Tabela de conteúdo

O que é classificação de dados?

Tabela de conteúdo

A classificação de dados - ou a organização e categorização de dados com base em sua sensibilidade, importância e critérios predefinidos - é fundamental para a segurança de dados. Ele permite que as organizações gerenciem, protejam e tratem com eficiência seus ativos de dados atribuindo níveis de classificação. Com isso, as organizações podem priorizar recursos e aplicar medidas de segurança adaptadas aos requisitos de cada categoria de dados.

 

Explicação da classificação de dados

A classificação de dados ajuda a identificar e proteger informações confidenciais, como informações de identificação pessoal (PII), informações de saúde protegidas (PHI) e dados financeiros. Ao categorizar os dados de acordo com seu nível de sensibilidade, importância ou outros critérios, as organizações podem proteger e manipular efetivamente os ativos de dados com medidas de segurança adequadas a cada tipo de dados. A conformidade com os padrões regulatórios, como GDPR, HIPAA ou CCPA, depende muito da classificação dos dados.

classificar dados confidenciais
Figura 1: classificar dados confidenciais

Como funciona a classificação de dados

A realização da classificação de dados começa com a definição de um esquema de classificação, que descreve as categorias e os critérios para cada tipo de dados. Os níveis comuns de classificação incluem público, uso interno, restrito e confidencial. Em seguida, as organizações identificam seus ativos de dados, estruturados e não estruturados, e determinam o nível de classificação apropriado para cada ativo.

As ferramentas e soluções automatizadas podem ajudar no processo de classificação, usando algoritmos avançados para escanear e analisar dados, combinando-os com as categorias definidas com base no conteúdo, nos metadados ou em outros atributos. Além disso, a classificação manual que envolve intervenção humana pode entrar em ação quando o conhecimento do assunto é necessário para avaliar a sensibilidade ou a importância dos dados.

Depois que os dados são classificados, as organizações podem agir com base nessas informações implementando controles e políticas de segurança apropriados para cada nível de classificação. Essas medidas podem incluir criptografia para dados confidenciais, controles de acesso com base nas funções do usuário e políticas de retenção de dados adaptadas aos requisitos de cada categoria.

A integração da classificação de dados em suas práticas de segurança permite que as organizações otimizem a alocação de recursos, priorizem medidas de proteção e tomem decisões informadas sobre armazenamento de dados, controles de acesso, compartilhamento de dados e períodos de retenção. Como em todos os aspectos da segurança na nuvem, uma abordagem proativa e direcionada reduz os riscos e fortalece a postura de segurança.

 

Por que a classificação de dados é importante

Compreender a importância da classificação de dados é fundamental para proteger as informações confidenciais e reduzir os riscos. Os especialistas em segurança podem identificar os ativos mais críticos e confidenciais no ecossistema de dados de uma organização classificando os dados. Esse conhecimento permite que eles aloquem medidas de segurança apropriadas, como criptografia, controles de acesso e monitoramento, para as categorias de dados de maior risco.

‍‍Ao usar a classificação de dados, as organizações podem direcionar os protocolos de segurança da maneira mais eficiente para obter a maior proteção de suas informações valiosas e confidenciais. Além da segurança, os diferentes tipos de classificação de dados permitem que as organizações alinhem seus esforços de segurança às normas específicas do setor e aos requisitos legais.

O que é PCI?

Organizações de todos os setores lutam com os formidáveis padrões do Payment Card Industry (PCI). Esses padrões, estabelecidos pelas principais empresas de cartão de crédito, servem como um baluarte para proteger os dados do titular do cartão durante as transações de pagamento. O senhor pode entrar no padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) uma estrutura que impõe diretrizes e requisitos às empresas que lidam, processam ou armazenam informações de cartões de pagamento.

A conformidade com o PCI não é negociável para as entidades envolvidas na aceitação, transmissão ou armazenamento de dados do titular do cartão - pense em comerciantes, instituições financeiras e provedores de serviços. O PCI DSS desencadeia uma enxurrada de medidas de segurança: fortalecer a segurança da rede, empregar criptografia, reforçar os controles de acesso e realizar avaliações regulares de vulnerabilidade.

O que é PII?

Quando se trata de informações confidenciais, outra área de preocupação são os dados que identificam uma pessoa, também conhecidos como conhecidos como informações de identificação pessoal (PII). Esse termo abrange uma ampla variedade de dados, incluindo, mas não se limitando a:

  • Nomes
  • Números de seguridade social (SSN)
  • Endereços
  • Números de telefone
  • Endereços de e-mail
  • Detalhes da conta financeira
  • Dados biométricos

As PII têm um valor significativo para indivíduos e organizações, pois são facilmente exploráveis para roubo de identidade, fraude ou outras atividades maliciosas. A identificação e a proteção das PII são cruciais para a proteção da privacidade e a conformidade regulatória. As organizações devem implementar medidas de segurança robustas, como criptografia, controles de acesso e anonimização de dados, para garantir a confidencialidade e a integridade das PII.

O que é PHI?

Na área médica, as informações de saúde protegidas (PHI) abrangem todos os dados confidenciais relacionados à saúde, às condições médicas ou aos tratamentos de um indivíduo, geralmente incluindo PII. Essas informações valiosas abrangem uma série de dados, inclusive:

  • registros médicos
  • resultados de diagnóstico
  • prescrições
  • detalhes do seguro de saúde
  • quaisquer outros dados relacionados à saúde pessoalmente identificáveis

O gerenciamento de PHI nos EUA é um desafio, pois é altamente regulamentado pela Health Insurance Portability and Accountability Act (HIPAA), que garante os padrões de privacidade e segurança que os prestadores de serviços de saúde devem seguir. Os profissionais de saúde e as organizações devem salvaguardar a confidencialidade das PHI para proteger a privacidade dos pacientes, impedir o acesso não autorizado e cumprir os requisitos legais. Atender a esses requisitos envolve medidas extremas de segurança que incluem os mais altos protocolos para controles de acesso, criptografia e trilhas de auditoria.

Desafios do GDPR

Todas as organizações que armazenam dados de cidadãos ou residentes da União Europeia (UE) enfrentam um desafio de privacidade de dados mais significativo do que apenas identificar tipos de dados específicos. Elas devem estar em conformidade com o Regulamento Geral de Proteção de Dados (GDPR), que estabelece requisitos rigorosos para organizações que lidam com dados pessoais e garantem transparência, responsabilidade e controle sobre como as informações pessoais são coletadas, processadas e armazenadas. Como incentivo à conformidade, o GDPR também impõe penalidades significativas para a não conformidade, com multas que podem chegar a 4% da receita anual global de uma empresa ou a 20 milhões de euros, o que for maior, tornando extremamente proibitivo o custo para as empresas ignorarem o mandato.

Além disso, ela concede aos cidadãos e residentes da UE vários direitos, incluindo o direito de acessar seus dados, o direito de ser esquecido e o direito à portabilidade de dados. Cada um desses direitos deve ser facilitado pelas organizações que armazenam seus dados, exigindo que elas saibam a todo momento onde os dados correspondentes estão armazenados e quem pode acessá-los para manter a conformidade com o GDPR. Eles também devem incluir processos para excluir esses dados de um indivíduo mediante solicitação, o que depende de saber onde os dados relevantes residem.

 

Níveis de classificação de dados

A classificação dos dados pode ser feita manual ou automaticamente, usando uma combinação de julgamento humano e algoritmos avançados. Os níveis de classificação de dados podem variar, desde rótulos simples, como "público", "confidencial" e "sensível", até categorias mais detalhadas baseadas em regulamentações específicas e padrões do setor.

Exemplo de níveis de classificação de dados:

  1. Dados confidenciais: Essa é a categoria mais sensível e inclui dados que devem ser protegidos a todo custo, como segredos comerciais, informações financeiras, informações de identificação pessoal (PII) e informações comerciais confidenciais.
  2. Somente para uso interno: Essa categoria inclui dados sensíveis, mas não é tão crítica quanto os dados confidenciais, como informações sobre a folha de pagamento dos funcionários, memorandos internos e planos de projetos.
  3. Dados restritos: Essa categoria inclui dados sensíveis, mas não é tão crítica quanto os dados confidenciais, como informações sobre clientes, planos de marketing e informações sobre preços.
  4. Dados públicos: Essa categoria inclui dados que não são confidenciais e podem ser compartilhados livremente com o público, como comunicados de imprensa e materiais de marketing da empresa.
  5. Dados arquivados: Essa categoria inclui dados que não são mais usados ativamente, mas que ainda precisam ser retidos por motivos legais, regulatórios ou históricos, como relatórios financeiros antigos e registros de pessoal.
Razões para implementar um processo de classificação de dados
Figura 2: A importante função de segurança de dados da classificação de dados.

 

Casos de uso de classificação de dados

Independentemente do número de exigências de conformidade que uma organização deve seguir, é essencial adotar a classificação de dados. A implementação da descoberta de dados como uma prática recomendada pode aumentar significativamente a segurança de forma direcionada e eficiente. Ao compreender os dados confidenciais em seu ecossistema e categorizá-los adequadamente, as organizações podem alocar recursos de forma mais eficaz e priorizar as medidas de segurança adequadamente.

A classificação de dados não apenas ajuda nos esforços de conformidade, mas também desempenha um papel crucial na prevenção de violações de segurança. Ao identificar e proteger dados confidenciais, as organizações podem mitigar os riscos de acesso não autorizado e possíveis violações, evitando as consequências negativas do comprometimento da segurança. Adotar a classificação de dados e utilizar técnicas de descoberta é uma etapa proativa para proteger informações valiosas e garantir a integridade e a confiabilidade dos ativos de dados de uma organização.

‍‍Quais são alguns exemplos de classificação de dados?

Vários tipos de dados devem ser classificados para uma segurança de dados eficaz, pois são considerados sensíveis e exigem proteção contra acesso não autorizado, roubo ou perda.

  1. As informações de identificação pessoal (PII) incluem dados que podem ser usados para identificar um indivíduo, como nome completo, número do Seguro Social, número da carteira de motorista ou número do passaporte.
  2. Informações financeiras referem-se a dados relacionados a transações e contas financeiras, como números de cartão de crédito, números de contas bancárias e informações sobre investimentos.
  3. Informações comerciais confidenciais envolvem dados proprietários que dão à empresa uma vantagem competitiva, como segredos comerciais, planos de negócios e pesquisas de mercado.
  4. Informações de saúde são dados relacionados ao estado de saúde e ao histórico médico de uma pessoa, como diagnósticos, planos de tratamento e informações de prescrição.
  5. Apropriedade intelectual inclui dados relacionados a patentes, marcas registradas, direitos autorais e segredos comerciais.
  6. Informações governamentais são classificadas ou restritas por agências governamentais, como informações de segurança nacional, registros de aplicação da lei e informações militares classificadas.
  7. Informações sobre os funcionários: Isso inclui dados relacionados aos funcionários, como informações da folha de pagamento, avaliações de desempenho no trabalho e registros disciplinares.

Esses são apenas alguns exemplos dos dados de classificação vitais para melhorar a segurança dos dados. Os tipos de dados específicos que devem ser classificados variam de acordo com os requisitos de segurança da organização. O objetivo da classificação de dados, no entanto, continua centrado na compreensão do nível de sensibilidade dos dados e na determinação das medidas de segurança adequadas necessárias para protegê-los.

Padrões comuns de conformidade
‍‍Figura 3: Órgãos reguladores para uma compreensão rápida do foco da conformidade de dados

 

Como a classificação de dados melhora a segurança dos dados?

A classificação dos dados determina as medidas de segurança adequadas necessárias para proteger os dados contra acesso não autorizado, roubo ou perda. Como tal, ele informa muitas práticas de segurança de dados.

Avaliação de riscos

A classificação dos dados é usada para identificar os ativos mais críticos e priorizar a proteção de dados confidenciais. Isso ajuda as organizações a concentrar seus esforços de segurança cibernética nas áreas que exigem mais atenção.

Controle de acesso

A classificação de dados ajuda as organizações a determinar quem deve ter acesso a dados confidenciais e que nível de acesso deve ter. Por exemplo, dados altamente confidenciais podem ser acessados apenas por um pequeno grupo de pessoas autorizadas, enquanto dados menos confidenciais podem ser acessados por um grupo maior de funcionários.

Criptografia de dados

A classificação dos dados ajuda as organizações a determinar quais dados requerem criptografia e o nível necessário de criptografia. Por exemplo, alguns dados altamente confidenciais podem exigir criptografia tanto em repouso quanto em trânsito, enquanto dados menos confidenciais podem precisar ser criptografados apenas em repouso.

Backup e recuperação de dados

A classificação dos dados ajuda as organizações a determinar quais dados precisam de backup e com que frequência. Por exemplo, pode ser necessário fazer backup dos dados altamente confidenciais diariamente e armazená-los em locais externos seguros, enquanto os dados menos confidenciais podem precisar de backup apenas semanalmente.

Conformidade

A classificação de dados também é usada para garantir a conformidade com os regulamentos de proteção de dados, como o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) ou o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS). Esses requisitos geralmente exigem que as organizações implementem medidas de segurança específicas para proteger dados confidenciais, e a classificação dos dados é a primeira etapa para determinar quais dados se enquadram nessa categoria.

 

Perguntas frequentes sobre classificação de dados

Os tipos de classificação de dados incluem público, uso interno, restrito e confidencial, que é a categoria mais sensível, normalmente incluindo informações de identificação pessoal (PII) e segredos comerciais.
Exemplos de classificação de dados incluem informações de identificação pessoal (PII), informações de saúde protegidas (PHI), dados financeiros, propriedade intelectual, como segredos comerciais e patentes, e informações governamentais.

A conformidade com a privacidade de dados refere-se à adesão de uma organização às leis, aos regulamentos e aos padrões do setor que regem a coleta, o armazenamento, o processamento e o compartilhamento de dados pessoais e confidenciais.

Os requisitos de conformidade variam de acordo com a jurisdição, o setor e o tipo de dados envolvidos, com exemplos que incluem o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)

A conformidade com o GDPR refere-se à adesão de uma organização ao Regulamento Geral de Proteção de Dados da União Europeia, uma lei abrangente de privacidade de dados que entrou em vigor em maio de 2018. O regulamento se aplica a qualquer organização que processe os dados pessoais de residentes da UE, independentemente de sua localização geográfica.

A conformidade com o GDPR envolve a implementação de medidas de proteção de dados, como minimização de dados, criptografia e pseudonimização, bem como a garantia de que os direitos dos titulares de dados, incluindo o direito de acesso, retificação e exclusão, sejam respeitados. As organizações também devem realizar avaliações de impacto sobre a proteção de dados, nomear um responsável pela proteção de dados, se necessário, e relatar violações de dados em até 72 horas.

Os regulamentos da HIPAA referem-se à Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade do Seguro de Saúde), uma lei federal dos EUA que estabelece padrões para proteger a privacidade e a segurança das informações de saúde dos pacientes. Os regulamentos consistem na Privacy Rule (Regra de Privacidade), que rege o uso e a divulgação de informações de saúde protegidas (PHI), e na Security Rule (Regra de Segurança), que estabelece requisitos específicos para proteger a confidencialidade, a integridade e a disponibilidade das PHI eletrônicas.

As organizações que lidam com PHI, como os prestadores de serviços de saúde e seus associados comerciais, devem implementar proteções administrativas, físicas e técnicas, além de garantir treinamento adequado e práticas de gerenciamento de risco para obter conformidade com a HIPAA.

Conteúdo relacionado
DSPM: O senhor precisa disso?
Descubra cinco abordagens predominantes de segurança de dados, juntamente com casos de uso e aplicativos para cada abordagem de segurança de dados.
Proteção de dados e IA em 2024: O que os CISOs precisam saber
Junte-se aos especialistas em segurança de dados para descobrir como os últimos avanços em segurança de dados podem ajudá-lo a descobrir, classificar, proteger e governar dados em ...
Protegendo o cenário de dados com DSPM e DDR
Fique à frente dos riscos de segurança de dados. Saiba como o gerenciamento de postura de segurança de dados (DSPM) com detecção e resposta de dados (DDR) preenche as lacunas de se...
Guia do comprador para DSPM e DDR
Saiba o que procurar em um provedor de segurança de dados em nuvem e como o DSPM e o DDR podem melhorar significativamente a postura de segurança de sua organização.
Anterior O que é proteção de dados em nuvem?

Receba as últimas notícias, convites para eventos e alertas de ameaças