Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo ajuda as equipas de segurança e tecnologia a estabelecer e modernizar uma disciplina de Segurança de Dados que ajuda as organizações a proteger os dados onde quer que sejam criados, armazenados, processados, partilhados ou utilizados, permitindo ao mesmo tempo a colaboração, análises, serviços cloud e adoção de IA.
As disciplinas de segurança são agrupamentos de trabalhos relacionados com a segurança que ajudam as organizações a garantir consistentemente resultados de segurança em todo o património tecnológico. No âmbito do modelo de adoção de segurança, as disciplinas ajudam a criar uma ponte entre cenários de negócio e implementação técnica, garantindo que os investimentos em segurança se traduzam em resultados reais e mensuráveis como parte do modelo de adoção de segurança.
Porquê esta disciplina
Os dados são a força vital das organizações modernas. Sustenta as operações empresariais, a tomada de decisões e a inovação, mas é também um dos ativos mais valiosos visados pelos atacantes.
As abordagens tradicionais de proteção de dados centradas na rede já não são suficientes em ambientes que utilizam serviços na cloud, encriptação, dispositivos móveis e colaboração distribuída. Uma disciplina moderna de Segurança de Dados vai além dos controlos perimetrais para uma proteção consciente da identidade e baseada no ciclo de vida, alinhada com o valor e risco do negócio. Sem uma segurança eficaz dos dados, as organizações enfrentam riscos empresariais significativos, incluindo:
- Exposição não intencional de dados por parte dos colaboradores que utilizam serviços na cloud, dispositivos pessoais e IA.
- Atividade maliciosa de colaboradores internos visando informações sensíveis.
- Atores de ameaça que contornam os controlos baseados em perímetros em ambientes distribuídos.
- Ataques de ransomware e de extorsão que perturbam as operações.
- Penalizações regulatórias, danos reputacionais e — em alguns setores — impactos na segurança da vida.
Uma disciplina dedicada à Segurança de Dados fornece a estrutura necessária para reduzir estes riscos, ao mesmo tempo que permite o uso seguro e produtivo dos dados em toda a organização.
Missão e resultados
A missão da disciplina de Segurança de Dados é proteger a confidencialidade, integridade e disponibilidade dos ativos de dados ao longo do seu ciclo de vida, permitindo operações empresariais seguras e tomada de decisões informadas.
Uma disciplina madura de Segurança de Dados oferece estes resultados fundamentais:
- Confidencialidade dos dados: Garantir que apenas utilizadores e sistemas autorizados possam aceder aos dados.
- Integridade dos dados: Prevenir alterações ou corrupção não autorizadas dos dados.
- Disponibilidade de dados: Garantir que os dados estão acessíveis aos utilizadores autorizados quando necessário.
A falha nestes resultados pode levar ao roubo e abuso de dados, perturbar as operações do negócio, permitir fraudes, expor dados regulados ou até causar danos físicos a pessoas.
Quando se estabelecem estratégias claras de propriedade, classificação e proteção, a segurança dos dados torna-se um facilitador dos resultados de negócio em vez de uma restrição.
Para aplicar eficazmente a disciplina de Segurança de Dados, foque-se em estabelecer uma abordagem consistente para proteger os dados com base na sua sensibilidade e impacto empresarial:
-
Defina uma estratégia de proteção de dados alinhada com as prioridades e riscos do negócio
Estabelecer uma abordagem clara para identificar, classificar e proteger os dados com base no seu valor e nos riscos associados à sua exposição ou uso indevido. -
Aplique proteção de forma consistente ao longo do ciclo de vida dos dados
Assegure que os dados estão protegidos onde quer que residam, se movam ou sejam utilizados, incluindo em dispositivos, aplicações e ambientes cloud. -
Estabelecer políticas e controlos padronizados de proteção de dados
Forneça orientações claras para garantir que dados sensíveis sejam manuseados, acedidos e partilhados de forma consistente e segura em toda a organização. -
Alinhar a proteção de dados com ativos e cenários empresariais críticos
Priorize controlos que protejam dados de alto valor e regulados, especialmente em cenários como proteger ativos críticos e permitir uma colaboração segura. -
Monitorizar e melhorar continuamente a proteção de dados
Utilize insights do uso de dados, sinais de risco e eventos de segurança para refinar as proteções e reduzir o risco de exposição ou perda de dados ao longo do tempo.
Gerir a mudança
As abordagens tradicionais de segurança de dados dependem frequentemente de um único ponto de controlo, como a prevenção de perda de dados baseada em rede (DLP). Este modelo é ineficaz em ambientes modernos porque:
- Opera apenas em pontos limitados do ciclo de vida dos dados.
- Deve equilibrar perfeitamente proteção e produtividade num só momento,
- Falha quando os dados são encriptados, partilhados através de serviços na cloud ou acedidos em dispositivos pessoais.
Este diagrama resume os desafios a ultrapassar usando uma abordagem moderna à segurança dos dados.
Uma disciplina moderna de Segurança de Dados foca-se na visibilidade e controlo contínuos ao longo de todo o ciclo de vida dos dados.
Principais áreas de foco
As estratégias modernas de segurança de dados enfatizam:
| Focus | Detalhes |
|---|---|
| Priorizar dados críticos | Proteja primeiro os dados mais críticos para o negócio. |
| Colaborar, cobertura, visibilidade | Colabore em toda a empresa para obter total visibilidade de dados estruturados e não estruturados em dispositivos, aplicações e clouds, evitando silos de dados. |
| Descobrir dados | Saiba onde existem dados e que valor ou sensibilidade têm. |
| Classificar dados | Aplique etiquetas consistentes para que os controlos de segurança possam ser aplicados automaticamente. |
| Proteção ao longo do ciclo de vida | Proteger os dados independentemente da localização, plataforma técnica, dispositivo ou ambiente. Aplicar esta estratégia ao longo do ciclo de vida dos dados: criar, consumir, armazenar, partilhar e descartar. Dados seguros durante a criação e geração, armazenamento em repouso, durante o acesso/partilha/utilização e em trânsito, bem como dados que já não estão ativos e arquivados ou eliminados. |
| Monitorização e fiscalização | Implementar visibilidade em tempo real e fiscalização automática para detetar e responder a acessos ou exfiltrações não autorizadas em tempo real. |
| Aprende e melhora | Melhorar continuamente a segurança dos dados. Adapte a estratégia e os controlos de dados à medida que os formatos, plataformas e casos de uso evoluem, incluindo a IA. |
Esta abordagem permite uma proteção que se adapta à evolução do negócio e da tecnologia.
Este diagrama ilustra uma estratégia de segurança de dados de alto nível que permite tanto a segurança como a produtividade.
No seguinte diagrama:
- A fundação Confiança Zero, mostrada por uma linha pontilhada, estabelece um limite moderno de identidade e prevenção de perda de dados entre as funções internas e o ambiente externo. Esta base previne a perda não autorizada de dados, mas permite a colaboração com entidades externas autorizadas.
- O ambiente de colaboração empresarial, em verde mais claro, é onde a maior parte dos seus dados organizacionais é criada, processada e armazenada. Limitar o acesso exclusivamente aos utilizadores internos e aplicar, por defeito, o princípio do menor privilégio.
- Aplicações e dados críticos, em verde mais escuro, representam os dados mais sensíveis da organização, que devem ser restritos a um conjunto limitado de utilizadores e aplicações autorizados. Pode partilhar estes dados no ambiente de colaboração empresarial e com algumas partes externas autorizadas, mas devem ser sempre protegidos e monitorizados.
Papéis disciplinares e colaboradores
A segurança dos dados requer uma colaboração próxima entre as equipas de negócio, segurança e tecnologia. Em organizações maiores, os papéis são frequentemente distribuídos e formalizados; Em organizações mais pequenas, as responsabilidades podem ser combinadas.
Os papéis principais nesta disciplina incluem:
- Equipas de Responsável de Dados / Governação de Dados
- Arquitetos de Dados e IA
- Equipas de engenharia e operações de dados e IA
Colaboradores-chave incluem:
- Líderes empresariais e proprietários de dados – Definam valor, utilização e classificação dos dados.
- Equipas de estratégia e governação de segurança – Definam políticas, normas e supervisão.
- Funções de arquitetura – Integrar os controlos de segurança de dados nos designs de sistemas e plataformas.
- Desenvolvedores – Implementar o tratamento seguro de dados dentro das aplicações.
- Disciplinas relacionadas com a segurança – Alinhar a segurança dos dados com os esforços de privacidade, risco e conformidade.
Alinhamento com outras disciplinas
A disciplina de Segurança de Dados trabalha em estreita coordenação com outras disciplinas:
- Disciplina de Acesso e Identidades – As políticas de identidade e acesso determinam quem pode aceder aos dados.
- Disciplina de Arquitetura de Segurança – A Arquitetura define padrões de ponta a ponta para proteger dados.
- Disciplina de Operações de Segurança (SecOps) – Detete e responde a incidentes relacionados com dados.
- Disciplina da postura de segurança – Avalia e melhora a maturidade da proteção de dados.
A responsabilidade clara e a responsabilidade partilhada são essenciais à medida que as responsabilidades de dados se expandem.
Alinhamento com pilares tecnológicos
Os dados viajam entre sistemas, utilizadores e ambientes. Como resultado, a disciplina de Segurança de Dados abrange todos os pilares tecnológicos.
Pilares tecnológicos alinhados incluem:
- Identidades: A segurança dos dados depende de controlos de identidade para garantir o acesso seguro aos dados através de controlos fortes de identidade e acesso.
- Endpoints: A segurança dos dados depende dos controlos de segurança dos endpoints para evitar o roubo de dados provenientes de dispositivos comprometidos ou não geridos.
- Infraestrutura: A segurança dos dados depende dos controlos de segurança da infraestrutura para proteger os dados armazenados ou processados em servidores, contentores e plataformas cloud.
- Aplicações: A segurança dos dados depende dos controlos de segurança das aplicações para garantir que as aplicações acedam e lidam com dados sensíveis de forma segura.
- Dados: A segurança dos dados depende dos controlos de segurança dos dados para descobrir, classificar, proteger e monitorizar os dados ao longo do seu ciclo de vida. - Rede: A segurança dos dados depende dos controlos de segurança dos dados para ajudar a descobrir e proteger os dados à medida que são transferidos entre sistemas.
- IA: A segurança dos dados depende dos controlos de segurança da IA para proteger os dados usados para treinar, analisar e gerar resultados de IA.
Passos seguintes
A Microsoft Unified oferece workshops orientados por especialistas para ajudar as organizações a acelerar a modernização da estratégia, arquitetura e tecnologia de Gestão da Postura de Segurança. Estes workshops incluem:
Workshops de arquitetura e estratégia - O workshop de Segurança de Dados do Security Adoption Framework centra-se na modernização da segurança dos dados. Este workshop está disponível como uma discussão com menos de quatro horas de duração, focada nos principais aprendizados e nas melhores práticas.
Workshops de adoção de tecnologia - Microsoft Unified tem workshops para ajudar as organizações a aprender, planear, implementar e otimizar o uso de tecnologias de dados.
