análise e publicação. Em vez de modernizar os controles, as organizações projetam para o caos. Eles aceitam a variabilidade como um dado adquirido e constroem sistemas que permanecem seguros mesmo quando os dados divergem das expectativas.
Dimensionando a governança com automação
A segurança dos dados torna-se operacionalmente sustentável quando a governação é aplicada através da automação desde a sua génese. Quando combinados com expectativas claras para criar contextos limitados: as equipes entendem o que é permitido, sob quais condições e com quais proteções os dados podem ser usados de forma eficaz.
Isso é mais importante do que nunca hoje. Os sistemas de IA exigem frequentemente acesso a enormes volumes de dados, em vários domínios. Isto torna a implementação de políticas particularmente desafiadora. Fazer isso de forma eficaz e segura requer um conhecimento profundo, políticas de governança fortes e proteção automatizada.
Técnicas de segurança, como dados sintéticos e substituição de tokens, permitem que as organizações preservem o contexto analítico e, ao mesmo tempo, dificultam a leitura de valores confidenciais. Padrões de política como código, APIs e automação podem lidar com tokenização, exclusão, restrições de retenção e controles de acesso dinâmico. Com proteções integradas nas plataformas que usam, os engenheiros podem se concentrar mais na inovação com dados e na elevação dos resultados de negócios com segurança.
Os sistemas de IA também devem operar dentro das mesmas expectativas de governança e monitoramento dos fluxos de trabalho humanos. Permissões, telemetria e controles sobre o que os modelos podem acessar, juntamente com as informações que podem publicar, são essenciais. A governança sempre introduzirá um certo grau de atrito. O objetivo é tornar esse atrito bem compreendido, navegável e cada vez mais automatizado. Confirmar a finalidade, registrar um caso de uso e provisionar o acesso dinamicamente com base na função e na necessidade devem ser processos claros e repetíveis.
À escala empresarial, isto requer capacidades centralizadas que implementem políticas de segurança cibernética no domínio dos dados. Isso inclui mecanismos de detecção e classificação, serviços de tokenização e destokenização, aplicação de retenção e mecanismos de propriedade e taxonomia que transformam as expectativas de gerenciamento de risco em cascata na execução diária.
Quando bem feita, a governação torna-se uma camada de capacitação e não um estrangulamento. Metadados e classificação orientam decisões de proteção automaticamente enquanto aceleram a descoberta e o uso de negócios. Os dados são protegidos durante todo o seu ciclo de vida por defesas fortes, como tokenização, e excluídos quando exigido por regulamentação ou política interna. Não deveria haver necessidade de as equipes “tocar nos dados” manualmente para cada decisão de controle, com políticas aplicadas desde o projeto.
Construindo para o futuro
Simplificando, colmatar a lacuna de maturidade da segurança dos dados tem menos a ver com a adoção de uma única tecnologia inovadora e mais com a disciplina operacional. Construa o mapa. Classifique o que você tem. Incorpore proteção aos fluxos de trabalho para que a segurança seja repetível em grande escala.
Para os líderes empresariais que procuram progressos mensuráveis ao longo dos próximos 18 a 24 meses, destacam-se três prioridades.
Primeiro, estabeleça um inventário robusto e um mapa rico em metadados do ecossistema de dados. A visibilidade não é negociável. Em segundo lugar, implementar uma classificação vinculada a expectativas políticas claras e viáveis. Deixe claro quais proteções cada categoria exige. E, por fim, invista em esquemas de proteção escalonáveis e automatizados que se integrem diretamente aos fluxos de trabalho de desenvolvimento e de dados.
Quando a proteção muda de controles reativos para proteções proativas integradas, a conformidade se torna mais simples, a governança se torna mais forte e a prontidão para IA se torna alcançável, sem comprometer o rigor.
Saiba mais como Bolt de dados Capital Onea solução de segurança de dados corporativos da Capital One Software program, pode ajudar sua empresa a se preparar para IA, protegendo dados confidenciais em grande escala.
Andrew Seaton é vice-presidente de engenharia de dados – detecção e proteção de dados empresariais, Capital One.
Artigos patrocinados são conteúdos produzidos por uma empresa que paga pela postagem ou tem relacionamento comercial com a VentureBeat, e estão sempre claramente marcados. Para mais informações, entre em contato vendas@venturebeat.com.
