Decorative
Glossário
Sumário
Link do título do texto

Classificação de Dados

A classificação de dados é o processo de organizar dados em categorias relevantes para tornar mais simples a recuperação, classificação, uso, armazenamento e proteção.

Uma política de classificação de dados, adequadamente executada, torna o processo de localização e recuperação de dados críticos mais fácil. Isso é importante para gestão de riscos, descoberta legal e conformidade regulatória. Ao criar procedimentos e diretrizes escritos para governar políticas de classificação de dados, é fundamental definir os critérios e categorias que a organização usará para classificar dados.

A classificação de dados pode ajudar a tornar os dados mais facilmente pesquisáveis e rastreáveis. Isso é alcançado por meio da marcação dos dados. A marcação de dados permite que as organizações rotulem os dados de forma clara para que sejam fáceis de encontrar e identificar. As tags também ajudam você a gerenciar melhor os dados e identificar riscos mais prontamente. Uma tag de dados também permite que sejam processados automaticamente e garante acesso oportuno e confiável aos dados, conforme exigido por alguns regulamentos estaduais e federais.

A maioria dos projetos de classificação de dados ajuda a eliminar a duplicação de dados. Ao descobrir e eliminar dados duplicados, as organizações podem reduzir os custos de armazenamento e backup, bem como reduzir o risco de dados confidenciais ou dados sensíveis serem expostos em caso de violação de dados.

Especificar funções de administração de dados e responsabilidades para funcionários dentro da organização faz parte dos sistemas de classificação de dados. A administração de dados é a coordenação tática e a implementação dos ativos de dados de uma organização, enquanto a governança de dados se concentra em políticas e procedimentos de dados de nível mais alto.

O Propósito da Classificação de Dados

A classificação de dados aumenta a acessibilidade dos dados, permite que as organizações atendam aos requisitos de conformidade regulatória com mais facilidade e as ajuda a alcançar objetivos de negócios. Frequentemente, as organizações devem garantir que os dados sejam pesquisáveis e recuperáveis dentro de um prazo especificado. Esse requisito é impossível sem processos robustos de classificação para classificar dados de forma rápida e precisa.

Para atender aos objetivos de segurança de dados, a classificação de dados é essencial. A classificação de dados facilita respostas de segurança apropriadas para a segurança de dados com base nos tipos de dados que estão sendo recuperados, copiados ou transmitidos. Sem um processo de classificação de dados, é desafiador identificar e proteger adequadamente dados confidenciais.

A classificação de dados fornece visibilidade sobre todos os dados dentro de uma organização e permite que ela use, analise e proteja as vastas quantidades de dados disponíveis por meio da coleta de dados. A classificação de dados eficaz facilita uma melhor proteção para esses dados e promove a conformidade com as políticas de segurança.

Desafios com Ferramentas Legadas de Classificação de Dados

As ferramentas de classificação de dados destinam-se a fornecer recursos de descoberta de dados; no entanto, elas frequentemente analisam armazenamentos de dados apenas para metadados ou identificadores conhecidos. Em ambientes complexos, a descoberta de dados é ineficaz se conseguir descobrir apenas datas, mas não conseguir identificar se são uma data de nascimento, uma data de transação ou a data de publicação de um artigo. Sem essas informações adicionais, essas ferramentas de descoberta não conseguem identificar se os dados são sensíveis e, portanto, precisam de proteção.

"Os melhores DSPs terão recursos semânticos e contextuais para classificação de dados — julgando o que algo realmente é, em vez de depender de identificadores pré-configurados." Gartner: Roteiro Estratégico 2023 para Adoção de Plataforma de Segurança de Dados

As plataformas modernas de segurança de dados devem incluir recursos semânticos e contextuais para classificação de dados, a fim de identificar o que é uma informação em vez de usar identificadores pré-configurados, que são menos precisos e confiáveis. Como as organizações estão aumentando o uso de serviços de computação em nuvem, mais dados confidenciais estão agora na nuvem. No entanto, muitos dos dados confidenciais não são estruturados, o que torna mais difícil protegê-los.

Esquemas de Classificação de Dados

Um esquema de classificação de dados permite identificar padrões de segurança que especificam práticas de manuseio apropriadas para cada categoria de dados. Padrões de armazenamento que definem os requisitos do ciclo de vida dos dados também devem ser abordados. Uma política de classificação de dados pode ajudar uma organização a atingir suas metas de proteção de dados aplicando categorias de dados a dados externos e internos de forma consistente.

Descoberta de Dados

Ferramentas de descoberta e inventário de dados ajudam as organizações a identificar recursos que contêm dados de alto risco e dados confidenciais em endpoints e ativos de rede corporativa. Essas ferramentas ajudam as organizações a identificar as localizações de dados estruturados e não estruturados confidenciais, analisando hosts, colunas e linhas de banco de dados, aplicações web, compartilhamentos de arquivos e redes de armazenamento.

Tipos de Classificação de Dados

Marcar ou aplicar rótulos aos dados ajuda a classificar os dados. Esta é uma parte essencial do processo de classificação de dados. Essas tags e rótulos definem o tipo de dados, o grau de confidencialidade e a integridade dos dados. O nível de sensibilidade é tipicamente baseado em níveis de importância ou confidencialidade, que se alinham com as medidas de segurança aplicadas para proteger cada nível de classificação. Os padrões da indústria para classificação de dados incluem três tipos:

  • Classificação baseada em conteúdo, que se relaciona a informações confidenciais (como registros financeiros e informações de identificação pessoal).
  • Classificação baseada em contexto, que analisa dados com base na localização, aplicativo, criador e assim por diante, como indicadores indiretos de informações confidenciais.
  • Classificação baseada no usuário, que requer conhecimento e critério do usuário para decidir se deve sinalizar documentos confidenciais durante a criação, processo de edição, ciclos de revisão ou quando o conteúdo é distribuído.

Embora cada abordagem tenha seu lugar na classificação de dados, a classificação baseada no usuário é um processo manual e demorado, e extremamente propenso a erros. Ela não será eficaz na categorização de dados em escala e pode colocar dados protegidos e dados restritos em risco.

Sensibilidade e Risco de Dados

É importante que os esforços de classificação de dados incluam a determinação do risco relativo associado a diversos tipos de dados, como gerenciar esses dados e onde e como armazenar e enviar esses dados. Existem três níveis amplos de risco para dados e sistemas:

  • Baixo risco: Dados públicos que são fáceis de recuperar são um bom exemplo de dados de baixo risco. Qualquer informação que possa ser usada, reutilizada e redistribuída livremente sem restrições locais, regionais, nacionais ou internacionais de acesso ou uso. Dentro de uma organização, esses dados incluem descrições de cargos, materiais de marketing disponíveis publicamente e comunicados de imprensa ou artigos.
  • Risco moderado: Se os dados não são públicos ou são usados apenas internamente, mas não são críticos para as operações ou sensíveis, eles podem ser classificados como de risco moderado. Documentação da empresa, apresentações não sensíveis e procedimentos operacionais podem se enquadrar nesta categoria.
  • Alto risco: Se os dados ou o sistema forem sensíveis ou críticos para a segurança operacional, eles pertencem à categoria de alto risco. Além disso, quaisquer dados difíceis de recuperar são considerados de alto risco. Quaisquer dados confidenciais, dados sensíveis, dados de uso interno apenas e dados necessários também se enquadram nesta categoria. Exemplos incluem números de seguro social, números de carteira de motorista, informações de contas bancárias e de débito, e outros dados altamente sensíveis.

Classificação Automatizada de Dados

Ferramentas automatizadas podem realizar a classificação que define dados pessoais e dados altamente sensíveis com base em níveis de classificação de dados definidos. Uma plataforma que inclui um mecanismo de classificação pode identificar armazenamentos de dados que contêm dados sensíveis em qualquer arquivo, tabela ou coluna em um ambiente. Ela também pode fornecer proteção contínua ao escanear continuamente o ambiente para detectar mudanças no cenário de dados. Novas soluções podem identificar dados sensíveis e onde eles residem, bem como aplicar a classificação baseada em contexto necessária para decidir como protegê-los.

Exemplos de classificação de dados

Classificar dados como restritos, privados ou públicos é um exemplo de classificação de dados. Assim como a identificação de níveis de risco, os dados públicos são os dados menos sensíveis e possuem os menores requisitos de segurança. Os dados restritos recebem a classificação de segurança mais alta e incluem os dados mais sensíveis, como dados de saúde. Um processo bem-sucedido de classificação de dados se estende para incluir procedimentos adicionais de identificação e marcação para garantir a proteção de dados com base na sensibilidade dos dados.

Por Que a Classificação de Dados É Importante

Líderes de segurança e risco só podem proteger dados confidenciais e propriedade intelectual se souberem que os dados existem, onde estão, por que são valiosos e quem tem acesso para usá-los. A classificação de dados os ajuda a identificar e proteger dados corporativos, dados de clientes e dados pessoais. Rotular os dados adequadamente ajuda as organizações a proteger dados e evitar divulgação não autorizada.

O Regulamento Geral de Proteção de Dados (GDPR), entre outros regulamentos de privacidade e proteção de dados, aumenta a importância da classificação de dados para qualquer organização que armazena, transfere ou processa dados. A classificação de dados ajuda a garantir que qualquer coisa coberta pelo GDPR seja rapidamente identificada para que medidas de segurança apropriadas estejam em vigor. O GDPR também aumenta a proteção de dados pessoais relacionados à origem racial ou étnica, opiniões políticas e crenças religiosas ou filosóficas, e a classificação desses tipos de dados pode ajudar a reduzir o risco de problemas relacionados à conformidade.

As organizações devem atender aos requisitos de estruturas estabelecidas, como o GDPR, Lei de Privacidade do Consumidor da Califórnia (CCPA), Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), Lei Gramm-Leach-Bliley (GLBA), Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH), entre outras. Para isso, elas devem avaliar a postura de dados estruturados e não estruturados sensíveis em ambientes de Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS) e Software como Serviço (SaaS) e contextualizar o risco conforme ele se relaciona com segurança, privacidade e outras estruturas regulatórias.

Analise este artigo com IA:
chatgpt Summarize in ChatGPT
Summarize in Claude
Ask Perplexity
grok--v2 Summarize in Grok

Termos Relacionados

Segurança de Dados

Saiba como a segurança de dados protege informações digitais, reduz o risco de violações e atende à conformidade no mundo híbrido e em nuvem de hoje

Saiba mais →
Microsoft 365

What is Microsoft 365?

Saiba mais →