O que é a classificação de dados?
Você decidiu quais dados são confidenciais para sua organização. E agora? Você deve classificar esses dados. A classificação de dados é importante porque permite distinguir entre tipos de dados confidenciais. Em seguida, você pode preparar os dados para um nível e um método de proteção adequados.
A classificação de dados é uma maneira básica de as organizações determinarem e atribuírem valores relativos aos seus dados. Ele permite que as organizações categorizem os dados armazenados por sensibilidade e impacto nos negócios. Essa categorização ajuda a determinar os riscos associados aos dados. Após a conclusão da classificação, as organizações podem gerenciar dados para refletir seu valor, em vez de tratar todos os dados da mesma maneira. A classificação de dados apoia uma abordagem consciente e ponderada. Essa abordagem permite que as organizações implementem otimizações que não serão possíveis se todos os dados tiverem o mesmo valor.
Nota
A classificação de dados é uma classificação e marcação dos seus documentos. Anos atrás, as organizações normalmente armazenavam informações importantes em papel. Esses papéis eram guardados em caixas ou armários, com pastas dentro. Alguns podem ter etiquetas "Confidenciais" que identificam conteúdo sensível. Depois de marcar essas pastas, as organizações geralmente as armazenavam em locais que consideravam seguros. Hoje, no entanto, quando você classifica formulários eletrônicos, você os marca adicionando metadados. Esses metadados especificam a classificação dos dados e usam uma tecnologia apropriada para ajudar a proteger os dados.
Grandes organizações, como a Microsoft, governos e entidades militares usam a classificação de dados há décadas para gerenciar a integridade de seus dados.
Uma classificação de dados bem-sucedida exige:
- Ampla consciência das necessidades de uma organização.
- Compreensão completa de onde os ativos de dados de uma organização estão localizados.
Os dados existem em um dos três estados básicos:
- Em repouso
- Em processamento
- Em trânsito
Todos os três estados exigem soluções técnicas exclusivas para a classificação de dados. No entanto, você pode aplicar os mesmos princípios de classificação de dados a cada um. Os dados classificados como confidenciais devem permanecer confidenciais em repouso, em processo e em trânsito. A classificação e a proteção nunca devem deixar os dados considerados sensíveis.
Os dados também podem ser estruturados ou não estruturados. Os processos típicos de classificação de dados estruturados, como em bancos de dados e planilhas, são menos complexos e demorados de gerenciar. Por outro lado, os processos de classificação de dados não estruturados, como documentos, código-fonte e e-mail, exigem mais gerenciamento. Na maioria dos casos, as organizações têm mais dados não estruturados do que dados estruturados. Independentemente disso, é importante que as organizações gerenciem a sensibilidade de todos os dados. Quando implementada corretamente, a classificação de dados ajuda a garantir que os ativos de dados confidenciais ou confidenciais sejam gerenciados com maior supervisão. Os ativos de dados que são considerados públicos ou livres para distribuir, muitas vezes exigem menos supervisão.
Classificação e conformidade dos dados
A classificação de dados adiciona metadados aos seus documentos e prepara os dados para proteção. No entanto, também ajuda na conformidade, privacidade e governança de dados. Por exemplo, marcar os dados como confidenciais não os identifica apenas para proteção. Ele também permite que outras partes saibam como gerenciar esses dados. Quando um funcionário envia dados por e-mail e os classifica como confidenciais ou confidenciais, o destinatário do e-mail deve tratar os dados recebidos adequadamente. Os regulamentos de proteção de dados, como o GDPR, especificam métodos e práticas recomendadas para tratar, acessar, armazenar, usar e destruir dados confidenciais.
Também é importante lembrar que regras regulatórias relevantes e específicas do setor podem exigir tipos de classificação de dados. Essas regras podem exigir que você classifique diferentes atributos de dados. Por exemplo, a Cloud Security Alliance exige que os dados e objetos de dados incluam tipo de dados, jurisdição de origem e domicílio, contexto, restrições legais e sensibilidade.
Conforme discutido, a importância da classificação de dados varia em várias camadas. Portanto, é importante que as pessoas que gerenciam dados entendam a classificação de dados e como ela difere da proteção de dados. As organizações devem aumentar a conscientização sobre a classificação de dados em relação à governança de dados e não apenas à proteção de dados. Normalmente, a proteção de dados resulta da classificação de dados. No entanto, os dados protegidos devem ser acessíveis às pessoas que deles necessitem. Essas pessoas, então, devem entender como gerenciar dados protegidos com base em como eles são classificados, não como são protegidos.