Classificação de dados

A classificação de dados é uma etapa básica e altamente recomendada para controle de riscos de segurança cibernética. Sua abordagem serve para identificar, proteger e gerenciar informações, conforme regulamentos específicos do setor, como SOX , HIPAA , PCI DSS, GDPR e LGPD.

O termo implica categorização abrangente dos dados para garantir sua confidencialidade, integridade e disponibilidade, como parte da estratégia de segurança em camadas. Permite a defesa contra falhas e ameaças variadas, desde invasões direcionadas a ações indiretas, mediadas por pessoas mal treinadas.

Para que a proteção seja uma realização eficaz dentro da empresa, é imprescindível que haja, em sua gestão, pleno conhecimento sobre quais dados são tratados, onde se localizam e qual o valor deles para seus clientes.

A Forrester Research tem um estudo centrado em Data Discovery (descoberta de dados) e Data Classification (classificação de dados), que descreve cinco etapas importantes para proteger efetivamente as informações:

1. Compreender a sensibilidade dos dados;
2. Disseminar internamente as políticas de classificação de dados e políticas de segurança de informações. Classificar é mais do que utilizar uma tag ou um simples metadado. É compreender um conjunto de metadados, marcas visuais e regras de negócios;
3. Localizar a informação e classificá-la de acordo com os critérios definidos;
4. Configurar a proteção em camadas. Somente depois dos três passos anteriores, é hora de usar tecnologias populares, como DLP, criptografia, gerenciamento de direitos digitais, controle e arquivamento. O retorno sobre o investimento nelas, sem o processo de classificação, pode ser muito baixo;

Acompanhar os resultados em nível de gestão. A organização precisa entender como está identificando, classificando e protegendo suas informações, além de acompanhar formulários com suas variadas necessidades.