Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
À medida que desenvolve, renova ou refina a arquitetura de classificação de dados, considere as seguintes práticas principais:
Não espere passar de 0 a 100 no dia 1: a Microsoft recomenda uma abordagem de execução de pesquisas, priorizando funcionalidades críticas para a organização e mapeando-as para uma linha do tempo. Conclua o primeiro passo, certifique-se de que foi bem-sucedido e, em seguida, avance para a fase seguinte ao aplicar as lições aprendidas. Lembre-se de que a sua organização ainda poderá estar exposta a riscos enquanto estrutura a sua estrutura de classificação de dados, pelo que não há problema em começar com apenas alguns níveis de classificação e expandir mais tarde, conforme necessário.
Não está apenas a escrever para profissionais de cibersegurança: as arquiteturas de classificação de dados destinam-se a uma grande audiência, incluindo o membro médio da equipa, as suas equipas legais e de conformidade e a sua equipa de TI. Escreva definições claras e fáceis de compreender para os níveis de classificação de dados, fornecendo exemplos do mundo real sempre que possível. Tente evitar jargões e considere um glossário para siglas e termos altamente técnicos. Por exemplo, utilize "Informações Pessoais Identificáveis" e forneça uma definição em vez de simplesmente dizer "PII".
As arquiteturas de classificação de dados devem ser implementadas: para que as estruturas de classificação de dados sejam bem-sucedidas, têm de ser implementadas. Este ponto é especialmente relevante ao criar os requisitos de controlo para cada nível de classificação de dados. Confirme que os requisitos estão claramente definidos e que antecipam e abordam qualquer ambiguidade que possa surgir durante a implementação. Por exemplo, se tiver um controlo sobre Informações Pessoais, certifique-se de que explica exatamente o que esse controlo significa, como a Segurança Social ou o número de passaporte.
Só será granular se for necessário: normalmente, as arquiteturas de classificação de dados contêm entre três a cinco níveis de classificação de dados. Mas só porque você pode incluir cinco níveis não significa que você deve. Considere os seguintes critérios ao decidir o número de níveis de classificação necessários:
- A sua indústria e as suas obrigações regulamentares associadas (indústrias altamente reguladas tendem a precisar de mais níveis de classificação)
- A sobrecarga operacional necessária para manter uma estrutura mais complexa
- Os seus utilizadores e a sua capacidade de cumprir a complexidade e nuances aumentadas associadas a mais níveis de classificação
- Experiência e acessibilidade do utilizador ao procurar aplicar a classificação manual em vários tipos de dispositivos
Envolver as pessoas certas: ter um interveniente sénior é fundamental para o sucesso, uma vez que muitos projetos lutam para começar ou demorar mais tempo sem o apoio da direção sénior. Normalmente, as equipas de tecnologias de informação possuem estruturas de classificação de dados, mas estas estruturas podem ter implicações legais, de conformidade, de privacidade e de gestão de alterações. Para garantir que está a criar uma estrutura que ajuda a proteger a sua empresa, inclua intervenientes legais e de privacidade, como o Seu Diretor de Privacidade e o Gabinete de Aconselhamento Geral no desenvolvimento da sua política. Se a sua organização tiver uma divisão de Conformidade, profissionais de governação de informações ou uma equipa de gestão de registos, também poderão ter contributos valiosos. À medida que a sua arquitetura é lançada para a empresa, o seu departamento de Comunicações também tem um papel fundamental a desempenhar para mensagens internas e adoção.
Equilibrar a segurança em relação à conveniência: um erro comum é elaborar uma estrutura de classificação de dados segura, mas excessivamente restritiva. Esta arquitetura pode ser concebida tendo em conta a segurança, mas é muitas vezes difícil de implementar na prática. Se os utilizadores precisarem de seguir procedimentos complexos, rígidos e demorados para aplicar a estrutura no seu dia-a-dia, existe sempre o risco de deixarem de seguir os procedimentos porque já não acreditam no seu valor. Esse risco existe em todos os níveis da organização, incluindo gerentes de nível executivo (C-suite) dentro da organização. Um bom equilíbrio de segurança em relação à conveniência, juntamente com ferramentas fáceis de usar, geralmente leva a uma adoção e uso mais amplos do usuário. Se houver lacunas em sua estrutura, não aguarde até que tudo esteja perfeito para iniciar a implementação. Em vez disso, avalie o risco ou a lacuna, crie um plano para o mitigar e continue a avançar. Lembre-se de que a proteção de informações é um percurso, não é algo que é ativado durante a noite e depois feito. Planeje, implemente algumas funcionalidades, confirme o sucesso e itere para o próximo marco à medida que as ferramentas evoluem e os usuários ganham maturidade e experiência.
Tenha também em atenção que uma arquitetura de classificação de dados apenas aborda o que a sua organização deve fazer para proteger dados confidenciais. As arquiteturas de classificação de dados são frequentemente acompanhadas por regras ou diretrizes de processamento de dados que definem como implementar estas políticas do ponto de vista técnico e tecnológico. Nas secções seguintes, recorremos a algumas orientações práticas sobre como levar a sua estrutura de classificação de dados de um documento de política para uma iniciativa totalmente implementada e acionável.
Pontos de dor na criação de uma estrutura de classificação de dados
Os esforços de classificação de dados tocam quase todas as funções empresariais numa empresa. Devido a este âmbito abrangente e à complexidade da gestão de conteúdos em ambientes digitais modernos, as empresas enfrentam frequentemente desafios em saber por onde começar, como gerir uma implementação bem-sucedida e como medir o seu progresso. Os pontos de dor comuns incluem frequentemente:
- Conceber uma estrutura de classificação de dados robusta e fácil de compreender, incluindo determinar níveis de classificação e controlos de segurança associados.
- Desenvolver um plano de implementação que inclua a confirmação da solução tecnológica adequada, o alinhamento do plano com os processos empresariais existentes e a identificação do impacto para a força de trabalho.
- Configurar uma arquitetura de classificação de dados na solução tecnológica escolhida e resolver eventuais lacunas entre as capacidades tecnológicas da ferramenta e a própria arquitetura.
- Estabelecer uma estrutura de governação que supervisiona a manutenção e o estado de funcionamento contínuos dos esforços de classificação de dados.
- Identificar indicadores chave de desempenho (KPIs) específicos para monitorizar e medir o progresso.
- Aumentar a consciência e compreensão das políticas de classificação de dados, por que motivo são importantes e como as cumprir.
- Em conformidade com as análises de auditoria internas que visam a perda de dados e os controlos de cibersegurança.
- Preparar e envolver os utilizadores para que se tornem atentos à necessidade de uma classificação correta no seu trabalho diário e apliquem as medidas de classificação corretas.
Gestão e formação de alterações
As organizações utilizam atualmente ferramentas como o Microsoft 365 para implementar a arquitetura de classificação de dados. O objetivo é tentar automatizar a classificação de dados e não aumentar a carga da sua força de trabalho. Esta estrutura não significa que a sua organização não tenha a responsabilidade de aumentar a consciencialização sobre a necessidade de gerir conteúdos e proteger a organização dos riscos abordados neste documento. A prática principal continua a ser a realização de formação de sensibilização em toda a organização como parte do agendamento anual de formação. A nossa experiência mostra que colocar um esforço robusto e abrangente na formação dos seus utilizadores, que são o público-chave que realiza este trabalho, aumenta a sua "compra" para o esforço e pode aumentar a adoção e a qualidade. Adicionar recomendações de etiquetas e sugestões na aplicação pode ampliar estes esforços. Esta formação não precisa de ser um curso autónomo extenso. A sua organização pode incorporá-la noutra formação regular, como a sua formação anual de segurança de informações e, em seguida, incluir uma descrição geral dos níveis e definições de classificação de dados. O principal ponto é que a sua força de trabalho compreende que, embora a ferramenta esteja a automatizar a classificação de dados, isso não elimina a responsabilidade geral de cada utilizador de proteger os dados de acordo com a política da sua empresa.
Além disso, deve considerar uma formação mais aprofundada para equipas de ti e de segurança de informações para reforçar a preparação operacional. As equipas que gerem a ferramenta e a estrutura de classificação de dados têm de estar em sintonia. Esta coordenação pode exigir que invista num agendamento de formação mais robusto que possa ser mais frequente do que anualmente. O investimento em formação mais frequente representa outra forma de reduzir o risco para a sua organização. Esta equipa é responsável pela implementação e, por conseguinte, pode ser um ponto de falha se não estiver preparada na ferramenta e na política.
Se precisar de etiquetar manualmente conteúdos na ferramenta, é adequado desenvolver um grupo de superutilizadores que recebem formação mais avançada. Estes superutilizadores envolvem-se em situações em que os utilizadores são obrigados a etiquetar manualmente documentos com etiquetas de confidencialidade de dados e têm uma compreensão profunda da estrutura de classificação de dados e dos requisitos regulamentares da sua organização.
Por fim, a sua liderança deve priorizar a defesa de comportamentos de segurança de informações para reforçar à força de trabalho a importância das iniciativas de gestão de riscos. Estes comportamentos incluem o desenvolvimento e implementação de uma estrutura de classificação de dados robusta e a atribuição de líderes-chave para promover a iniciativa, por vezes referida como embaixadores ou campeões da mudança.
Governança e manutenção
Depois de desenvolver e implementar a arquitetura de classificação de dados, a governação e a manutenção contínuas são fundamentais para o seu sucesso. Além de controlar a forma como as etiquetas de confidencialidade são utilizadas na prática, tem de atualizar os seus requisitos de controlo com base em alterações nos regulamentos, nas práticas líderes de cibersegurança e na natureza dos conteúdos que gere. Os esforços de governação e manutenção podem incluir:
- Estabelecer um órgão de governança dedicado à classificação de dados ou adicionar uma responsabilidade de classificação de dados à carta de um órgão de segurança de informações existentes.
- Definindo funções e responsabilidades para usuários que supervisionam a classificação de dados.
- Estabelecer KPIs para monitorar e medir o progresso.
- Acompanhamento das práticas líderes de segurança cibernética e das alterações regulatórias.
- Desenvolver procedimentos operacionais padrão que suportam e impõem uma estrutura de classificação de dados.
Considerações do setor
Embora os princípios básicos para desenvolver uma estrutura de classificação de dados forte sejam universais, os detalhes da sua estrutura dependem da natureza da sua indústria e dos fatores exclusivos de conformidade e segurança exigidos pelos seus dados.
Por exemplo, as empresas de serviços financeiros poderão ter de considerar a conformidade com vários quadros regulamentares, consoante o âmbito da sua empresa e as regiões em que operam. As empresas de valores mobiliários no Estados Unidos devem estar em conformidade com os regulamentos de contas, como a Regra 17a-4(f) da SEC ou a Regra 4511 da FINRA que abordam os requisitos relativos à segurança e retenção de livros e registos. Da mesma forma, as empresas que operam no Reino Unido têm de considerar a conformidade da FCA.
As agências governamentais enfrentam vários regulamentos que regem os seus dados, que variam com base no território e na natureza do seu trabalho. No Estados Unidos, por exemplo, as agências governamentais e os seus agentes que acedem à informação fiscal federal (FTI) estão sujeitos ao IRS 1075, que visa minimizar o risco de perda, violação ou utilização indevida de informações fiscais federais.
Embora as empresas de serviços financeiros e as agências governamentais estejam entre as organizações mais fortemente regulamentadas do mundo, a maioria das empresas tem considerações específicas do setor que precisa de considerar. Veja a seguir alguns exemplos:
- Organizações do setor da saúde que garantem a conformidade com a HIPAA.
- Instituições de ensino, desde escolas K-12 a universidades, gerindo a conformidade com a FERPA.
- Fabricantes de medicamentos que trabalham para cumprir as diretrizes do GxP no seu país ou região em torno da segurança da informação.
- Multimédia, retalho e muitas outras empresas que lidam com a conformidade com o RGPD.
- Entrega e armazenamento de entretenimento, software e conteúdos de informações que lidam com cDSA.
- Segurança da informação da indústria energética em conformidade com a norma NERC CIP.
Implementar a arquitetura de classificação de dados no Microsoft 365
Depois de desenvolver a arquitetura de classificação de dados, implemente-a. O portal do Microsoft Purview permite que os administradores descubram, classifiquem, revejam e monitorizem os respetivos dados de acordo com a respetiva estrutura de classificação de dados. Utilize etiquetas de confidencialidade para proteger os seus dados ao impor proteções como encriptação e marcação de conteúdo. Pode aplicar etiquetas de confidencialidade aos dados manualmente, por predefinição, com base nas definições de política ou automaticamente quando uma condição, como o PII identificado, é cumprida.
Para organizações ou organizações mais pequenas com uma arquitetura de classificação de dados simplificada, a criação de uma única etiqueta de confidencialidade para cada nível de classificação de dados pode ser suficiente. O exemplo a seguir mostra um nível de classificação de dados um para um para o mapeamento de rótulos de confidencialidade:
| Rótulo de classificação | Rótulo de confidencialidade | Configurações de rótulos | Publicado em |
|---|---|---|---|
| Irrestrito | Irrestrito | Aplicar rodapé ''Irrestrito'' | Todos os usuários |
| Geral | Geral | Aplicar rodapé ''Geral'' | Todos os usuários |
Dica
Durante um piloto de proteção de informações interna da Microsoft, os utilizadores tiveram dificuldades em compreender e utilizar a etiqueta "Pessoal". Estavam confusos sobre se esta etiqueta se referia ao PII ou a um assunto pessoal. Para tornar a etiqueta mais clara, altere-a para "não empresarial". Esse exemplo mostra que a taxonomia não precisa ser perfeita desde o início. Comece com o que acha certo, pilote-o e ajuste a etiqueta com base no feedback, se necessário.
Para organizações maiores com um alcance global ou necessidades de segurança de informações mais complexas, poderá considerar esta relação um-para-um entre o número de níveis de classificação na sua política e o número de etiquetas de confidencialidade no seu ambiente do Microsoft 365 como um desafio. Este desafio é especialmente verdadeiro em organizações globais em que um determinado nível de classificação de dados, como "Restrito", pode ter uma definição diferente ou um conjunto diferente de controlos consoante a região.
Para obter mais informações sobre a implementação, veja Compreender a classificação de dados e Saber mais sobre etiquetas de confidencialidade.