Recomendações para classificação de dados
Aplica-se à recomendação da lista de verificação de segurança bem arquitetada: Power Platform
| SE:03 | Classifique e aplique de maneira consistente rótulos de confidencialidade em todos os dados e sistemas da carga de trabalho envolvidos no processamento de dados. Use a classificação para influenciar o design, a implementação e a priorização da segurança da carga de trabalho. |
|---|
Este guia fornece recomendações para classificar dados com base na confidencialidade. Diferentes tipos de dados têm diferentes níveis de confidencialidade, e a maioria das cargas de trabalho armazena tipos de dados variados. A classificação de dados ajuda você a categorizar dados pela confidencialidade, que tipo de informação contêm e quais regras de conformidade precisam seguir. Dessa maneira, você pode aplicar o nível certo de proteção, como controles de acesso, políticas de retenção para tipos de informações diferentes e assim por diante.
Definições
| Termo | Definição |
|---|---|
| Classificação | Um processo para categorizar ativos da carga de trabalho por níveis de confidencialidade, tipo de informação, requisitos de conformidade e outros critérios oferecidos pela organização. |
| Metadados | Uma implementação para aplicação de taxonomia a ativos. |
| Taxonomia | Um sistema para organizar dados classificados usando uma estrutura acordada. Normalmente, uma representação hierárquica da classificação de dados. Ela indicou entidades que indicam critérios de categorização. |
Estratégias-chave de design
A classificação de dados ajuda você a dimensionar corretamente os controles de segurança e ajuda a equipe de triagem a agilizar a descoberta durante a resposta a incidente. Um pré-requisito para o processo de design é compreender claramente se os dados devem ser tratados como confidenciais, restritos, públicos ou qualquer outra classificação de confidencialidade. Também é essencial determinar os locais onde os dados são armazenados, porque os dados podem ser distribuídos em vários ambientes. Com conhecimento de onde os dados são armazenados, você pode projetar uma estratégia que atenda aos requisitos de segurança.
A classificação de dados pode ser uma tarefa entediante. Você pode usar ferramentas capazes de encontrar ativos de dados e recomendar classificações. Mas, não dependa apenas de ferramentas. Verifique se os membros da equipe fazem os exercícios com cuidado. Em seguida, use ferramentas para automatizar quando isso fizer sentido.
Com essas melhores práticas, consulte Criar uma estrutura de classificação de dados bem projetada.
Compreender taxonomia definida por organização
Taxonomia é uma representação hierárquica da classificação de dados. Ela indicou entidades que indicam os critérios de categorização.
Organizações diferentes podem ter estruturas de classificação de dados diferentes; no entanto, elas normalmente consistem em três a cinco níveis com nomes, descrições e exemplos. Aqui estão alguns exemplos de taxonomia da classificação de dados:
| Confidencialidade | Tipo de informações | Description |
|---|---|---|
| Pública | Material de marketing público, informações disponíveis no site | Informações acessíveis livremente e não confidenciais |
| Internos | Políticas, procedimentos ou orçamentos relacionados à organização | Informações relacionadas a uma organização específica |
| Confidencial | Segredos comerciais, dados do cliente ou registros finais | Informações confidenciais e que exigem proteção |
| Altamente confidencial | Informações de identificação pessoal confidenciais (PII confidenciais), dados do titular do cartão, informações de saúde protegidas (PHI), dados de conta bancária | Informações altamente confidenciais que exigem o mais alto nível de segurança. Poderá exigir notificações legais se violado ou divulgado de alguma outra forma. |
Importante
Como proprietário da carga de trabalho, você deve seguir a taxonomia estabelecida pela organização. Todos os papéis da carga de trabalho devem concordar com a estrutura, os nomes e os significados dos níveis de confiabilidade. Não crie o próprio sistema de classificação.
Definir o escopo da classificação
A maioria das organizações tem um conjunto de rótulos diversificado.
Verifique se você sabe quais ativos e componentes de dados pertencem a cada nível de confidencialidade e quais não pertencem. O objetivo pode ser uma solução de problemas mais rápida, uma recuperação de desastre mais rápida ou auditorias legais. Quando você sabe bem a meta, isso ajuda a fazer o trabalho de classificação devidamente.
Comece por estas perguntas simples e expanda conforme necessário com base na complexidade do sistema:
- Qual é a origem dos dados e o tipo de informações?
- Qual é a restrição esperada com base no acesso? Por exemplo, eles são dados de informações públicas, regulatórios ou outros casos de uso esperados?
- Qual é o volume de dados? Onde os dados são armazenados? Por quanto tempo os dados devem ser retidos?
- Quais componentes da arquitetura interagem com os dados?
- Como os dados se movem pelo sistema?
- Quais informações são esperadas nos relatórios de auditoria?
- Você precisa classificar os dados de pré-produção?
Fazer o inventário dos armazenamentos de dados
A classificação de dados se aplica ao sistema como um todo. Faça o inventário de todos os armazenamentos de dados e os componentes que estejam no escopo. Se você estiver projetando um novo sistema, verifique se você tem uma categorização inicial por definições de taxonomia. Pense em como os dados vão fluir pelo sistema entre os componentes e verifique se os dados não cruzam limites da classificação de dados.
Leve em consideração como você vai se conectar aos dados:
Novos dados: se sua carga de trabalho gerar novos dados que não estavam armazenados anteriormente em nenhum lugar, como na transição de um processo baseado em papel, sugerimos armazenar esses dados em Microsoft Dataverse. Você pode então conectar e gerenciar Microsoft Dataverse dados por meio do Microsoft Purview.
Leitura/gravação de um sistema existente: se sua carga de trabalho precisar se conectar a dados que já existem, você precisará projetar como ler e gravar no banco de dados ou sistema existente. Você pode usar tabelas virtuais, conectar-se aos dados por meio de conectores, fluxos de dados ou usar um gateway local para dados locais.
Definir o escopo
Seja granular e explícito ao definir o escopo. Vamos supor que o armazenamento de dados seja um sistema tabular. Convém classificar a confidencialidade no nível da tabela ou até mesmo nas colunas dentro da tabela. Além disso, estenda a classificação para componentes que não sejam de armazenamento de dados relacionados ou tenham participação no processamento dos dados. Por exemplo, você classificou o backup do armazenamento de dados altamente confidencial? Se você estiver armazenando em cache dados confidenciais do usuário, o armazenamento de dados em cache vai estar no escopo? Se você usar armazenamentos de dados analíticos, como os dados agregados serão classificados?
Projetar de acordo com rótulos de classificação
A classificação deve influenciar as decisões arquitetônicas. A área mais óbvia é a estratégia de segmentação, que deve levar em consideração os rótulos de classificação variados.
As informações de classificação devem acompanhar os dados à medida que eles transitam pelo sistema e pelos componentes da carga de trabalho. Os dados rotulados como confidenciais devem ser tratados como confidenciais por todos os componentes que interagem com eles. Por exemplo, não deixe de proteger dados pessoais removendo ou ofuscando-os de qualquer tipo de log de aplicativo.
A classificação afeta o design do seu relatório na maneira como os dados devem ser expostos. Por exemplo, com base nos rótulos do tipo de informação, você precisa aplicar um algoritmo de mascaramento de dados para ofuscação como resultado do rótulo do tipo de informação? Quais funções devem ter visibilidade dos dados brutos em comparação com dados mascarados? Se houver algum requisito de conformidade para relatórios, como os dados são mapeados de acordo com os regulamentos e os padrões? Quando você tem esse reconhecimento, fica mais fácil demonstrar conformidade com requisitos específicos e gerar relatórios para auditores.
Isso também afeta as operações do gerenciamento do ciclo de vida dos dados, como retenção de dados e agendamentos de descomissionamento.
Aplicar taxonomia para consulta
Existem muitas maneiras de aplicar rótulos de taxonomia aos dados identificados. O uso de um esquema de classificação com metadados é a maneira mais comum de indicar os rótulos. O processo do design de arquitetura deve incluir o design do esquema.
Lembre-se de que nem todos os dados podem ser claramente classificados. Tome uma decisão explícita sobre como os dados que não podem ser classificados devem ser representados nos relatórios.
A implementação real depende do tipo de recursos. Os dados consumidos pela carga de trabalho do Power Platform podem ter origem em fontes de dados externas do Power Platform. O esquema deve incluir detalhes sobre como os dados de fontes de dados diferentes se movem pela carga de trabalho ou são transferidos potencialmente de um armazenamento de dados para o outro, mantendo a integridade da classificação.
Alguns recursos do Azure têm sistemas de classificação internos. Por exemplo, o Azure SQL Server tem um mecanismo de classificação, dá suporte ao mascaramento dinâmico e pode gerar relatórios com base em metadados. Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint podem ter rótulos de confidencialidade aplicados no nível do contêiner. Microsoft Dataverse integra-se com o Purview para aplicar rótulos de dados. Microsoft
Ao projetar a implementação, avalie os recursos compatíveis pela plataforma e os usufrua. Verifique se os metadados usados na classificação são isolados e armazenados separadamente dos armazenamentos de dados.
Também existem ferramentas de classificação especializadas capazes de detectar e aplicar rótulos automaticamente. Essas ferramentas são conectadas às fontes de dados. Microsoft O Purview tem recursos de descoberta automática. Também existem ferramentas de terceiros que oferecem recursos semelhantes. O processo de descoberta deve ser validado por meio da verificação manual.
Revise a classificação de dados regularmente. A manutenção da classificação deve ser incorporada a operações, ou metadados obsoletos podem acarretar resultados errôneos para os objetivos identificados e os problemas de conformidade.
Compensação: Esteja ciente da compensação de custos nas ferramentas. As ferramentas de classificação exigem treinamento e podem ser complexas.
Em última análise, a classificação deve acumular para a organização por meio das equipes centrais. Obtenha a opinião deles sobre a estrutura do relatório esperada. Além disso, usufrua ferramentas e processos centralizados para ter alinhamento organizacional e também aliviar custos operacionais.
Facilitação do Power Platform
A classificação deve influenciar as decisões arquitetônicas.
Microsoft O Purview fornece visibilidade dos ativos de dados em toda a sua organização. Para obter mais informações, consulte Saiba mais sobre Microsoft o Purview.
Microsoft O Purview Data Map permite descoberta automatizada de dados e classificação de dados confidenciais. A integração entre o Purview e o ajudará a entender e governar melhor o patrimônio de dados dos seus aplicativos de negócios, proteger esses dados e melhorar sua postura de risco e conformidade. Microsoft Microsoft Dataverse
Com essa integração, você pode:
- Crie um mapa de dados holístico e atualizado no Microsoft Dynamics 365, Power Platform e outras fontes suportadas pelo Microsoft Purview.
- Classifique automaticamente os ativos de dados com base em classificações do sistema internas ou classificações personalizadas definidas pelo usuário, para ajudar a identificar e compreender dados confidenciais.
- Capacite consumidores de dados para descobrir dados valiosos e confiáveis.
- Permita a curadores de dados e administradores de segurança gerenciar e manter o patrimônio de dados seguro, reduzir a exposição a dados e proteger melhor dados confidenciais.
Para obter mais informações, consulte Conectar e gerenciar Microsoft Dataverse no Microsoft Purview.
Alinhamento organizacional
O Cloud Adoption Framework oferece diretrizes para equipes centrais sobre como classificar dados para que as equipes de carga de trabalho possam seguir a taxonomia organizacional.
Para obter mais informações, consulte O que é classificação de dados?
Informações relacionadas
- Classificação de dados e taxonomia de rótulos de sensibilidade
- Crie uma estrutura de classificação de dados bem projetada
- Conecte-se e gerencie Microsoft Dataverse no Microsoft Purview
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.