Melhores práticas para classificação de dados

foto_jaime_munoz_HelpSystem_300.jpg
Jaime Muñoz *
29/08/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A constante necessidade de se proteger dados sensíveis (propriedade intelectual, dados financeiros, dados pessoais, etc.), incluir os donos das informações na cadeia de proteção dos mesmos — responsabilidade —, enquanto se mantém  os dados disponíveis para o benefício da organização atraiçoam e aprovisionam relevância as soluções de classificação de dados, não apenas porque ajudam as organizações a proteger seus dados, mas também porque permitem aos usuários a entenderem como tratar diferentes tipos de dados em diversos níveis de sensibilidade e de acordo com cada tipo de atividade de negócio.

Aliada da classificação de dados, a automação desempenha papel central na governança de dados e ajuda a manter o equilíbrio necessário entre tecnologia e treinamento focado em pessoas visando alcançar uma cultura de segurança inclusiva.

A necessidade de um adequado backbone de segurança de dados e uma cultura de segurança robusta em toda a empresa tornaram-se preocupações centrais para os CISOs, não apenas como resultado da pandemia, mas também com as novas demandas de negócios, ambientes de trabalho remoto e as restrições operacionais, não apenas agora, mas também de agora em diante.

Abordagem centrada nas pessoas

O uso correto dos dados, acompanhado dos recursos de proteção, é necessário para dar aos funcionários acesso adequado e seguro às informações e educá-los suficientemente sobre os níveis de sensibilidade e confidencialidade dos dados. Principalmente tendo a Lei Geral de Proteção de dados (LGPD) no Brasil e o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia em vigor para normatizar o manuseio dos dados pessoais. O fornecimento de proteção automatizada, como um princípio central da postura de segurança, ajudará os CISOs a definir, medir e marcar o status real dos dados, e — dessa maneira — mantê-los em repositórios seguros e controlados.

Ao combinar pessoas, processos e tecnologia, os CISOs podem atender a todos os principais requisitos de proteção e controle de dados; não apenas no que diz respeito a garantir a compreensão e o gerenciamento apropriado dos dados, mas também a fornecer a amplitude da cobertura de segurança necessária em uma base local e remota, garantindo sua adequação para todas as partes interessadas.

Ao adicionar uma boa tecnologia de proteção de dados a esse processo, com conhecimentos e processos humanos, os benefícios são consideráveis e incluem:

  • A capacidade de integrar o rigor da automação baseada em tecnologia com os requisitos de conhecimento contextual, uso e controle dos criadores de dados;
  • O uso de automação baseada em tecnologia para assimilar conhecimento sobre dados e aplicar controles baseados em regras que atendam às necessidades atuais e futuras esperadas, sem impor sobrecarga operacional adicional;
  • A entrega de uma abordagem de segurança combinada que inclui o usuário no processo de tomada de decisão de classificação, além de melhorar a conscientização e aprimorar a postura geral de segurança.
Stakeholders na proteção de dados

Os requisitos de uso de dados entre duas organizações não são exatamente iguais. São os criadores e usuários dos dados que trazem o conhecimento profundo e as percepções que facilitam a classificação para acesso e uso futuro. Eles também fornecem a base de conhecimento que informa a proteção automatizada e as regras de controle de acesso.

Além de fornecer insights iniciais sobre os dados que eles geram, é fundamental que as partes interessadas — stakeholders — entendam as políticas de proteção de dados de sua organização para que os níveis corretos de controle possam ser aplicados logo na origem dos dados.

Para os CISOs, é importante que as políticas de dados em toda a empresa sejam total e facilmente compreendidas para garantir uma abordagem consistente para classificar os dados e controlar o uso dos dados.

Proteção de dados pós-pandemia

Em um nível básico, a proteção de dados corporativos deve se estender para garantir um conhecimento profundo de quais dados são mantidos e onde isso é feito, e, portanto, saber quais os diferentes níveis de controles de segurança são necessários para manter seguras as várias categorias de dados.

Do ponto de vista da proteção de dados, as empresas devem, em primeiro lugar, reconhecer que nem todos os dados são iguais. Com isso em mente, diferentes controles são necessários para garantir que diferentes tipos de dados não sejam perdidos ou acessados por terceiros não autorizados. Além do requisito de alto nível para proteger dados confidenciais, essenciais e críticos para os negócios, as empresas também devem aplicar regras de proteção de dados diferentes estendidas a outras categorias de dados.

Não caia na armadilha das três categorias: público, interno e confidencial. Osdados são mais que isso. Um dado confidencial de finanças é um dado diferente a um dado confidencial de RH, e de legal. Todos têm diferentes ciclos de vida, diferentes terceiros que podem ter acesso aos dados, e potencialmente diferentes relatórios e ubiquações de armazenamento. Se os dados não têm diferencia as ferramentas de proteção não são o efetivas que poderiam ser.


Uma classificação que apoia o negócio e não é uma só marca de verificação inclui uma classificação mais granular, que é necessária para dar suporte aos negócios e tornar as ferramentas de proteção de dados mais eficientes. Se a classificação for apenas para as três categorias — público, interno e confidencial —, o esquema de classificação e a solução não oferecerão suporte completo ao negócio. Nem mesmo as ferramentas de proteção de dados farão um bom trabalho.

Manter o foco no contexto de negócios e na capacidade de atender aos requisitos regulatórios — LGPD, HIPAA e GDPR, entre outras — é fundamental. Além disso, deve-se priorizar o fornecimento de recursos de proteção de dados inteligentes para tomar as decisões corretas sobre acesso e disponibilidade aos sistemas e banco de dados, para fornecer eficiência e automação baseadas em tecnologia e garantir o suporte adequado aos volumes cada vez maiores de dados de forças de trabalho remotas.

Automatizando a classificação de dados

As empresas que se adaptaram melhor à era pandemia da covid-19 usarão automação, tecnologias de acesso digital orientado a dados e nuvem visando efetuar operações e eficiências aprimoradas.

Com a força de trabalho remota se consolidando nas empresas, mais dados serão gerados fora do ambiente de trabalho local tradicional — mais do que nunca. Permitir o acesso seguro ao usuário e aos dados será, portanto, fundamental. O grande volume de dados envolvidos tornará ainda mais difícil proteger informações confidenciais e gerará uma necessidade urgente de formas mais inclusivas e automatizadas de proteção de dados.

A automação dará uma contribuição significativa para a melhoria da eficiência operacional pós-pandemia, além de fornecer operações ágeis e automatizadas com acesso seguro ao usuário e aos dados no centro de suas estratégias. As tecnologias de classificação de dados serão vitais para proteger os dados a partir da aplicação de rótulos diferenciados e apropriados de identificação de segurança, além de ajudar a educar os usuários sobre como tratar diferentes tipos de dados com diferentes níveis de classificação de acordo com o nível relativo de sensibilidade aplicado a esse documento.

Cultura de segurança e educação das equipes

Assim comoclassificação desempenha um papel fundamental no estabelecimento de uma base sólida para a cultura de segurança de dados de uma organização, os funcionários desempenham um papel vital em garantir que a empresa mantenha uma postura forte de privacidade de dados. É essencial ter a capacidade de se trabalhar com as áreas interessadas e usuários para entender e atender os requisitos e políticas de proteção de dados. Assim, a educação sobre segurança e proteção de dados — facilitada pela ferramenta de classificação — deve ser conduzida em toda a empresa e deve existir em um nível que seja viável e sustentável.

O treinamento regular de conscientização garantirá que a segurança de dados se torne parte da prática de trabalho diária, incorporada em todas as ações e no próprio coração da empresa.  Uma solução de classificação de dados que esforce as políticas e protocolos de cuidado dos dados junto com relatórios e informações de gerenciamento desta atividade será crítico para todas as organizações e será particularmente o caso à medida que avançamos além da pandemia da covid-19 para a nova realidade.

Também deve ser levada em conta a necessidade do fornecimento de eficiências operacionais ideais, gerenciamento de dados e classificação de dados sob restrições orçamentárias impostas pela pandemia, o que será um desafio de negócios contínuo. Não fazer nada, no entanto, fará com que uma organização falhe, e já vimos grandes multas incorridas para aqueles que não investem na segurança de dados como uma prioridade. Os líderes de dados, portanto, devem ser seletivos e identificar a combinação de tecnologias, processos e investimentos em pessoas que fornecerão os melhores controles de segurança.

* Jaime Muñoz é diretor de desenvolvimento de negócios para Brasil e América Latina da HelpSystems.

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest