Explorar a classificação de dados

  • 8 minutos

Dados confidenciais apresentam um risco significativo para uma empresa se ela for roubada, compartilhada inadvertidamente ou exposta por meio de uma violação. Os fatores de risco incluem danos à reputação, efeitos financeiros e perda de vantagem competitiva. Proteger os dados e as informações que uma empresa gerencia é uma prioridade máxima para todas as organizações. No entanto, alguns podem achar difícil saber se seus esforços são realmente eficazes, dada a quantidade de conteúdo que mantém.

Além do volume, o conteúdo de uma organização pode variar em importância de altamente sensível e impactante a trivial e transitório. Ele também pode estar sob a alçada de vários requisitos de conformidade regulatória. Saber o que priorizar e onde aplicar controles pode ser um desafio.

As organizações resolvem essas preocupações implementando a classificação de dados. A classificação de dados é um termo especializado usado nos campos de segurança cibernética e gerenciamento de ciclo de vida de dados. Descreve o processo de identificação, categorização e proteção de conteúdo de acordo com seu nível de confidencialidade ou impacto. Em sua forma mais básica, a classificação de dados é um meio de proteger os dados de uma organização contra divulgação, alteração ou destruição não autorizadas com base no quão sensível ou impactante ela é.

As organizações classificam os dados de várias maneiras, incluindo:

  • Rótulos de confidencialidade
  • Rótulos de retenção
  • Tipos de informação sensível
  • Classificadores treináveis

O que é uma estrutura de classificação de dados?

As organizações geralmente codificam uma estrutura de classificação de dados (às vezes chamada de "política de classificação de dados") em uma política formal em toda a empresa. As estruturas de classificação de dados normalmente são compostas por três a cinco níveis de classificação. Esses níveis geralmente incluem três elementos: um nome, uma descrição e exemplos do mundo real.

A Microsoft recomenda não mais do que cinco rótulos pai de nível superior, cada um com um máximo de cinco sub-rótulos (25 no total) para manter a interface do usuário (UI) gerenciável. A interface do usuário normalmente organiza os níveis de menos para mais sensíveis, como:

  • Público
  • Interno
  • Confidencial
  • Altamente Confidencial

Outras variações de nome de nível que você pode encontrar incluem:

  • Restricted
  • Irrestrito
  • Consumidor Protegido

A Microsoft recomenda nomes de rótulo que sejam auto-descritivos. Eles também devem destacar claramente sua sensibilidade relativa. Por exemplo, Confidencial e Restrito pode deixar os usuários adivinhando qual rótulo é apropriado. Em comparação, Confidencial e Altamente Confidencial são mais claros sobre os quais é mais confidencial.

A tabela a seguir mostra um exemplo de um nível de estrutura de classificação de dados Altamente Confidencial:

Nível de classificação Descrição Exemplos
Altamente Confidencial Dados altamente confidenciais são o tipo mais confidencial de dados armazenados ou gerenciados pela empresa e podem exigir notificações legais se violados ou de outra forma divulgados.

Os dados restritos exigem o nível mais alto de controle e segurança. As organizações devem limitar o acesso a uma base de "necessidade de saber".		 - Informações pessoais do usuário
– Dados do titular do cartão
- PHI (informação de integridade protegida)
- Dados da conta bancária

Dica

A estrutura de classificação de dados corporativos da Microsoft originalmente usou uma categoria e um rótulo chamado 'Interno'. No entanto, durante a fase piloto, descobriu que havia razões legítimas para compartilhar alguns documentos externamente. Como tal, ele passou a usar o rótulo 'Geral' em vez de 'Interno'.

Outro componente importante de uma estrutura de classificação de dados são os controles associados a cada nível. Os níveis de classificação de dados por si só são simplesmente rótulos (ou marcas) que indicam o valor ou a confidencialidade do conteúdo. Para proteger esse conteúdo, as estruturas de classificação de dados definem os controles que devem estar em vigor para cada nível de classificação de dados. Esses controles podem incluir requisitos relacionados a:

  • Tipo de armazenamento e local
  • Criptografia
  • Controle de acesso
  • Destruição de dados
  • Prevenção contra perda de dados
  • Divulgação pública
  • Acesso ao registro em log e acompanhamento
  • Outros objetivos de controle, conforme necessário

Os controles de segurança de uma organização variam de acordo com o nível de classificação de dados. Por exemplo:

  • As medidas de proteção definidas na estrutura de uma organização podem aumentar a proporcionalidade com a confidencialidade de seu conteúdo.
  • Os requisitos de controle de armazenamento de dados podem variar dependendo da mídia usada e do nível de classificação aplicado a um determinado conteúdo.

A tabela a seguir mostra um exemplo de controles de classificação de dados para um tipo de armazenamento específico.

Tipo de armazenamento Confidencial Interno Irrestrito
Armazenamento removível Proibido Proibido, a menos que criptografado Nenhum controle necessário

Aplicar corretamente o nível certo de classificação de dados pode ser complexo em situações da vida real. Como tal, às vezes pode sobrecarregar os usuários finais. O processo não termina quando uma organização cria uma política ou um padrão que define os níveis necessários de classificação de dados. Em vez disso, é importante orientar os usuários finais sobre como dar vida a essa estrutura em seu trabalho diário. Essa área é onde as regras ou diretrizes de tratamento de classificação de dados entram.

As diretrizes de tratamento de classificação de dados ajudam os usuários finais com diretrizes específicas sobre como lidar com cada nível de dados adequadamente, para diferentes mídias de armazenamento ao longo do ciclo de vida. Essas diretrizes também ajudam os usuários finais a aplicar corretamente regras na prática. Por exemplo, ao compartilhar documentos, enviar emails ou colaborar em diferentes plataformas e organizações.

Os clientes da Microsoft indicam que aproximadamente 50% de um projeto de Proteção de Informações é focado nos negócios, em vez de técnico. Como tal, o treinamento e a comunicação do usuário final são fundamentais para o sucesso.

Criar uma estrutura de classificação de dados bem projetada.

À medida que as organizações desenvolvem, renovam ou refinam suas estruturas de classificação de dados, elas devem considerar as seguintes melhores práticas:

  • Não espere ir de 0 a 100 no 1º dia. A Microsoft recomenda uma abordagem de rastreamento em execução. Os recursos essenciais para a organização devem ser priorizados e mapeados em relação a um linha do tempo. Conclua a primeira etapa, verifique se ela foi bem-sucedida e, em seguida, passe para a próxima fase, aplicando as lições aprendidas. Lembre-se de que projetar sua estrutura de classificação de dados não elimina a exposição da sua organização ao risco. Como tal, não há problema em começar pequeno com apenas alguns níveis de classificação e expandir mais tarde, conforme necessário.

  • Você não está apenas escrevendo para profissionais de segurança cibernética. As estruturas de classificação de dados são destinadas a um público amplo. Ela pode incluir seu membro médio da equipe, suas equipes legais e de conformidade e sua equipe de TI. É importante escrever definições claras e fáceis de entender para seus níveis de classificação de dados. Forneça exemplos do mundo real sempre que possível. Tente evitar jargões e considere um glossário para siglas e termos altamente técnicos.

  • Implemente suas estruturas de classificação de dados. Não é suficiente que as organizações criem apenas estruturas de classificação de dados. Para ter êxito, as organizações também devem implementá-las. É especialmente relevante ao criar os requisitos de controle para cada nível de classificação de dados. Verifique se você define claramente os requisitos. Você também deve antecipar e abordar qualquer ambiguidade que possa surgir durante a implementação. Por exemplo, se você tiver um controle em torno de informações pessoais do cliente, exclua exatamente o que esse controle significa, como Segurança Social ou número de passaporte.

  • Seja granular somente se precisar. As estruturas de classificação de dados normalmente contêm de 3 a 5 níveis de classificação de dados. Mas só porque você pode incluir cinco níveis não significa que você deve. Considere os seguintes critérios ao decidir o número de níveis de classificação necessários:

    • Sua indústria e suas obrigações regulatórias associadas (indústrias altamente regulamentadas tendem a precisar de mais níveis de classificação).
    • A sobrecarga operacional necessária para manter uma estrutura mais complexa.
    • Seus usuários e sua capacidade de cumprir com a maior complexidade e nuance associadas a mais níveis de classificação.
    • Experiência e acessibilidade do usuário ao buscar aplicar a classificação manual em vários tipos de dispositivo.

  • Envolva as pessoas certas. Ter um stakeholder sênior é fundamental para o sucesso. Muitos projetos lutam para começar ou demorar mais sem o apoio da alta administração. As equipes de tecnologia da informação normalmente possuem estruturas de classificação de dados. No entanto, elas podem ter implicações legais, de conformidade, de privacidade e de gerenciamento de alterações. Uma organização deve garantir que a estrutura criada ajude a proteger seus negócios. Para isso, ela deve incluir privacidade e partes interessadas legais no desenvolvimento de sua política. Por exemplo, o Diretor de Privacidade da empresa e o Escritório do Conselho Geral. Se sua organização tiver uma divisão de conformidade, profissionais de gerenciamento de ciclo de vida de dados ou uma equipe de gerenciamento de registros, eles também poderão ter uma entrada valiosa. À medida que você implanta sua estrutura para o negócio, seu departamento de Comunicações também tem um papel fundamental a desempenhar para mensagens internas e adoção.

  • Equilíbrio entre a segurança e a conveniência. Um erro comum é elaborar uma estrutura de classificação de dados segura, mas excessivamente restritiva. Embora as organizações definam esse tipo de estrutura com segurança em mente, elas geralmente têm dificuldades ao implementá-las. Se os usuários devem seguir procedimentos complexos, rígidos e demorados para aplicar a estrutura em suas vidas diárias, há sempre um risco de que eles possam não acreditar mais em seu valor. Quando esse cenário ocorre, os usuários normalmente param de seguir procedimentos. Esse risco existe em todos os níveis da organização, incluindo gerentes de nível executivo (C-suite) dentro da organização. Um bom equilíbrio de segurança em relação à conveniência, juntamente com ferramentas fáceis de usar, geralmente leva a uma adoção e uso mais amplos do usuário. Se houver lacunas em sua estrutura, não aguarde até que tudo esteja perfeito para iniciar a implementação. Em vez disso, avalie o risco ou a lacuna, crie um plano para atenuar e continue avançando. Lembre-se de que a proteção de informações é uma jornada. Não é algo que você apenas ativa durante a noite. Planeje, implemente algumas funcionalidades, confirme o sucesso e itere para o próximo marco à medida que as ferramentas evoluem e os usuários ganham maturidade e experiência.

Além disso, tenha em mente que uma estrutura de classificação de dados apenas aborda o que sua organização deve fazer para proteger dados confidenciais. As estruturas de classificação de dados geralmente incluem regras ou diretrizes de tratamento de dados que definem como colocar essas políticas em prática de uma perspectiva técnica e tecnológica.

Pontos de dor na criação de uma estrutura de classificação de dados

Os esforços de classificação de dados são, por natureza, de amplo alcance. Eles tocam quase todas as funções de negócios em uma empresa. Devido a esse amplo escopo e à complexidade de gerenciar conteúdo em ambientes digitais modernos, muitas vezes as empresas enfrentam desafios em saber:

  • Por onde começar.
  • Como gerenciar uma implementação bem-sucedida.
  • Como medir seu progresso.

As organizações geralmente encontram pontos críticos comuns quando:

  • Criam uma estrutura de classificação de dados robusta e fácil de entender. Ao fazer isso, as organizações devem determinar os níveis de classificação e os controles de segurança associados.
  • Desenvolva um plano de implementação. Ele deve confirmar a solução de tecnologia apropriada, alinhar o plano aos processos de negócios existentes e identificar seu efeito sobre a força de trabalho.
  • Configurar uma estrutura de classificação de dados na solução de tecnologia escolhida.
  • Resolva quaisquer lacunas entre as funcionalidades de tecnologia da ferramenta e a própria estrutura.
  • Estabeleça uma estrutura de governança. Essa estrutura deve supervisionar a manutenção contínua e a integridade dos esforços de classificação de dados.
  • Identifique KPIs (indicadores chave de desempenho) específicos para monitorar e medir o progresso.
  • Aumentar a conscientização e a compreensão das políticas de classificação de dados, por que elas são importantes e como cumpri-las.
  • Estar em conformidade com as revisões de auditoria interna que visam controles de perda de dados e segurança cibernética.
  • Treinar e envolver usuários. Os usuários devem ficar atentos à necessidade de classificação correta em seu trabalho diário. Eles também devem aprender quando aplicar as medidas de classificação corretas.

Governança e manutenção

Depois que uma organização desenvolve e implementa sua estrutura de classificação de dados, a governança e a manutenção contínuas são fundamentais para seu sucesso. Além de acompanhar seus usuários empregam rótulos de confidencialidade na prática, as organizações devem atualizar seus requisitos de controle com base em alterações nas regulamentações, práticas líderes de segurança cibernética e na natureza do conteúdo que gerenciam.

Os esforços de governança e manutenção podem incluir:

  • Estabelecer um órgão de governança dedicado à classificação de dados ou adicionar uma responsabilidade de classificação de dados à carta de um órgão de segurança de informações existentes.
  • Definindo funções e responsabilidades para usuários que supervisionam a classificação de dados.
  • Estabelecer KPIs para monitorar e medir o progresso.
  • Acompanhamento das práticas líderes de segurança cibernética e das alterações regulatórias.
  • Desenvolvendo procedimentos operacionais padrão. Esses procedimentos devem dar suporte e impor uma estrutura de classificação de dados.

Verificação de conhecimentos

Escolha a melhor resposta para as perguntas abaixo.