Chat with us, powered by LiveChat

A classificação de dados não deve depender dos usuários

Se sua empresa está classificando manualmente os dados, você já perdeu a batalha da segurança de dados. A segurança dos dados depende da classificação, mas a classificação dos dados não é confiável hoje porque depende dos usuários.

Os usuários marcam ou rotulam arquivos com valores comuns, como "público", "interno", "confidencial" e "altamente confidencial", e soluções como prevenção contra perda de dados, gerenciamento de direitos e proteção de informações dependem de alguma forma de marcação. Este tipo de classificação é muito frágil porque os dados estão sempre em movimento. O que é importante hoje pode não ser importante amanhã. O que não é sensível hoje pode se tornar sensível no futuro.

Para ter uma ideia desse problema, vamos percorrer um fluxo de trabalho simples de classificação de dados com classificação manual baseada no usuário. Um funcionário cria um modelo de projeto genérico e o classifica como público. Não há dados confidenciais no modelo. Outro funcionário começa a usar o modelo para um cliente e o preenche com informações específicas do cliente. O funcionário deve alterar a classificação para "interno".

Talvez ocorra a mudança de classificação. Talvez não. O risco para a empresa é baixo neste momento, mas não zero. Com o passar do tempo, os funcionários podem adicionar mais e mais dados ao arquivo, incluindo credenciais de login e números de conta. O arquivo foi reclassificado como confidencial? Se houver várias versões do arquivo, todas as instâncias do arquivo foram reclassificadas corretamente? Existem muitas oportunidades para a classificação falhar. O risco para a empresa agora é alto.

O elo mais fraco no processo de classificação são os funcionários. Até mesmo funcionários diligentes cometem erros. Muitas empresas implementam diferentes processos de segurança para arquivos com tags "confidenciais" ou "altamente confidenciais", como não permitir que sejam enviados por e-mail ou armazenados na nuvem. Esses processos criam atrito de fluxo de trabalho adicional para os funcionários. Os funcionários não têm o incentivo para classificar os dados corretamente.

Remover funcionários e o elemento humano da segurança é a resposta. Em vez de confiar que os funcionários sigam os procedimentos e avaliem os dados corretamente, as empresas devem considerar soluções de segurança baseadas em classificação automatizada. Um termo de marketing popular para esses tipos de soluções é centrado em dados. Como a maioria dos termos de marketing, as empresas dobram as definições conforme necessário para se adequar ao seu posicionamento e solução.

Independentemente de como você o chame, as empresas devem buscar soluções de segurança de dados que não exijam que os usuários finais façam parte do processo de segurança. Os usuários autorizados devem continuar trabalhando sem saber que a segurança validou suas ações, enquanto o sistema bloqueia o acesso de usuários não autorizados aos dados protegidos.

As soluções de segurança precisam se concentrar nos dados. Em vez de depender dos usuários para atualizar a classificação com base apenas na percepção de que tipo de dados está em um arquivo, você deve basear as decisões de segurança em valores imutáveis, como o próprio conteúdo dos dados.

O funcionário ainda copia e cola as credenciais de login e os números de conta de um arquivo previamente protegido e confidencial de nosso exemplo anterior, mas a segurança reconhece os dados originais de um arquivo confidencial neste caso e altera automaticamente a classificação do segundo arquivo para confidencial - tudo sem qualquer entrada do usuário.

Mesmo que o funcionário copie o arquivo ou crie uma nova versão por meio de "salvar como", o arquivo resultante será classificado automaticamente. Agora a segurança está funcionando automaticamente, sem nenhuma entrada para os usuários.

Resumindo, para vencer a batalha pela segurança de dados, as empresas devem primeiro classificar os dados corretamente. Aqui estão algumas dicas para garantir que a segurança de seus dados seja bem-sucedida:

• Remover usuários finais do processo de segurança. Os usuários não devem decidir sobre a classificação dos dados.

• A segurança deve ser transparente para os usuários autorizados. Caso contrário, eles encontrarão soluções alternativas para permanecer produtivos.

• Baseie a classificação em valores imutáveis, como o conteúdo dos arquivos. Conforme o conteúdo muda, a classificação ou rótulo precisa mudar automaticamente.

• Não confie no nome do arquivo ou metadados para classificação.

• Procure a segurança de dados que identifica o conteúdo, como fontes e tipos de dados regulamentados. Os tipos podem ser informações de identificação pessoal (PII), Indústria de cartões de pagamento (PCI) e informações pessoais de saúde (PHI). As origens podem ser todos os dados originados de um serviço SaaS, como Salesforce ou Workday, ou de um servidor de arquivos centralizado.

• Certifique-se de que a classificação ocorra em tempo real e não em uma nova varredura noturna do computador.

Seguindo essas dicas, as empresas podem garantir que a classificação dos dados seja confiável e confiável. As decisões de classificação são críticas para o processo de segurança de dados e, historicamente, a classificação de dados tem decepcionado as empresas.

Por que a classificação de dados não deve depender dos usuários

Artigo Original da Forbes