Classificação de dados & taxonomia de rótulo de confidencialidade

Dados confidenciais apresentam um risco significativo para uma empresa se forem roubados, compartilhados inadvertidamente ou expostos por meio de uma violação. Os fatores de risco incluem danos à reputação, impacto financeiro e perda de vantagem competitiva. Proteger os dados e as informações que sua empresa gerencia é uma prioridade máxima para sua organização, mas talvez seja difícil saber se seus esforços são realmente eficazes, dada a quantidade de conteúdo mantida pela sua empresa.

Além do volume, seu conteúdo pode variar em importância de altamente sensível e impactante a trivial e transitório. Ele também pode estar sob a alçada de vários requisitos de conformidade regulatória. Saber o que priorizar e onde aplicar controles pode ser um desafio. Continue a ler para saber mais sobre a classificação de dados, uma ferramenta importante para proteger seu conteúdo contra roubo, sabotagem ou destruição inadvertida e como o Microsoft 365 pode ajudá-lo a cumprir suas metas de segurança de informações.

O que é a classificação de dados?

A classificação de dados é um termo especializado usado nos campos de segurança cibernética e governança de informações para descrever o processo de identificação, categorização e proteção de conteúdo de acordo com seu nível de confidencialidade ou impacto. Em sua forma mais básica, a classificação de dados é um meio de proteger seus dados contra divulgação, alteração ou destruição não autorizadas com base no quão sensível ou impactante ele é.

O que é uma estrutura de classificação de dados?

Geralmente codificada em uma política formal em toda a empresa, uma estrutura de classificação de dados (às vezes chamada de "política de classificação de dados") normalmente é composta por níveis de classificação de 3 a 5. Estes geralmente incluem três elementos: um nome, uma descrição e exemplos do mundo real. A Microsoft recomenda não mais do que cinco rótulos pai de nível superior, cada um com cinco sub-rótulos (25 no total) para manter a interface do usuário (interface do usuário) gerenciável. Normalmente, os níveis são organizados do mínimo para o mais sensível, como Público, Interno, Confidencial e AltamenteConfidencial. Outras variações de nome de nível que você pode encontrar incluem Restricted, Unrestricted e Consumer Protected. A Microsoft recomenda nomes de rótulo que são auto-descritivos e que realçam claramente sua confidencialidade relativa. Por exemplo, Confidencial e Restrito pode deixar os usuários adivinhando qual rótulo é apropriado, enquanto Confidencial e Altamente Confidencial são mais claros sobre quais são mais sensíveis.

A tabela a seguir mostra um exemplo de um nível de estrutura de classificação de dados altamente confidencial :

Nível de classificação Descrição Exemplos
Altamente Confidencial Dados altamente confidenciais são o tipo mais confidencial de dados armazenados ou gerenciados pela empresa e podem exigir notificações legais se violados ou de outra forma divulgados.

Dados restritos exigem o nível mais alto de controle e segurança, e o acesso deve ser limitado a "necessidade de saber".
Informações confidenciais identificáveis pessoalmente (PII confidencial)
Dados do titular do cartão
Informações de integridade protegidas (PHI)
Dados da conta bancária

Dica

A estrutura de classificação de dados corporativos da Microsoft originalmente usou uma categoria e um rótulo chamado 'Interno' durante a fase piloto, mas descobriu que havia razões legítimas para um documento ser compartilhado externamente e deslocado para o uso de 'Geral'.

Outro componente importante de uma estrutura de classificação de dados são os controles associados a cada nível. Os níveis de classificação de dados por si só são simplesmente rótulos (ou marcas) que indicam o valor ou a confidencialidade do conteúdo. Para proteger esse conteúdo, as estruturas de classificação de dados definem os controles que devem estar em vigor para cada um dos níveis de classificação de dados. Esses controles podem incluir requisitos relacionados a:

  • Tipo de armazenamento e local
  • Criptografia
  • Controle de acesso
  • Destruição de dados
  • Prevenção contra perda de dados
  • Divulgação pública
  • Acesso ao registro em log e acompanhamento
  • Outros objetivos de controle, conforme necessário

Seus controles de segurança variam de acordo com o nível de classificação de dados, de modo que as medidas de proteção definidas em sua estrutura aumentem proporcionalmente à confidencialidade do conteúdo. Por exemplo, seus requisitos de controle de armazenamento de dados variam dependendo da mídia que está sendo usada, bem como do nível de classificação aplicado a um determinado conteúdo. A tabela a seguir mostra um exemplo de controles de classificação de dados para um tipo de armazenamento específico:

Tipo de armazenamento Confidencial Interno Irrestrito
Armazenamento Removível Proibido Proibido, a menos que criptografado Nenhum controle necessário

Aplicar corretamente o nível certo de classificação de dados pode ser complexo em situações reais e, às vezes, sobrecarregar os usuários finais. Depois que uma política ou padrão é criado que define os níveis necessários de classificação de dados, é importante orientar os usuários finais sobre como dar vida a essa estrutura em seu trabalho diário. Essa área é onde as regras ou diretrizes de tratamento de classificação de dados entram.

As diretrizes de tratamento de classificação de dados ajudarão os usuários finais com diretrizes específicas sobre como lidar com cada nível de dados adequadamente, para diferentes mídias de armazenamento ao longo de seu ciclo de vida. Essas diretrizes ajudam os usuários finais a aplicar corretamente regras na prática, por exemplo, ao compartilhar documentos, enviar emails ou colaborar em diferentes plataformas e organizações.

Os clientes da Microsoft indicam que aproximadamente 50% de um projeto de Proteção de Informações é focado em negócios e não técnico, portanto, o treinamento e a comunicação do usuário final são fundamentais para o sucesso.