3 Requisitos Essenciais para a Classificação Avançada de Dados Pessoais Identificáveis ​​(PII)

Apr 21, 2023
Share

A tecnologia de classificação de dados permaneceu praticamente a mesma por mais de uma década. Apesar da introdução de alguma automação, ela tem sido, em grande parte, um exercício orientado a processos, o que tem frustrado profissionais de segurança, dados, TI e outros funcionários de empresas. Se você, por exemplo, se deparar com relatórios de pesquisa de analistas arquivados ou artigos antigos sobre o assunto de meados da década de 2010, perceberá que os desafios lamentados pelos profissionais da época são semelhantes aos que nos assombram hoje.

Mas uma grande mudança está acontecendo no espaço da segurança de dados, impulsionada pela tecnologia nativa da nuvem e sem agentes. Falaremos disso em um minuto, mas vamos abordar o seguinte: classificação de dados que muitos profissionais já experimentaram e discutem por que está se tornando rapidamente uma abordagem tradicional.

Classificação de dados de ontem

Quais são os desafios da classificação de dados de ontem?

Difícil de implementar

A classificação de dados de ontem é difícil de implementar. As equipes precisam primeiro inventariar seus dados, decidir qual repositório de dados desejam usar para a classificação e, em seguida, envolver a equipe de desenvolvimento para ajudar a configurar manualmente as conexões com esse repositório.

Como a ferramenta precisa apontar para repositórios de dados específicos, apenas repositórios de dados conhecidos podem ser classificados. E como o processo é muito demorado, as equipes limitam o escopo de sua iniciativa de classificação a um pequeno subconjunto do ambiente.

Fornece informações limitadas

A classificação de dados de ontem fornece duas saídas principais: sensibilidade e rótulos semânticos.

A sensibilidade ou confidencialidade indica o nível de risco aos dados quando estes são comprometidos. Rótulos comuns de sensibilidade incluem "muito sensível", "sensível", "apenas para uso interno" e "público". Tanto a convenção de nomenclatura quanto o número de rótulos de sensibilidade variam amplamente entre diferentes organizações. Na ausência de governança e alinhamento adequados em relação aos rótulos de sensibilidade, esse número pode aumentar exponencialmente. Isso resulta em rotulagem de dados confusa e inconsistente.

Semântica, ou simplesmente "classes de dados", é uma breve descrição do tipo de dados. Muitas ferramentas, incluindo catálogos de dados, DLP (Prevenção contra Perda de Dados) e nuvens públicas, oferecem recursos básicos para classificação de dados. Frequentemente, a saída das classes de dados dessas ferramentas são rótulos que essencialmente descrevem ou refletem o que é encontrado no nome do cabeçalho da coluna em uma tabela. Não há contexto adicional para descrever os dados em si.

Requer intervenção humana constante

Mesmo com apenas duas saídas principais – sensibilidade e rótulos semânticos – os resultados da classificação são incompletos e imprecisos. Não é incomum ver uma ferramenta de classificação atribuir rótulos apenas a alguns dos dados, deixando outros de fora. Os padrões predefinidos que a classificação de dados de ontem utilizava não conseguem acompanhar a crescente variedade e os formatos dos dados encontrados em armazenamentos de dados.

A falta de completude e precisão nos resultados da classificação significa que alguém precisa revisar e validar os resultados manualmente. Isso impede que a iniciativa de classificação seja dimensionada para acompanhar o crescimento dos dados.

O que é a Classificação Avançada de Dados Pessoais Identificáveis ​​(PII)?

A classificação de dados é o processo de organizar dados em categorias relevantes para facilitar a recuperação, classificação, uso, armazenamento e proteção. Indo além, a Classificação Avançada de Informações Pessoais Identificáveis ​​(PII) é uma solução nativa da nuvem e sem agentes que não apenas classifica dados, mas também captura um contexto profundo sobre os dados com alta precisão e velocidade.

Os três requisitos essenciais da Classificação Avançada de Informações Pessoais Identificáveis ​​(PII) são:

  • Velocidade e precisão
  • Contexto profundo
  • Identificação dinâmica

Velocidade e precisão

Como os dados estão em constante mudança e movimento, a classificação precisa ser fácil e rápida.

  • Em poucos minutos, ele se conecta aos seus ambientes de nuvem.
  • Em poucas horas, você receberá um inventário do armazenamento de dados, incluindo o aquelas que você não conhecia
  • Em poucos dias, você receberá classificações juntamente com um contexto de dados detalhado sobre seus dados confidenciais.

O processo não requer agentes, não gera sobrecarga e não há degradação de desempenho. É altamente automatizado, utilizando aprendizado de máquina não supervisionado para analisar petabytes de dados em velocidades incríveis.

Mas essa velocidade não é útil a menos que a classificação de dados seja altamente precisa. A classificação constitui a base para a Prevenção de Perda de Dados (DLP).DLP) e políticas de Governança de Acesso a Dados (DAG). A classe de dados indica quais controles são mais apropriados para o nível de risco que os dados apresentam. Ela nos informa quais proteções se aplicam aos dados, quem deve ter acesso a eles e como devem ser acessados. ofuscadoA classificação altamente precisa faz com que as políticas de DLP e DAG funcionem de forma mais eficaz na proteção de dados confidenciais.

As políticas de DLP funcionam detectando a sensibilidade ou classificação dos dados e executando ações de proteção predefinidas. Por exemplo, você pode configurar uma política de DLP para bloquear a cópia ou movimentação de dados classificados como de alto risco para um ambiente não autorizado. Se o rótulo de sensibilidade estiver incorreto — por exemplo, se dados de alto risco forem marcados como públicos —, a política de DLP não executará nenhuma ação quando os dados forem copiados ou movidos.

Semelhantes às políticas de DLP, as políticas de DAG utilizam rótulos de sensibilidade ou classificação como condições para ação. As políticas de DAG determinam quem deve ter acesso aos dados e como os dados devem ser ofuscados, seja em texto simples ou criptografados. Por exemplo, você pode configurar uma política de DAG para criptografar dados altamente sensíveis e restringir o acesso apenas ao departamento proprietário dos dados. Quando um rótulo de sensibilidade estiver incorreto, o método de ofuscação e controles de acesso pois os dados não serão aplicados corretamente.

Ao garantir que a classificação seja fácil de implementar, executada rapidamente e resulte em classes de dados altamente precisas, a Cyera ajuda as empresas a acompanhar o ritmo das mudanças na nuvem.

Contexto profundo

O contexto pode ser dividido em quatro categorias: dados, superfície, controles e risco.

  • Contexto dos dados – indica as características que definem os dados.
  • Contexto de superfície – informa-nos sobre o ambiente onde os dados estão armazenados.
  • Contexto de controles – indica-nos qual proteção está em vigor para garantir a segurança e a integridade.
  • Contexto de risco – indica-nos os quadros que regulamentam os dados.

Vamos explorar como o contexto aprofundado dos dados, dividido nessas categorias, influencia nossa postura de segurança, usando exemplos recentes de violações de dados.

Exemplo 1: News Corp 2022

Hackers jornalistas da News Corp visados que cobriam tópicos geopolíticos controversos. Os hackers infiltraram-se na rede da News Corp durante dois anos, o que lhes deu ampla oportunidade para realizar reconhecimento e identificar vulnerabilidades. Dezenas de funcionários tiveram suas informações pessoais comprometidas.

Contexto dos dados:

  • Função do titular dos dados: Os hackers visaram especificamente esse alvo. funcionários.
  • Residência: Os jornalistas em certas regiões, digamos, nos EUA ou em Taiwan, provavelmente foram alvos.
  • Identificabilidade: Algumas categorias de dados, como nome, sexo ou idade, podem ser consideradas sensíveis, mas, isoladamente, não vinculam a um indivíduo específico. A identificabilidade dos dados nos informa se os dados comprometidos podem ser vinculados a um indivíduo específico. E, em caso afirmativo, são mais valiosos para os hackers.
  • Singularidade: O contexto revela classes de dados exclusivas de uma empresa. Por exemplo, as "áreas temáticas" de jornalistas, como classe de dados, provavelmente são exclusivas da News Corp e de empresas de mídia de massa.

Exemplo 2: Bonobos, uma subsidiária do Walmart, 2021

Hackers obteve acesso a um banco de dados de backup. Em um ambiente de nuvem externo, roubaram um arquivo SQL de 70 GB contendo endereços de clientes, números parciais de cartões de crédito e históricos de senhas.

Contexto de controles:

  • Método de proteção: Felizmente, apenas os quatro últimos dígitos dos números de cartão de crédito foram armazenados e as senhas foram criptografadas. O contexto nos informa se os dados foram ocultados, criptografados, transformados por outro método ou expostos em texto simples.
  • Cópias de segurança: Hackers infiltraram-se em um backup. O contexto revela a existência de backups e se esses backups contêm ou não dados confidenciais.

Contexto de risco:

  • Riscos regulatórios: Conformidade com PCI Estabelece requisitos relativos ao armazenamento seguro de informações de cartão de crédito.

Exemplo 3: Capital One 2019

Um hacker Verificado em busca de contas AWS mal configuradasEla obteve acesso e baixou os dados. Roubou mais de 140.000 números de Segurança Social e causou prejuízos de 250 milhões de dólares.

Contexto de controles:

  • Acesso: O hacker tinha como alvo contas mal configuradas que provavelmente possuíam permissões excessivas, tornando-as um alvo fácil.

Contexto dos dados:

  • Combinações tóxicas: Números de Segurança Social com dados bancários associados foram roubados. A combinação das duas classes de dados aumenta a probabilidade de que os dados possam ser usados ​​para atividades fraudulentas.

Contexto superficial:

  • Implantação na nuvem: O hacker fez uma varredura nos armazenamentos de dados da AWS.
  • Tipo de ambiente e volume de dados: O hacker provavelmente realizou um reconhecimento para determinar os alvos de maior valor, que provavelmente eram ambientes de produção com grandes volumes de dados sensíveis.

Identificação dinâmica

Se os dados são fluidos, então nossa compreensão dos dados e de seus riscos também deve ser fluida. A classificação de dados de ontem fornece uma descrição estática dos dados: se esses dados foram rotulados como não sensíveis, eles permanecem não sensíveis apesar das mudanças nos dados e em seu ambiente.

A identificação dinâmica proporciona um grau extremamente alto de precisão à nossa compreensão dos dados, pois registra as alterações nos dados analisando a relação entre as classes de dados dentro de um conjunto de dados. Por exemplo, uma classe de dados contendo:

  • “Primeiro nome” não está vinculado a um indivíduo.
  • A combinação de “primeiro nome” + “sobrenome” + “idade” vincula a um indivíduo.
  • A combinação de “nome” + “sobrenome” + “idade” + “número de segurança social” torna os dados confidenciais ou privados.

Com essa capacidade, a identificação dinâmica de quando a proximidade cria informações privadas e sensíveis nos ajuda a priorizar questões para defesa e garantia de conformidade, informando-nos sobre os níveis de risco variáveis ​​dos dados e identificando combinações de dados tóxicas que representam o maior potencial de uso indevido.

A classificação de dados de ontem não consegue capturar as nuances dos dados: são informações pessoais identificáveis ​​(PII) de clientes ou de funcionários? Soluções baseadas em expressões regulares de provedores de DLP e outros podem facilmente representar dados incorretamente, rotulando classes de dados individuais, como e-mail ou nome, como PII, porque não possuem o contexto necessário para decifrar o que realmente é PII ou não. Por exemplo, e-mail pessoal é PII, mas e-mail corporativo não.

A Cyera é a única plataforma de segurança de dados que oferece identificação dinâmica, resultando em detecção avançada de informações pessoais identificáveis ​​(PII). Isso proporciona uma visão completa das PII em todo o seu ambiente de dados, além de maior visibilidade, gerenciamento de riscos e relatórios de conformidade mais precisos. Dessa forma, você pode aprimorar sua postura de segurança de dados e operacionalizar uma resposta eficaz a incidentes.

Superando o passado

Há muitas alegações sendo feitas sobre o que os fornecedores de tecnologia realmente podem oferecer em termos de Classificação Avançada de Informações Pessoais Identificáveis ​​(PII).

Aqui estão algumas perguntas importantes a serem feitas ao procurar por Classificação Avançada de Informações Pessoais Identificáveis ​​(PII):

  • Quais são exemplos concretos de contexto que a tecnologia pode revelar?
  • Com que rapidez os dados podem ser classificados?
  • Como detectar e classificar dados que eu ainda não conheço?
  • Qual é a precisão dos resultados da classificação?
  • E você consegue me mostrar em menos de 5 minutos?

Ou simplesmente pergunte: "O que você diria que faz aqui (para contextualizar os dados)?"

Fluxo de dados animado mostrando a abordagem da Cyera para proteger informações confidenciais em ambientes de nuvem.

Avançando com a Classificação Avançada de Informações Pessoais Identificáveis ​​(PII)

A plataforma de segurança de dados da Cyera fornece um contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir a resiliência cibernética e a conformidade.

A Cyera adota uma abordagem de segurança centrada em dados, avaliando a exposição dos seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto de dados profundo e holístico em todo o seu ambiente de dados, somos a única solução capaz de capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar medidas imediatas para remediar as exposições e garantir a conformidade sem interromper os negócios.

Veja quais classes de dados e contexto o Cyera pode revelar sobre seu ambiente. agendar uma demonstração hoje.

Share