Regras de conformidade como a Lei Geral de Proteção de Dados (LGPD) exigem uma nova visão da política de armazenamento e classificação de dados das empresas e, particularmente, de como ela define sua ampla variedade de dados não estruturados.
A necessidade de rever seus esforços de classificação e armazenamento de dados visa garantir que as organizações estejam em conformidade com as leis existentes relacionadas a dados e bem posicionadas para atender às novas que estão por vir.
Mas no que consiste o armazenamento e a classificação de dados?
A classificação e o armazenamento de dados faz parte do processo organizacional da empresa
Basicamente, o armazenamento e a classificação de dados é o processo de organizar dados em categorias para seu uso mais eficaz e eficiente.
Um sistema de armazenamento e classificação de dados bem planejado facilita a localização e a recuperação de dados essenciais. Isso pode ser de particular importância para gerenciamento de riscos, descoberta legal e conformidade.
Além disso, os procedimentos e diretrizes escritos para armazenamento e classificação de dados devem definir quais categorias e critérios a organização usará para classificar os dados e especificar as funções e responsabilidades dos funcionários dentro da organização em relação à administração de dados.
Para ser eficaz, um esquema de armazenamento e classificação deve ser simples o suficiente para que todos os funcionários possam executá-lo adequadamente.
Primeiro, defina categorias com base nos níveis de confidencialidade e criticidade dos dados. Exemplos de categorias de confidencialidade podem incluir público (disponível para qualquer pessoa), acesso limitado (disponível para grupos específicos) e restrito (controlado por conformidade ou por mandatos legais).
Combine esse conjunto de etiquetas com classificação de criticidade, conforme recomendado pelas equipes de segurança e controle de risco:
- Baixo: Nenhuma perda financeira ou responsabilidade legal resultante de exposição ou uso inadequado.
- Médio: a exposição pode levar a responsabilidade legal limitada, perda de confiança do cliente ou perda financeira.
- Alta: a exposição pode levar a uma responsabilidade legal significativa, perda de confiança do cliente ou perda financeira.
- Muito alto: exposição ou uso indevido pode resultar em multas catastróficas e responsabilidade legal, perda de confiança do cliente ou perdas financeiras.
Após a criação de um esquema de classificação de dados, os padrões de segurança que especificam práticas de manipulação apropriadas para cada categoria e os padrões de armazenamento que definem os requisitos de estilo de vida dos dados devem ser seguidos à risca.
O que uma iniciativa de armazenamento e classificação de dados impacta para o negócio da empresa e na busca pela conformidade?
De forma direta, no que se refere à categorização de informações e sistemas de informação, o armazenamento e a classificação de dados impacta nas seguintes mudanças para o negócio:
- O conhecimento dos diferentes tipos de dados que você possui na sua organização e onde estão esses dados.
- A definição dos controles de segurança que devem estar habilitados para proteger cada tipo de dados.
- A prática efetiva nos controles, seja [os dados] no data center ou na nuvem pública. Independentemente de os dados que você está tentando proteger residirem em seu data center, na nuvem ou em qualquer outro lugar, você deve aplicar os controles apropriados lá.
- Uma vez que os controles estejam no lugar, uma avaliação constante de sua eficácia.
Se os controles apropriados forem suficientemente implementados, o sistema poderá ser movido para a produção, e as exceções deverão ser documentadas e aceitas.
A maioria das organizações que buscam atender aos requisitos da LGPD devem implementar o processo de classificação de dados com prioridade. No entanto, algumas empresas esquecem que todos os dados armazenados em e-mail, arquivos de log, documentos em Excel / Word / PowerPoint e outros bits não estruturados de dados são igualmente regulados quando contêm dados regulamentados.
Muitas empresas atacam uma nova iniciativa de conformidade avaliando seus principais sistemas de negócios e cargas de trabalho e deixam os dados não estruturados para mais tarde. Esse é um problema antigo e que causa forte impacta na busca pela conformidade.
Os próximos passos
Embora a classificação e o rastreamento de dados possam parecer assustadores, é um elemento crítico nos esforços de proteção de dados das organizações em diferentes segmentos do mercado e porte.
Muitos requisitos de conformidade e estruturas de práticas recomendadas de segurança exigem algum grau de classificação de dados, e concentrar os esforços de segurança em tipos de dados mais sensíveis pode ajudar a maximizar a eficiência e a eficácia operacional.
Por fim, ao criar “perfis de proteção” com base nos dados internos e do cliente mais confidenciais, as organizações podem adaptar melhor os esforços de prevenção, detecção e resposta.
Para saber mais como implementar as políticas de armazenamento e classificação de dados, e atender a requisitos de conformidade, a exemplo da Lei Geral de Proteção de dados, entre em contato com os nossos especialistas. Estamos prontos para esclarecer suas dúvidas e para ajudar na definição de uma estrutura tecnológica adequada aos diferentes requisitos de negócio.
Sobre a Informo
A Informo é uma empresa de TI com mais de 13 anos no mercado e que conta com diversos cases de sucesso em projetos de consultoria executados. Trabalhamos como uma equipe única, unida com empresas líderes do mercado em todo o mundo para dar aos nossos clientes o melhor serviço de qualidade possível.