E como ela pode contribuir para minha empresa?!
A classificação de dados é uma abordagem para identificar, proteger e gerenciar informações que se tornaram rapidamente práticas recomendadas. Implementada como parte de uma estratégia de segurança em camadas, ela permite que uma empresa se defenda contra uma variedade de ameaças – desde intrusos agressivos até insiders sem treinamento ou mal-intencionados – enquanto desbloqueia todo o potencial de seus dados para impulsionar a inovação e a produtividade.
No seu nível mais simples, a classificação de dados é “o processo de organização de dados em categorias para o seu uso mais eficaz e eficiente”.
A partir de uma perspectiva de segurança, a classificação envolve a categorização e identificação de dados de acordo com o seu nível de confidencialidade ou valor para uma organização – por exemplo, como informação comercial confidencial, para uso apenas interno ou pública. A abordagem altera o foco da segurança de dados na construção de “barreiras” em torno de redes, bancos de dados, aplicativos ou dispositivos – cada vez mais ineficazes, já que 95% das violações são causadas por erro humano (seus usuários estão no interior de qualquer “barreira”) – para os dados em si.
O primeiro passo é estabelecer uma política sobre quais identificações ou classificações devem ser adicionadas a quais arquivos ou e-mails. A empresa pode então decidir como comunicar esses dados aos funcionários e tomar uma decisão sobre como implementar a política. Algumas empresas decidem adotar uma política de identificação apenas manual, porém, existem técnicas de classificação de dados mais avançadas que utilizam conjuntos de ferramentas de software que anexam identificações às mensagens de e-mail, documentos e arquivos.
Além de uma marcação visual que permite que as pessoas saibam como os dados devem ser tratados, a identificação é incorporada nas propriedades do arquivo como metadados, permitindo que os dados sejam acessados ou usados apenas de acordo com as regras que correspondem à classificação dos dados. Isso significa que a proteção segue junto com os dados, onde quer que sejam enviados ou armazenados.
Cada uma das três técnicas – classificação com base em políticas, classificação automatizada e classificação conduzida pelo usuário (ou aplicada pelo usuário) tem seus próprios benefícios e desvantagens.
Política de classificação impressa
Uma política de classificação de dados corporativos indicará como os funcionários são obrigados a tratar os diferentes tipos de dados manipulados por eles, alinhados com a política e a estratégia de segurança geral de dados da organização. Uma política bem escrita permitirá aos usuários tomar decisões rápidas e intuitivas sobre o valor de uma informação, e quais são as regras de manipulação apropriadas, por exemplo, quem pode acessar os dados, ou se um modelo de gerenciamento de direitos deve ser solicitado. O desafio, sem qualquer tecnologia de suporte, é assegurar que todos estejam conscientes da política e que ela seja implementada corretamente: de acordo com o Levantamento de Violações de Segurança da Informação de 2015 da PWC, 72% das organizações onde a política de segurança foi mal compreendida sofreram violação vinculada ao seu pessoal em 2015.
CLASSIFICAÇÃO DE DADOS AUTOMÁTICA
Esta técnica ignora o envolvimento dos usuários, impondo uma política de classificação consistente em todos os pontos de contato, sem a necessidade de grandes programas de comunicação e ensino.
As classificações são aplicadas por soluções que utilizam algoritmos de software com base em palavras-chave ou frases no conteúdo para analisá-las e classificá-las. Esta abordagem é própria, onde certos tipos de dados são criados sem o envolvimento do usuário – por exemplo, relatórios gerados por sistemas de ERP ou onde os dados incluam informações pessoais específicas facilmente identificadas, como informações de cartão de crédito.
No entanto, as soluções automáticas não entendem o contexto e são, portanto, passíveis de erro, dando resultados falsos positivos que podem frustrar os usuários e impedir procedimentos comerciais, bem como erros de falsos negativos que expõem as organizações à perda de dados importantes.
Classificação de dados – Conduzida pelo usuário
O processo de classificação de dados pode ser completamente automático, porém é mais eficaz quando o usuário é colocado no controle.
A técnica de classificação conduzida pelo usuário torna os próprios funcionários responsáveis por decidir qual a identificação adequada e anexá-la usando uma ferramenta de software ao se criar, editar, enviar ou salvar. A vantagem de envolver o usuário no processo é que a sua visão sobre o contexto, o valor do negócio e a confidencialidade de um dado permite a ele tomar decisões informadas e precisas sobre qual identificação usar. A classificação conduzida pelo usuário é uma camada de segurança extra, usada frequentemente para complementar a classificação automática.
O envolvimento de usuários na classificação também leva a outros benefícios organizacionais, incluindo maior conscientização de segurança, uma cultura melhorada e a capacidade de monitorar o comportamento do usuário que ajuda a informar e oferece a capacidade de demonstrar conformidade. Além disso, os gerentes podem usar esses dados comportamentais para identificar uma possível ameaça de insider e abordar quaisquer preocupações, fornecendo orientação adicional aos usuários, conforme apropriado, por exemplo, através de treinamento extra ou fortalecimento da política.
ENVOLVER O USUÁRIO EM SEGURANÇA TEM BENEFÍCIOS PERIFÉRICOS
Fazer uma abordagem de solução de classificação conduzida pelo usuário permite que controles, regras e políticas sejam aplicadas em toda a organização de maneira consistente. Ele também oferece outros benefícios:
- UTILIZE METADADOS PARA
- PROTEGER DADOS IMPORTANTES
- ATRAVÉS DA SUA JORNADA
Além de proteger a empresa de hackers, a classificação de dados oferece proteção contra a perda acidental de dados dentro da organização. A identificação de metadados direciona as ações de outras soluções de gerenciamento de dados e segurança corporativa – desencadeando regras para que, por exemplo, um gateway de e-mail criptografe automaticamente qualquer arquivo identificado como confidencial, enquanto uma solução de prevenção de perda de dados (data loss prevention, DLP) bloqueará os funcionários de carregar o arquivo para um serviço de compartilhamento de arquivos em nuvem.
A abordagem também melhora a eficácia das ferramentas de monitoramento de incidentes e eventos de segurança (security incident and event monitoring, SIEM), permitindo que o comportamento incomum e potencialmente arriscado do usuário seja detectado no início. Se um usuário constantemente desclassificar arquivos de Confidencial para Público, por exemplo, ou copiar documentos confidenciais para um dispositivo de armazenamento, isso será sinalizado com um alerta. A questão pode então ser abordada por meio de treinamentos, procedimentos disciplinares ou fortalecimento da política.
CUMPRA OS REQUISITOS REGULAMENTARES E DEMONSTRE CONFORMIDADE
Violações regulamentares podem levar a multas exorbitantes, enormes custos de limpeza pós-eventos em caso de violação e até mesmo a ações penais. A classificação de dados torna mais fácil para uma empresa atender às necessidades de administração de dados da Lei de Proteção de Dados, do novo Regulamento Geral Europeu sobre a Proteção de Dados, a Lei Sarbanes-Oxley, HIPAA e ITAR, por exemplo.
A inclusão da identificação de classificação como metadados em arquivos permite que uma empresa verifique exatamente quem acessa informações confidenciais e mantenha um acompanhamento detalhado de qualquer violação de política ou comportamento fora do comum. Além de permitir que as possíveis violações sejam rapidamente identificadas e abordadas, isso pode ser usado para provar ao conselho administrativo, órgãos e reguladores da indústria que a informação está sendo controlada e documentada adequadamente.
IMPULSIONE UMA CULTURA DE SEGURANÇA
A implementação de um processo de classificação conduzida pelo usuário ajuda a criar uma cultura de segurança em toda a organização. Ela coloca o ônus de proteger os dados em todos os que o controlam, assegurando que todos os funcionários compreendam o valor das informações com as quais trabalham diariamente e saibam como manuseá-las.
As ferramentas de classificação de dados que incorporam a rotulagem de mensagens, documentos e arquivos nos processos de trabalho de rotina dos funcionários, entretanto, contribuirão para o comportamento certo.
FACILITE UMA COLABORAÇÃO MAIS SEGURA
A classificação de dados fornece às organizações um meio de construir segurança na cultura corporativa de maneira que promova, em vez de inibir, o poder que os funcionários têm de trabalhar de maneira mais produtiva e ágil. Uma vez que a proteção segue junto com os dados
individuais na sua “jornada”, os sistemas e bancos de dados podem ser integrados com segurança, e ideias e informações compartilhadas livremente entre as pessoas, sem expor dados para acesso ou uso não autorizado.
GERENCIE E UTILIZE DADOS DE FORMA MAIS EFICAZ
Antes de poder fazer uso integral dos seus dados, você precisa saber o que você possui e o seu local. O enorme volume de dados não estruturados das organizações – como mensagens
de e-mail, documentos do Word, plataformas do PowerPoint, arquivos do Excel, imagens e vídeos – tornam isso cada vez mais difícil de controlar. A classificação de dados torna possível estabelecer exatamente o que existe lá, onde é armazenado e o quanto é valioso. Também ajuda o negócio a identificar o que pode ser arquivado ou excluído e, assim, evita os altos custos de proteção, armazenamento e retenção associados ao acúmulo de grandes volumes de dados.
Fonte: boldonjames.com.br
Palavras chaves: classificação de dados, classificacao, categorização, identificação, confidencialidade, valor, segurança, marcação visual, metadados, DLP, data loss prevention, SIEM, security incident and event monitoring, GDPR, General Data Protection Regulation, Sarbanes-Oxley, HIPAA, ITAR
Key words: Data classification, classification, categorization, identification, confidentiality, value, security, visual marking, metadata, DLP, data loss prevention, SIEM, security incident and event monitoring, GDPR, General Data Protection Regulation, Sarbanes- Oxley, HIPAA, ITAR