Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda as equipes de segurança e tecnologia a estabelecer e modernizar uma disciplina de Segurança de Dados que ajuda as organizações a proteger dados onde quer que sejam criados, armazenados, processados, compartilhados ou usados, enquanto ainda habilitam a colaboração, a análise, os serviços de nuvem e a adoção da IA.
As disciplinas de segurança são agrupamentos de trabalhos de segurança relacionados que ajudam as organizações a fornecer resultados de segurança consistentemente em toda a propriedade tecnológica. No modelo de adoção de segurança, as disciplinas ajudam a fornecer uma ponte entre cenários de negócios e implementação técnica, garantindo que os investimentos em segurança se traduzam em resultados reais mensuráveis como parte do modelo de adoção de segurança.
Por que essa disciplina
Os dados são a força vital das organizações modernas. Serve de base para as operações empresariais, a tomada de decisões e a inovação, mas também é um dos ativos mais valiosos visados por invasores.
Abordagens tradicionais de proteção de dados centradas na rede não são mais suficientes em ambientes que usam serviços de nuvem, criptografia, dispositivos móveis e colaboração distribuída. Uma disciplina moderna de Segurança de Dados vai além dos controles de perímetro para proteção baseada em ciclo de vida, com reconhecimento de identidade, alinhada ao valor e ao risco de negócios. Sem segurança de dados efetiva, as organizações enfrentam riscos comerciais materiais, incluindo:
- Exposição não intencional de dados por funcionários usando serviço de nuvem, dispositivos pessoais e IA.
- Atividade interna mal-intencionada direcionada a informações confidenciais.
- Agentes de ameaça contornando controles baseados no perímetro em ambientes distribuídos.
- Ataques de ransomware e de extorsão que interrompem as operações.
- Penalidades regulatórias, danos à reputação e, em alguns setores, impactos na segurança da vida.
Uma disciplina dedicada de Segurança de Dados fornece a estrutura necessária para reduzir esses riscos, permitindo o uso seguro e produtivo de dados em toda a organização.
Missão e resultados
A missão da disciplina de Segurança de Dados é proteger a confidencialidade, a integridade e a disponibilidade dos ativos de dados durante todo o ciclo de vida, permitindo operações comerciais seguras e tomada de decisões informadas.
Uma disciplina de Segurança de Dados madura fornece esses resultados principais:
- Confidencialidade de dados: verifique se somente usuários e sistemas autorizados podem acessar dados.
- Integridade dos dados: impedir alteração não autorizada ou corrupção de dados.
- Disponibilidade de dados: verifique se os dados estão acessíveis aos usuários autorizados quando necessário.
A falha nesses resultados pode levar a roubo e abuso de dados, interromper operações comerciais, habilitar fraudes, expor dados regulamentados ou até mesmo causar danos físicos às pessoas.
Quando você estabelece estratégias claras de propriedade, classificação e proteção, a segurança de dados se torna um habilitador de resultados de negócios em vez de uma restrição.
Para aplicar a disciplina de Segurança de Dados efetivamente, concentre-se em estabelecer uma abordagem consistente para proteger dados com base em sua sensibilidade e impacto nos negócios:
-
Definir uma estratégia de proteção de dados alinhada a prioridades e riscos de negócios
Estabeleça uma abordagem clara para identificar, classificar e proteger dados com base em seu valor e nos riscos associados à sua exposição ou uso indevido. -
Aplicar proteção consistentemente no ciclo de vida dos dados
Verifique se os dados estão protegidos onde quer que residam, sejam movidos ou usados, incluindo dispositivos, aplicativos e ambientes de nuvem. -
Estabelecer políticas e controles de proteção de dados padronizados
Forneça diretrizes claras para garantir que dados confidenciais sejam tratados, acessados e compartilhados de maneira consistente e segura em toda a organização. -
Alinhar a proteção de dados com os ativos e cenários comerciais críticos
Priorize os controles que protegem dados de alto valor e regulamentados, especialmente em cenários como proteger ativos críticos e habilitar a colaboração segura. -
Monitorar e aprimorar continuamente a proteção de dados
Use informações sobre o uso de dados, sinais de risco e eventos de segurança para aprimorar as proteções e reduzir, ao longo do tempo, o risco de exposição ou perda de dados.
Gerenciar alteração
As abordagens tradicionais de segurança de dados geralmente dependem de um único ponto de controle, como a DLP (prevenção contra perda de dados) baseada em rede. Esse modelo é ineficaz em ambientes modernos porque:
- Opera apenas em pontos limitados no ciclo de vida dos dados.
- Deve equilibrar perfeitamente a proteção e a produtividade em um único momento,
- Falha quando os dados são criptografados, compartilhados por meio de serviços de nuvem ou acessados em dispositivos pessoais.
Esse diagrama resume os desafios a serem superados usando uma abordagem moderna para a segurança de dados.
Uma disciplina moderna de Segurança de Dados se concentra na visibilidade e no controle contínuos em todo o ciclo de vida dos dados.
Principais áreas de foco
As estratégias modernas de segurança de dados enfatizam:
| Foco | Detalhes |
|---|---|
| Priorizar dados críticos | Proteja os dados mais críticos para os negócios primeiro. |
| Colaborar, cobertura, visibilidade | Colabore em toda a empresa para obter visibilidade total de dados estruturados e não estruturados em dispositivos, aplicativos e nuvens, impedindo silos de dados. |
| Descobrir dados | Saiba onde os dados existem e qual valor ou sensibilidade ele tem. |
| Classificar dados | Aplique rótulos consistentes para que os controles de segurança possam ser aplicados automaticamente. |
| Proteção do ciclo de vida | Proteja os dados independentemente do local, da plataforma técnica, do dispositivo ou do ambiente. Aplique essa estratégia ao longo do ciclo de vida dos dados: criar, consumir, armazenar, compartilhar e descartar. Proteja dados durante a criação e geração, armazenamento em repouso, durante o acesso/compartilhamento/uso e em trânsito, bem como dados que não estão mais ativos e arquivados ou excluídos. |
| Monitoramento e imposição | Implemente visibilidade em tempo real e aplicação automatizada para detectar e responder, em tempo real, a acessos indevidos ou à exfiltração de dados. |
| Aprender e melhorar | Aprimore continuamente a segurança de dados. Adapte a estratégia e os controles de dados à medida que os formatos de dados, plataformas e casos de uso evoluem, incluindo IA. |
Essa abordagem permite uma proteção que acompanha as mudanças nos negócios e na tecnologia.
Este diagrama ilustra uma estratégia de segurança de dados de alto nível que permite segurança e produtividade.
No diagrama:
- A base do Confiança Zero, mostrada por uma linha pontilhada, estabelece um perímetro moderno de identidade e prevenção de perda de dados entre as funções internas e o ambiente externo. Essa base impede a perda de dados não autorizada, mas permite a colaboração com partes externas autorizadas.
- O ambiente de colaboração empresarial, em verde mais claro, é onde a maioria dos dados organizacionais é criada, processada e armazenada. Limite o acesso somente a usuários internos e aplique privilégios mínimos por padrão.
- Aplicativos e dados críticos, em verde mais escuro, representam os dados mais confidenciais da organização que devem ser restritos a um conjunto limitado de usuários e aplicativos autorizados. Você pode compartilhar esses dados dentro do ambiente de colaboração empresarial e com algumas partes externas autorizadas, mas eles devem ser sempre protegidos e monitorados.
Funções de disciplina e colaboradores
A segurança de dados requer uma estreita colaboração entre as equipes de negócios, segurança e tecnologia. Em organizações maiores, as funções geralmente são distribuídas e formalizadas; em organizações menores, as responsabilidades podem ser combinadas.
As principais funções nessa disciplina normalmente incluem:
- Equipes de Data Officer/Governança de Dados
- Arquitetos de dados e IA
- Equipes de engenharia e operações de IA e dados
Os principais colaboradores incluem:
- Líderes empresariais e proprietários de dados – defina o valor de dados, o uso e a classificação.
- Equipes de estratégia e governança de segurança – defina políticas, padrões e supervisão.
- Funções de arquitetura – integrar controles de segurança de dados em designs de sistema e plataforma.
- Desenvolvedores – implementar o tratamento de dados seguros em aplicativos.
- Disciplinas adjacentes à segurança – alinhe a segurança de dados com os esforços de privacidade, risco e conformidade.
Alinhamento com outras disciplinas
A disciplina de Segurança de Dados funciona em estreita coordenação com outras disciplinas:
- Disciplina de acesso e identidades: políticas de identidade e acesso determinam quem pode acessar dados.
- Disciplina de Arquitetura de Segurança – A arquitetura define padrões de ponta a ponta para proteger dados.
- Disciplina de Operações de Segurança (SecOps) – detecta e responde a incidentes relacionados a dados.
- Disciplina de Postura de Segurança – Mede e melhora a maturidade da proteção de dados.
A propriedade clara e a responsabilidade compartilhada são essenciais à medida que as responsabilidades de dados se expandem.
Alinhamento aos pilares da tecnologia
Os dados viajam entre sistemas, usuários e ambientes. Como resultado, a disciplina de Segurança de Dados abrange todos os pilares de tecnologia.
Os pilares de tecnologia alinhados incluem:
- Identidades: a segurança de dados depende de controles de segurança de identidade para impor acesso seguro aos dados por meio de controles de identidade e acesso fortes.
- Terminais: A segurança dos dados depende de controles de segurança dos terminais para evitar o roubo de dados por dispositivos comprometidos ou não gerenciados.
- Infraestrutura: a segurança de dados depende de controles de segurança de infraestrutura para proteger dados armazenados ou processados em servidores, contêineres e plataformas de nuvem.
- Aplicativos: a segurança de dados depende dos controles de segurança do aplicativo para garantir que os aplicativos acessem e manipulem dados confidenciais com segurança.
- Dados: a segurança de dados depende de controles de segurança de dados para descobrir, classificar, proteger e monitorar dados durante todo o ciclo de vida. - Rede: A segurança de dados depende de controles de segurança de dados para ajudar a descobrir e proteger dados à medida que são transferidos entre sistemas.
- IA: A segurança de dados depende de controles de segurança de IA para proteger os dados usados para treinar, analisar e gerar saídas de IA.
Próximas Etapas
Microsoft Unified oferece workshops liderados por especialistas para ajudar as organizações a acelerar a modernização da estratégia, arquitetura e tecnologia do Gerenciamento de Postura de Segurança. Estes workshops incluem:
Workshops de arquitetura e estratégia – O workshop segurança de dados do Security Adoption Framework se concentra na modernização da segurança de dados. Este workshop está disponível como uma discussão de menos de quatro horas focada nos principais aprendizados e práticas recomendadas.
Workshops de adoção de tecnologia - o Microsoft Unified oferece workshops para ajudar as organizações a aprender sobre, planejar, implementar e otimizar o uso de tecnologias de dados.
