Skip to content
Aiqon Blog
Segurança de dados

Política de segurança de dados e proteção de dados dos clientes

Publicado

Os procedimentos e políticas de dados privados protegem a coleta, o armazenamento e a disseminação da PII (informação pessoal identificável) e o proprietário da companhia ou uma informação confidencial, enquanto a segurança de dados engloba a proteção física e lógica da PII e os dados da companhia de cyber ataques, manuseio incorreto de dados, acidentais ou intencionais e outras brechas de dados. Agora, vamos ir a fundo nos elementos da política de segurança de dados.

Uma política de segurança de dados especifica os detalhes sobre como os dados dos clientes, o PII dos funcionários, a propriedade intelectual e outras informações sensíveis são manuseadas. Algumas vezes ela é referida como “Política de segurança de dados de clientes”, mas o termo “Política de segurança de dados” é mais preciso.

A política de segurança de dados deve incluir duas amplas categorias de elementos: Políticas que se aplicam a pessoas e políticas que se aplicam a tecnologia.

Nesse Artigo

Elementos pessoais de uma política de segurança de dados

Estes são os principais elementos relacionados a dados pessoais para se ter em mente ao desenvolver ou revisar uma política de segurança de dados para a companhia:

  • Uso Aceitável
    • Qualquer um que tenha logado na rede da empresa nos últimos 10-15 anos provavelmente foi recebido por um pop-up de uma política de utilização. A política de utilização define o comportamento próprio e impróprio quando os usuários estão tentando acessar os recursos da empresa, incluindo restrições no uso de recursos da companhia para atividades não relacionadas ao negócio. Ele pode também detalhar qualquer monitoramento que a companhia faz para reforçar a política de uso
  • Senhas
    • Estabelecer e reforçar uma política de senhas é o básico de uma política de segurança de dados. A política de senhas deve declarar claramente os requisitos para comprimento e complexidades das senhas e de quanto em quanto tempo elas expiram, assim como o procedimento para trocar senhas esquecidas.
  • Email
    • Por conta de os e-mails serem um serviço critico aos funcionários, ao fabricante e as comunicações com o cliente, sua política de segurança de dados deve especificar sobre como o e-mail pode ser usado, se as caixas de entrada são criptografadas, e técnicas para frustrar ataques de phishing.
  • Auditoria
    • Tentativas de acesso a auditoria, alterações no sistema e atividades na rede são críticos tanto para a segurança quanto para várias regulações de compliance designadas a proteger dados sensíveis. As políticas de segurança de dados devem entender o nível de controle requeridos e os métodos de atingi-lo.
  • Redes sociais
    • A maioria das companhias são severas quanto ao uso das redes sociais enquanto no trabalho, mas é melhor ter uma declaração explicita sobre quais, se é que, o uso de redes sociais é aceitável.
  • Relatórios de incidentes de segurança
    • A política de segurança de dados deve apontar e relatar especificamente como os dados protegidos violados foram manuseados e por quem, tal qual sobre como os incidentes de segurança foram analisados e as “lições aprendidas” que devem ser aplicadas para prevenir futuros incidentes
Leia também:  4 Mitos Data Centric no Modelo Zero Trust

Elementos de tecnologia da Política de segurança de dados

Estes são os principais elementos relacionados a dados sobre tecnologia para se ter em mente ao desenvolver ou revisar uma política de segurança de dados para a companhia:

  • Segurança do sistema
    • Assegurar fisicamente e logicamente os servidores, roteadores, firewall e outros ativos de T.I é um requisito para a maioria das políticas de segurança de dados. Assegurar que você possa confiavelmente criar um backup, restaurar e gerenciar as configurações do servidor torna mais fácil a reconstrução ou substituir o servidor que tenha sido comprometido.
  • Gerenciamento de dispositivos móveis
    • A explosão do uso de dispositivos móveis nos ambientes das corporações apresentou um imenso desafio para diversas companhias. Uma opção é segregar os dispositivos móveis para redes com pouco ou nenhum acesso as intranets corporativas, especialmente para dispositivos móveis que pertencem a funcionários e visitantes.
  • Criptografia
    • As melhores práticas da política de segurança de dados incluem criptografia de dados, tanto os que estão armazenados nos dispositivos quanto nos que estão trafegando na rede, sendo assim ilegível por qualquer terceiro que os tenha em posse. O processo de classificação de dados pode ser usado para aplicar criptografia em certos tipos de dados, como dados protegidos por regulações especificas.
  • Scan de vulnerabilidade
    • Softwares de scans de vulnerabilidades são sofisticados e atualmente são elementos necessários em todas as políticas de segurança de dados. Em particular, assegurar que as portas do firewall estão sendo monitoradas para intrusões é um componente de segurança.
  • Gerenciamento de controle de acesso e monitoramento
    • Implementar mecanismos de controle de acesso compreensivos para gerenciar o acesso aos dados pode ser atingido tanto por técnicas de hardware como de software. Por exemplo, ambos gerenciamentos de acesso remoto e autenticação de multifator podem ajudar a proteger dados.
  • Inventário de Software, gerenciamento de licenças e gerenciamento de patch
    • Manter uma contagem precisa de todos os softwares adquiridos, instalados, e em uso é crítico para manter o compliance com os termos de licenças e controles de custo. Rastrear tanto nos usuários finais quanto nos servidores por softwares não autorizados ou não licenciados enquanto assegurar um bom gerenciamento de patch também são críticos para a segurança dos dados e o compliance com a política de privacidade requisitada em várias regulações.
  • Backup, recuperação e recuperação de desastres (DR)
    • Os profissionais de T.I precisam assegurar que todos os dados que estão sendo salvos de forma confiável e que os backups sejam protegidos tanto quanto a produção dos dados. A proteção de dados deve incluir a segurança física e lógica dos conjuntos de dados usando técnicas como armazenamento externo e criptografia. Os backups devem ser testados e você deve ser capaz de recuperar os dados rapidamente. Também é recomendável que você tenha um ambiente dedicado a DR, idealmente um que você possa fazer failover quando necessário.
Leia também:  Melhores dicas práticas para uma melhor segurança no SharePoint

Conclusão

Como você pode ver, há vários elementos que devemos considerar ao montar ou revisar uma política de segurança de dados. Tenha certeza de incluir todos os elementos necessários únicos para o seu ambiente de T.I, requisitos de segurança interna e regulações de aplicações externas, desta forma suas políticas ofereçam um nível apropriado de segurança.

Conheça o Netwrix Auditor e o Netwrix Data Classification e conheça a melhor forma de proteger os dados na sua empresa.

Artigos recomendados

Comente o que achou do artigo