Trace Id is missing
Pular para o conteúdo principal
Segurança da Microsoft

O que é proteção de dados?

Saiba como proteger os dados onde quer que estejam e gerenciar dados confidenciais e críticos do negócio no seu ambiente.

Definição de proteção de dados

Proteção de dados refere-se a estratégias e processos de segurança que ajudam a proteger dados confidenciais contra corrupção, comprometimento e perda. As ameaças a dados confidenciais incluem violações de dados e incidentes de perda de dados.

Uma violação de dados é o resultado de acesso não autorizado às informações, rede ou dispositivos da organização a partir de fontes como um ataque cibernético, ameaças internas ou erro humano. Além da perda de dados, sua organização pode incorrer em multas por violações de conformidade, enfrentar ações jurídicas por exposição de informações pessoais e sofrer danos de longo prazo à reputação da sua marca.

Um incidente de perda de dados é uma interrupção intencional ou acidental das operações organizacionais normais, por exemplo, um laptop é perdido ou roubado, um software é corrompido ou um vírus de computador se infiltra na sua rede. Ter uma política de segurança em vigor e treinar seus funcionários para reconhecer as ameaças e como respondê-las, ou não respondê-las, é fundamental para sua estratégia de proteção de dados.

Princípios fundamentais da proteção de dados

Os dois princípios fundamentais da proteção de dados são a disponibilidade de dados e o gerenciamento de dados.

A disponibilidade de dados permite que os funcionários acessem os dados de que precisam para as operações diárias. Manter a disponibilidade de dados contribui para o plano de continuidade dos negócios e recuperação de desastres da sua organização, que é um elemento importante do plano de proteção de dados que depende de cópias de backup armazenadas em um local separado. Ter acesso a essas cópias minimiza o tempo de inatividade de seus funcionários e mantém seu trabalho sob controle.

O gerenciamento de dados abrange o gerenciamento do ciclo de vida dos dados e das informações.

  • O gerenciamento do ciclo de vida dos dados abrange a criação, armazenamento, uso e análise e arquivamento ou descarte de dados. Esse ciclo de vida ajuda a garantir que sua organização esteja em conformidade com os regulamentos relevantes e que você não armazene dados desnecessariamente.
  • O gerenciamento do ciclo de vida da informação é uma estratégia para catalogar e armazenar as informações derivadas dos conjuntos de dados de sua organização. Seu objetivo é determinar o quão relevante e precisa é a informação.

Por que a proteção de dados é importante?

A proteção de dados é importante para manter a organização protegida contra roubo, vazamento e perda de dados. Ela envolve o uso de políticas de privacidade que atendem aos regulamentos de conformidade e evitam danos à reputação da organização.

A estratégia de proteção de dados inclui monitorar e proteger os dados em seu ambiente e manter o controle contínuo sobre a visibilidade e o acesso aos dados.

O desenvolvimento de uma política de proteção de dados permite que sua organização determine a tolerância a riscos para cada categoria de dados e cumpra os regulamentos aplicáveis. Essa política também ajuda a estabelecer autenticação e autorização, determinando quem deve ter acesso a quais informações e por quê.

Tipos de soluções de proteção de dados

As soluções de proteção de dados ajudam a monitorar atividades internas e externas, sinalizar comportamentos de compartilhamento de dados suspeitos ou arriscados e controlar o acesso a dados confidenciais.

  • Prevenção contra perda de dados

    Prevenção contra perda de dados é uma solução de segurança que ajuda a organização a impedir o compartilhamento, a transferência ou o uso de dados confidenciais por meio de ações como o monitoramento de informações confidenciais no seu patrimônio de dados. Também ajuda a garantir sua conformidade com os requisitos regulamentares, por exemplo, lei americana HIPAA (Health Insurance Portability Accountability Act) e GDPR (Regulamento Geral de Proteção de Dados) da UE (União Europeia).

  • Replicação

    A replicação copia dados continuamente de um local para outro para criar e armazenar uma cópia atualizada dos dados. Ela permite o failover desses dados caso o sistema principal fique inoperante. Além de protegê-lo contra a perda de dados, a replicação disponibiliza os dados do servidor mais próximo para que os usuários autorizados possam acessá-los de forma mais rápida. Ter uma cópia completa dos dados da organização também oferece às suas equipes a opção de realizar análises sem interferir nas necessidades diárias de dados.

  • Armazenamento com proteção integrada

    A solução de armazenamento deve fornecer proteção de dados, mas também permitir que você recupere os dados que foram excluídos ou modificados. Por exemplo, vários níveis de redundância ajudam a proteger os dados de coisas como interrupções de serviço, problemas de hardware e desastres naturais. O controle de versão preserva os estados anteriores dos dados quando a operação de substituição cria uma nova versão. Configure um bloqueio, por exemplo, somente leitura ou não pode excluir, nas contas de armazenamento para ajudar a protegê-las contra exclusão acidental ou maliciosa.

  • Firewalls

    O firewall ajuda a garantir que apenas usuários autorizados tenham acesso aos dados da organização. Ele funciona monitorando e filtrando o tráfego de rede de acordo com as regras de segurança e ajuda a bloquear ameaças como tentativas de ransomware e vírus. As configurações do firewall geralmente incluem opções para criar regras de entrada e saída, especificar regras de segurança de conexão, exibir logs de monitoramento e receber notificações quando o firewall bloqueou algo.

  • Descoberta de dados

    A descoberta de dados é o processo de descobrir quais conjuntos de dados existem na organização em data centers, laptops e computadores desktop, vários dispositivos móveis e em plataformas de nuvem. A próxima etapa é categorizar seus dados (por exemplo, marcá-los como restritos, privados ou públicos) e verificar se eles atendem à conformidade regulatória.

  • Autenticação e autorização

    Os controles de autenticação e autorização verificam as credenciais do usuário e confirmam se os privilégios de acesso foram atribuídos e aplicados corretamente. Ocontrole de acesso baseado em função é um exemplo de fornecer acesso apenas às pessoas que precisam. Ele pode ser usado em conjunto com o gerenciamento de identidade e acesso para ajudar a controlar o que os funcionários podem ou não acessar para manter os recursos da organização, como aplicativos, arquivos e dados, mais seguros.

  • Backup

    Os backups se enquadram na categoria de gerenciamento de dados. Eles podem ser tão frequentes quanto você precisar (por exemplo, backups completos todas as noites e backups incrementais ao longo do dia) e permitem restaurar dados perdidos ou corrompidos rapidamente para minimizar o tempo de inatividade. Uma estratégia típica de backup inclui salvar várias cópias dos dados e armazenar um conjunto de cópias completo em um servidor separado e outro em um local externo. A estratégia de backup se alinhará com o plano de recuperação de desastres.

  • Criptografia

    A criptografia ajuda a manter a segurança, a confidencialidade e a integridade dos dados. Ele é usado em dados que estão inativos ou em movimento para impedir que usuários não autorizados visualizem o conteúdo do arquivo, mesmo que obtenham acesso à sua localização. O texto não criptografado é transformado em texto cifrado ilegível (em outras palavras, os dados são convertidos em código) que requer uma chave de descriptografia para lê-lo ou processá-lo.

  • Recuperação de desastres

    A recuperação de desastres é um elemento de segurança da informação (InfoSec) que se concentra em como as organizações usam backups para restaurar dados e retornar às condições operacionais normais após um desastre (por exemplo, um desastre natural, falha de equipamento em grande escala ou um ataque cibernético). É uma abordagem proativa que ajuda a organização a reduzir o impacto de eventos imprevisíveis e responder mais rapidamente a interrupções planejadas ou não.

  • Proteção de pontos de extremidade

    Pontos de extremidade são dispositivos físicos que se conectam a uma rede, como dispositivos móveis, computadores desktop, máquinas virtuais, dispositivos integrados e servidores. A proteção de ponto de extremidade ajuda sua organização a monitorar esses dispositivos e proteger contra agentes de ameaças que procuram vulnerabilidades ou erros humanos e tiram proveito de pontos fracos de segurança.

  • Instantâneos

    Um instantâneo é uma exibição do sistema de arquivos em um determinado ponto no tempo; ele preserva essa exibição e rastreia quaisquer alterações feitas após esse ponto. Esta solução de proteção de dados faz referência a matrizes de armazenamento que usam uma coleção de unidades em vez de servidores. As matrizes normalmente criam um catálogo que aponta para a localização dos dados. O instantâneo copia uma matriz e define os dados como somente leitura. Novas entradas são criadas no catálogo enquanto os catálogos antigos são preservados. Os instantâneos também incluem configurações do sistema para recuperar servidores.

  • Exclusão de dados

    Excluir é apagar dados armazenados que a organização não precisa mais. Esse processo também é conhecido como limpeza de dados ou exclusão de dados e geralmente é um requisito regulatório. Em relação ao GDPR, os indivíduos têm o direito de ter seus dados pessoais apagados mediante solicitação. Esse direito à exclusão também é chamado de “direito de ser esquecido”.

Proteção, segurança e privacidade

Podem parecer termos intercambiáveis, mas proteção de dados, segurança de dados e privacidade de dados têm propósitos diferentes. Proteção de dados abrange as estratégias e processos que sua organização usa para ajudar a proteger dados confidenciais contra corrupção, comprometimento e perda. Segurança de dados está preocupada com a integridade de seus dados e trabalha para protegê-los contra corrupção por usuários não autorizados ou ameaças internas. Privacidade de dados controla quem tem acesso aos seus dados e determina o que pode ser compartilhado com terceiros.

Melhores práticas de proteção de dados

As melhores práticas de proteção de dados consistem em planos, políticas e estratégias para ajudá-lo a controlar o acesso aos seus dados, monitorar a rede e a atividade de uso e responder a ameaças internas e externas.

  • Fique por dentro dos requisitos

    Um plano de governança abrangente identifica os requisitos regulatórios e como eles se aplicam aos dados da sua organização. Verifique se você tem visibilidade de todos os seus dados e classifique-os adequadamente. Certifique-se de estar em conformidade com os regulamentos de privacidade do setor.

  • Limitar o acesso

    O controle de acesso emprega autenticação para verificar se os usuários são quem dizem ser e autorização para determinar quais informações eles podem ver e usar. No caso de uma violação de dados, o controle de acesso é uma das primeiras políticas a serem examinadas para determinar se foi implementado e mantido adequadamente.

  • Criar uma política de segurança cibernética

    A política de segurança cibernética define e direciona as atividades de TI em sua organização. Ela alerta os funcionários sobre as ameaças comuns aos seus dados e os ajuda a ficar mais atentos à segurança e à proteção. Também pode esclarecer as estratégias de proteção de dados e promover uma cultura de uso responsável de dados.

  • Monitorar atividades

    O monitoramento e os testes contínuos ajudam a identificar áreas de risco potencial. Use IA e automatize suas tarefas de monitoramento de dados para detectar ameaças de forma rápida e eficaz. Este sistema de alerta antecipado avisa você sobre possíveis problemas de dados e segurança antes que eles possam causar danos.

  • Desenvolver um plano de resposta a incidentes

    Ter um plano de resposta a incidentes antes que ocorra uma violação de dados o deixará preparado para agir. Ele ajudará a equipe de resposta (por exemplo, seu chefe de TI, InfoSec e chefe de comunicações) a manter a integridade dos sistemas e a colocar a organização de volta ao trabalho o mais rápido possível.

  • Identificar riscos

    Os funcionários, fornecedores, contratados e parceiros possuem informações sobre os dados, sistemas de computador e práticas de segurança. Para identificar o acesso não autorizado aos dados e ajudar a protegê-los contra uso indevido, saiba quais dados você possui e como eles são usados em seu patrimônio digital.

  • Aprimorar a segurança de armazenamento de dados

    A segurança de armazenamento de dados usa métodos como controle de acesso, criptografia e segurança de ponto de extremidade para manter a integridade e a confidencialidade dos dados armazenados. Ela também reduz o risco de danos intencionais ou não intencionais e permite a disponibilidade contínua dos dados.

  • Treinar os funcionários

    Quer sejam intencionais ou não, os riscos internos são uma das principais causas de violações de dados. Comunique claramente suas políticas de prevenção de dados em todos os níveis para ajudar os funcionários a cumpri-las. Repita frequentemente o treinamento com sessões de atualização e orientação quando surgirem problemas específicos.

Leis e conformidade da proteção de dados

Toda organização deve cumprir os padrões, leis e regulamentos relevantes de proteção de dados. As obrigações legais incluem, mas não estão limitadas a, coletar apenas as informações necessárias de clientes ou funcionários, mantê-las seguras e descartá-las adequadamente. Os exemplos a seguir são de leis de privacidade.

O GDPR é a lei de privacidade e segurança de dados mais rígida. Ela foi elaborada e aprovada pela UE, mas organizações em todo o mundo são obrigadas a cumprir se visarem ou coletarem dados pessoais de cidadãos ou residentes da UE ou oferecerem bens e serviços a eles.

A CCPA (Lei de privacidade e proteção de dados da Califórnia) ajuda a garantir os direitos de privacidade dos consumidores da Califórnia, incluindo o direito de saber sobre as informações pessoais que a empresa coleta e como elas são usadas e compartilhadas, o direito de excluir as informações pessoais coletadas sobre elas e o direito para recusar a venda das suas informações pessoais.

A HIPAA ajuda a proteger as informações de saúde do paciente de serem divulgadas sem o conhecimento ou consentimento dele. A Norma de privacidade HIPAA protege as informações pessoais de saúde e foi emitida para implementar os requisitos da HIPAA. A Regra de segurança da HIPAA ajuda a proteger as informações de saúde identificáveis que o profissional de saúde cria, recebe, mantém ou transmite eletronicamente.

A GLBA (Lei Gramm-Leach-Bliley), também conhecida como Lei de Modernização dos Serviços Financeiros de 1999, exige que as instituições financeiras expliquem suas práticas de compartilhamento de informações aos clientes e protejam os dados confidenciais.

A Comissão Federal de Comércio é o principal órgão de proteção ao consumidor nos Estados Unidos. A Lei da Comissão Federal de Comércio declara como ilegais todos os métodos desleais de concorrência e atos ou práticas desleais ou enganosos que afetem o comércio.

À medida que as estratégias e os processos evoluem, há algumas tendências de proteção de dados que a organização deve conhecer. Elas incluem conformidade regulatória, gerenciamento de riscos e portabilidade de dados.

  • Mais sobre os regulamentos de proteção de dados

    O GDPR se tornou o parâmetro de comparação de como outros países coletam, divulgam e salvam dados pessoais. Desde sua introdução, a CCPA nos Estados Unidos (Califórnia) e a Lei Geral de Proteção de Dados Pessoais no Brasil surgiram para acompanhar a proliferação do consumismo online e produtos e serviços personalizados.

  • Proteção de dados móveis

    Impedir que usuários não autorizados acessem sua rede inclui proteger dados confidenciais armazenados em dispositivos portáteis, como laptops, tablets e smartphones. O software de segurança usa a verificação de identidade para ajudar a impedir que os dispositivos sejam comprometidos.

  • Menos acesso para terceiros

    As violações de dados geralmente podem ser atribuídas a terceiros (como fornecedores, parceiros e provedores de serviços) que têm muito acesso à rede e aos dados da organização. O gerenciamento de riscos de terceiros está encontrando caminho nas regulamentações de conformidade para limitar como terceiros acessam e usam os dados.

  • Gerenciamento de cópia de dados

    O gerenciamento de cópia de dados detecta dados duplicados, compara dados semelhantes e permite que a organização exclua cópias não utilizadas de seus dados. Essa solução minimiza as inconsistências causadas por dados duplicados, reduz os custos de armazenamento e ajuda a manter a segurança e a conformidade.

  • Portabilidade de dados

    Nos primeiros dias da computação em nuvem, a portabilidade de dados e a migração de grandes conjuntos de dados para outros ambientes eram difíceis. Hoje, a tecnologia de nuvem tornou os dados mais portáteis, permitindo que as organizações os movam entre ambientes; por exemplo, de data centers locais para nuvens públicas ou entre provedores de nuvem.

  • Recuperação de desastres como um serviço

    A recuperação de desastres como serviço ajuda organizações de qualquer tamanho a usar serviços de nuvem econômicos para replicar seus sistemas e restaurar as operações após um evento catastrófico. Ela oferece a flexibilidade e escalabilidade da tecnologia baseada em nuvem e é vista como uma solução eficaz para evitar interrupções de serviço.

Descoberta e classificação de dados

A descoberta e a classificação de dados são processos separados que funcionam juntos para fornecer visibilidade aos dados da organização. A ferramenta de descoberta de dados examina todo o seu patrimônio digital para descobrir onde residem os dados estruturados e não estruturados, o que é fundamental na sua estratégia de proteção de dados. A classificação de dados organiza os dados do processo de descoberta com base no tipo de arquivo, conteúdo e outros metadados, ajuda a eliminar dados duplicados e facilita a localização e recuperação de dados.

Dados desprotegidos são dados vulneráveis. Saber quais dados você possui e onde eles residem ajuda a protegê-los enquanto cumpre os requisitos de conformidade regulatória relacionados a processos e controles de dados.

Soluções de proteção de dados

As soluções de proteção de dados ajudam a proteger contra perda de dados e incluem segurança, backup e recuperação de dados, que suportam diretamente o plano de recuperação de desastres da organização.

Simplifique como a organização entende seus dados confidenciais. Obtenha visibilidade de todos os seus dados, obtenha proteção mais poderosa em aplicativos, nuvens e dispositivos e gerencie os requisitos regulamentares com as soluções de segurança da Microsoft.

Saiba mais sobre a Segurança da Microsoft

Microsoft Purview

Explore as soluções de governança, proteção e conformidade para os dados da sua organização.

Saiba mais

Ajude a evitar a perda de dados

Identifique o compartilhamento, a transferência e o uso arriscado ou inadequado de dados confidenciais em pontos de extremidade, aplicativos e serviços.

Saiba mais

Proteção de informações

Ajude a proteger e controlar seus dados com soluções integradas, inteligentes, unificadas e extensíveis.

Saiba mais

Conformidade de comunicações

Use o aprendizado de máquina para detectar as violações de comunicação.

Saiba mais

Perguntas frequentes

  • Exemplos de proteção de dados incluem proteção contra danos acidentais ou mal-intencionados, ter uma estratégia de recuperação de desastres e limitar o acesso apenas àqueles que precisam dos dados.

  • O objetivo da proteção de dados é proteger os dados da sua organização contra comprometimento, dano e perda.

  • O GDPR afirma que os indivíduos têm direitos e liberdades fundamentais quando se trata da proteção de seus dados pessoais. Toda organização que coleta dados pessoais deve obter o consentimento explícito dos indivíduos e deve ser transparente sobre como esses dados serão usados.

  • As ferramentas de proteção de dados incluem descoberta e inventário de dados, criptografia, eliminação de dados, gerenciamento de acesso e segurança de ponto de extremidade.

  • Para ajudar a proteger os dados, as empresas podem começar estabelecendo uma política de segurança que defina itens como uso aprovado e relatórios de incidentes. Outras ações importantes a serem tomadas são fazer backup de dados críticos, manter o software atualizado e educar os funcionários sobre proteção de dados.

Siga o Microsoft 365