Qual é a segurança de dados?

por Nirmal Ranganathan, Jared Jacobson – 2 de outubro de 2020

Mãos segurando o telefone inteligente com imagem de segurança exibida

Segurança de dados refere-se às suas políticas e padrões para proteger seus dados: em sua rede, em sua infraestrutura e suas aplicações e em várias camadas. Os métodos de segurança de dados incluem ambientes nas instalações e na nuvem, e incluem codificação, mascaramento, tokenização, eliminação, autenticação, controle de acesso, backup e recuperação e resiliência de dados. A segurança dos dados também supõe as demandas relacionadas à conformidade, motivada pelos regulamentos governamentais ou padrões da indústria, como PCI ou HIPAA.

A importância da segurança de dados

de acordo com uma recente Relatório da Verizon, uma em oito violações de segurança tem motivos econômicos, e todos criam turbulência financeira para as vítimas. Uma violação de dados pode causar tanta ruptura quanto a que ocorre devido à falta de conformidade. Sem uma estratégia sólida de segurança de dados, pode arriscar que existam conseqüências nas relações públicas, que as sanções são impostas devido à falta de conformidade e que as perdas de produtividade ocorrem. Algumas das conseqüências comuns de uma violação de dados são as seguintes:

conseqüências nas relações públicas

as expectativas de consumidores on-line estão crescendo. Portanto, quando potenciais clientes ou investidores descobrem que sua organização tem sido objeto de uma violação, você é considerado imprudente e não confiável, mesmo se você fez tudo o que deveria fazer. Essa percepção poderia causar a perda de participação no mercado e até que você tenha um impacto no preço de suas ações. O esforço e o custo de corrigir a violação inicial, gerenciando os meios, comunicando-se com os clientes e a reconstrução de sua marca levará recursos de sua missão principal.

Sanções devido à falta de conformidade

Não cumprir os requisitos regulamentares e legais sobre retenção, autorizações e armazenamento podem causar multas importantes por falta de conformidade. Em primeiro lugar, essas multas são sanções do Conselho Regulador. Além disso, é possível que haja taxas associadas, como pagamentos diretos às vítimas de violações, a prestação de serviços de resolução (monitoramento de crédito ou proteção de identidade) ou demandas por danos.

Perdas de Produtividade

Após uma violação de dados, as equipes de TI devem abandonar o que estão fazendo para responder e resolver a ameaça. Se ocorrer perda de dados, o tempo pretende restaurar backups. Uma violação de segurança provavelmente afetará a capacidade de alguns funcionários para acessar e usar os dados que precisam para completar seu trabalho. Em um estudo recente realizado pela Cisco, 48% das empresas com mais de 10.000 funcionários experimentaram, pelo menos quatro horas de inatividade para uma violação de dados, e um terço experimentado até 16 horas de inatividade.

Tipos de tecnologia de segurança de dados

Protegendo dados na nuvem ou nas instalações envolverá usando uma ou mais das seguintes tecnologias:

  • dados Criptografia
  • mascaramento de dados
  • tokenization
  • exclusão de dados
  • autenticação
  • controle de acesso
  • Encostos e recuperação
  • Resiliência de dados

criptografia de dados

Dados codificação impede que os usuários não autorizados acessem os dados. Essa técnica requer um certo tipo de autorização ou chave para decodificar e visualizar ou editar os dados. Codificação aplica-se principalmente ao nível da rede e infraestrutura; No entanto, ativos físicos, memórias flash ou discos rígidos também podem empregar esse método de segurança de dados. Além disso, a codificação pode ser aplicada dentro de aplicativos. Por exemplo:

Dados originais: John Smith

codificado: 393938383838

Decoded: John Smith

Estado de bloqueio: bloqueado, você pode Desbloquear

Acesso: Os usuários finais podem acessar todo o conjunto de dados

mascaramento de dados

Quando os dados são mascarados, o todo é substituído ou parte dos dados. Freqüentemente, vemos este caso ao mostrar os números de um cartão de crédito ou números de segurança social. Os dados estão lá, mas você não pode acessá-los. Essa técnica é usada para situações em que os dados são salvos no sistema, mas, devido a problemas de conformidade, como PCI ou HIPAA, os usuários não podem ver os dados reais. Você não pode reverter o mascaramento.Uma vez que os dados sejam mascarados, eles perdem seu valor e não estão disponíveis para uso em qualquer outra função. Por exemplo:

Dados originais: John Smith

mascarado: 393938383838

não mascarado: n / c

estado de bloqueio: bloqueado, ele não pode ser desbloqueado

Os usuários finais não podem acessar os dados, e os dados não podem ser usados para análise

tokenization

Embora seja importante aproveitar o valor de todos os dados, determinados elementos dos dados, como informações de identificação pessoal (PII), detalhes médicos e informações financeiras, devem ser tratadas com cuidado especial. O tokenization permite que as organizações oculdem informações confidenciais, mas preserem sua importância. Ao contrário da codificação, onde os dados podem ser desbloqueados, ou mascaramento e, além disso, eles perdem seu valor, o tokenization não pode ser desbloqueado, mas suas características permanecem valiosas. Você pode não saber o nome e endereço de cada cliente, mas você pode extrair dados para determinar, por exemplo, quando os clientes em uma determinada região gastar mais em um artigo específico.

Dados originais: John Smith

Tokenized: 838383838

Não excluído: n / c

Estado de bloqueio: bloqueado, não pode ser desbloqueado

Acesso: final Os usuários podem acessar informações sobre dados, mas não para o conjunto de dados reais

disposição de dados

devido ao aumento dos regulamentos sobre proteção de privacidade, como o GDPR e o CCPA, as empresas precisam Para proteger os dados que recebem e, além disso, eles devem ter um processo que exclua os dados. Uma limpeza de dados desorganizada e adesão negligenciada ao controle de dados pode fazer isso, para algumas organizações, é impossível cumprir plenamente as solicitações de disposição de dados, uma vez que não têm uma boa gestão em todos os lugares onde os pontos de dados poderiam ser acomodados. Quando feita corretamente, a exclusão de dados funciona da seguinte forma:

Dados originais: John Smith

Excluído:

Não excluído: n / c

Acesso: os dados são inexistentes. O usuário final nunca sabia que os dados existiam.

autenticação

A autenticação é o processo pelo qual os usuários identificam e podem acessar as informações. Para alguns sistemas, é uma senha; Para outros, pode ser um indicador biométrico, como impressões digitais ou varredura facial. Autenticação desbloqueia os dados bloqueados para que as peças autorizadas os usem. Isso é aplicado no nível da rede, o aplicativo ou o arquivo.

Controle de acesso

Ao estabelecer grupos de usuários e métodos de acesso baseados em função, as organizações podem controlar quais usuários veem quais dados. Isso garante que os funcionários que precisam ver os dados confidenciais estão devidamente autorizados a fazê-lo. O controle de acesso é estabelecido na maioria dos padrões de conformidade de dados para evitar, por exemplo, que uma recepcionista em um consultório médico veja o histórico médico completo do paciente, em vez de ver apenas as informações de seguro que é necessária para registrar e agendar pacientes.

backups e recuperação

Backs e recuperações Consulte a maneira como você armazena os dados e como você vai restaurá-los em caso de que um incidente ocorra. Como os serviços de nível de consumo que o protegem se você enganar o arquivo ou perder o telefone, o backup de nível de negócios significa separar dados em locais diferentes e seguros para fornecer redundância. Se um local falhar, o outro local será ativado com uma imagem precisa dos dados. As organizações usam as métricas de tempo de alvo de recuperação (RPO) e tempo de destino de recuperação (RTO) para determinar quais dados são recuperados e quanto tempo leva para recuperar.

resiliência de dados

resiliência de dados Refere-se a sua rapidez você pode recuperar e restaurar operações no caso de uma violação de dados. No passado, isso foi conseguido implantando vários servidores em diferentes locais. Após a recente crise mundial, muitas organizações enfrentam data centers a que não podem acessar. Por esse motivo, eles consideram alternativas baseadas em nuvem, que podem ser administradas remotamente, elas têm faculdade de backup automático e não requerem grandes investimentos iniciais de capital.

as melhores práticas de segurança de dados

As melhores práticas de segurança de dados são divididas em três categorias principais:

  • gerenciamento de risco de dados
  • Controle de dados
  • conformidade de dados

gerenciamento de risco de dados

gerenciamento de risco dos dados é onde. Fornece um roteiro para prioridades de segurança de dados. É aqui que uma organização determina quais regulamentações devem seguir, qual deve ser sua postura em torno da segurança e os KPIs necessários para demonstrar a conformidade. Por exemplo, mesmo se você não armazenar as informações do cartão de crédito, você pode optar por cumprir o PCI porque estabelece um padrão maior em termos de segurança de dados.

Outro elemento de gerenciamento de risco é a classificação de os dados. Se a documentação legal for solicitada e os dados não forem rotulados, ou forem rotulados incorretamente, as organizações poderiam enfrentar sanções ou horas de trabalho tedioso, procurando por dados, algo que pode ser comparado a procurar uma agulha em um hayloft virtual.

Controle de dados

Controle de dados é o que. Dependendo das obrigações de gerenciamento de riscos, o controle de dados abrange políticas e práticas que servem como base para o gerenciamento de dados. Também determina a responsabilidade e define como os dados podem ser armazenados, como eles são transferidos, como eles podem ser acessados, como eles são preservados e como são destruídos. Além das regras e técnicas, ele também deve oferecer orientação e perspectivas para que os usuários mantenham dados seguros e limpos.

Conformidade de dados

A conformidade de dados é a. É aqui que todo o trabalho real é realizado para atender às regras de controle. Por exemplo, é onde o acesso baseado em função é estabelecido com base no padrão PCI que você escolheu para adotar. A conformidade representa o nível de execução da seleção de ferramentas, tecnologias e processos para fornecer suporte para codificação, firewalls, antivírus, monitoramento e resposta.

Ao contrário do controle e da administração de riscos, a conformidade de dados está constantemente evoluindo . Embora o objetivo de manter a conformidade com o PCI ou a HIPAA pode permanecer consistente a partir de uma perspectiva e controle de risco, as agências de auditoria se adaptarem e constantemente revisarem o que significa cumprir os padrões.

Os benefícios de segurança de dados

Manter uma estratégia de segurança de dados definida protege toda a organização. Muitas vezes, pequenas empresas que sofrem de violações deixam a atividade em um ano e acabam passando uma média de US $ 200.000. E para aqueles que passam pelas conseqüências de uma violação de dados, haverá um enorme buraco financeiro em torno de tantos recursos e trabalho que fossem necessários para se recuperar de uma perspectiva tecnológica e de uma perspectiva de negócios.

com um Política de segurança de dados sólidos, as organizações incentivam a confiança, economizam recursos e evitam alterar as empresas tendo que lidar com uma violação ou interrupção.

Solução de Segurança de Tecnologia do RackSpace

com mais de duas décadas de segurança Experiência e gerenciamento de dados para algumas das maiores empresas do mundo, a tecnologia RackSpace oferece soluções de segurança de dados abrangentes e verificadas. Nossa metodologia abrange pessoas, processos e tecnologia para fornecer as soluções que você precisa para implementar a segurança a nível de negócios, manter a conformidade e obter confiança do cliente. As soluções incluem serviços de segurança gerenciados, assistência para conformidade, privacidade e proteção de dados, ferramentas de segurança e política de segurança, bem como a nossa solução rápida que a coloca rapidamente.

Editor Nota: Outubro é o mês nacional de consciência no computador Segurança (NCSAM)! Certifique-se de rever toda a nossa série de recursos orientados para a segurança para o NCSAM 2020, que inclui o seguinte:

    seminário da Web: o novo cenário da cibersegurança (ao vivo em 7 de outubro ou baixa demanda)

  • seminário da Web: Navegue pelas ameaças do cibersegurança hoje (ao vivo em 22 de outubro ou sob demanda)
  • artigo: O que causa a falta de competências na segurança cibernética?
  • artigo: o Covid-19 e a “Nova Normalidade” para Business Cybersecurity
  • podcast com Cloudflare: expectativas do consumidor on-line após a Covid-19

Leave a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *