O que é a proteção de dados?
Saiba como proteger os seus dados onde quer que estejam e como gerir dados confidenciais e críticos para a empresa no seu ambiente.
Proteção de dados definida
A proteção de dados refere-se a estratégias e processos de segurança que ajudam a proteger dados confidenciais contra a corrupção, o comprometimento e a perda de dados. As ameaças a dados confidenciais incluem falhas de segurança de dados e incidentes de perda de dados.
Uma falha de segurança de dados é o resultado de um acesso não autorizado às informações, rede ou dispositivos da sua organização através de outras origens, como um ciberataque, ameaças internas ou erro humano. Além da perda de dados, a sua organização pode incorrer em multas por infrações de conformidade, enfrentar ações legais por exposição de informações pessoais e sofrer danos a longo prazo à reputação da marca.
Um incidente de perda de dados é uma interrupção intencional ou acidental às suas operações organizacionais normais, por exemplo, um portátil é perdido ou roubado, software é danificado ou infiltra-se um vírus do computador na sua rede. Ter uma política de segurança no local e formar os seus colaboradores para reconhecer ameaças e como responder, ou não responder, é crítico para a sua estratégia de proteção de dados.
Princípios-chave da proteção de dados
Os dois princípios-chave da proteção de dados são a disponibilidade dos dados e a gestão de dados.
A disponibilidade dos dados permite que os colaboradores acedam aos dados necessários para as operações diárias. Manter a disponibilidade dos dados contribui para o plano de continuidade de negócio e recuperação após desastre da sua organização, que é um elemento importante do seu plano de proteção de dados, o qual depende de cópias de segurança armazenadas numa localização separada. Ter acesso a estas cópias minimiza o tempo de inatividade dos seus colaboradores e mantém o respetivo trabalho bem encaminhado.
A gestão de dados engloba a gestão do ciclo de vida dos dados e a gestão do ciclo de vida das informações.
- A gestão do ciclo de vida dos dados abrange a criação, o armazenamento, a utilização e análise e o arquivo ou eliminação de dados. Este ciclo de vida ajuda a garantir que a sua organização está em conformidade com os regulamentos relevantes e que não está a armazenar dados desnecessariamente.
- A gestão do ciclo de vida das informações é uma estratégia para catalogar e armazenar as informações derivadas dos conjuntos de dados da sua organização. O seu objetivo é determinar o quão relevantes e precisas são as informações.
Por que motivo a proteção de dados é tão importante?
A proteção de dados é importante para manter a sua organização protegida de roubo, fugas e perda de dados. Envolve a utilização de políticas de privacidade que cumpram com os regulamentos de conformidade e que previnam danos à reputação da sua organização.
Uma estratégia de proteção de dados inclui a monitorização e a proteção dos dados no seu ambiente e manter um controlo contínuo da visibilidade e do acesso dos dados.
Desenvolver uma política de proteção de dados permite que a sua organização determine a sua tolerância de risco para todas as categorias de dados e que cumpra com os regulamentos aplicáveis. Esta política também ajuda a estabelecer a autenticação e a autorização, ao determinar quem deve ter acesso a que informações e porquê.
Tipos de soluções de proteção de dados
As soluções de proteção de dados ajudam a monitorizar a atividade interna e externa, a sinalizar comportamentos de partilha de dados suspeitos ou de risco e a controlar o acesso a dados confidenciais.
-
Prevenção de perda de dados
A prevenção de perda de dados é uma solução de segurança que ajuda a sua organização a prevenir a partilha, a transferência ou a utilização de dados confidenciais através de ações, como a monitorização de informações confidenciais no seu património de dados. Também ajuda a garantir a sua conformidade com os requisitos de regulamentação, por exemplo, o Health Insurance Portability and Accountability Act (HIPAA) e o Regulamento Geral Sobre a Proteção de Dados (RGPD) da União Europeia.
-
Replicação
A replicação copia dados de forma contínua de uma localização para outra para criar e armazenar uma cópia atualizada dos seus dados. Permite uma ativação pós-falha destes dados no caso de o seu sistema principal falhar. Além de o proteger da perda de dados, a replicação disponibiliza os dados do servidor mais próximo para que os utilizadores autorizados possam aceder-lhes mais rapidamente. Ter uma cópia completa dos dados da sua organização também proporciona às suas equipas a opção de executar análises sem interferir com as necessidades diárias.
-
Armazenamento com proteção incorporada
Uma solução de armazenamento deve fornecer proteção de dados, mas também possibilitar-lhe a recuperação de dados que foram eliminados ou modificados. Por exemplo, vários níveis de redundância ajudam na proteção dos seus dados de coisas como falhas no serviço, problemas de hardware e desastres naturais. O controlo de versões preserva os estados anteriores dos seus dados quando uma operação de substituição cria uma nova versão. Configure um bloqueio, por exemplo, só de leitura ou não é possível eliminar, nas suas contas de armazenamento para ajudar a protegê-las da eliminação acidental ou maliciosa.
-
Firewalls
Uma firewall ajuda a garantir que apenas os utilizadores autorizados têm acesso aos dados da sua organização. Funciona através da monitorização e filtragem do tráfego de acordo com as suas regras de segurança e ajuda a bloquear ameaças, como vírus e tentativas de ransomware. Normalmente, as definições de firewall incluem opções para criar regras de entrada e de saída, especificar regras de segurança da ligação, ver registos de monitorização e receber notificações quando a firewall bloqueou algo.
-
Deteção de dados
A deteção de dados é o processo de encontrar os conjuntos de dados que existem na sua organização em datacenters, portáteis e computadores de secretária, vários dispositivos móveis e plataformas na nuvem. O próximo passo é categorizar os seus dados (por exemplo, marcá-los como restritos, privados ou públicos) e verificar se cumprem com a conformidade regulamentar.
-
Autenticação e autorização
Os controlos de autenticação e autorização verificam as credenciais de utilizador e confirmam se o acesso a privilégios é atribuído e aplicado corretamente. O controlo de acesso baseado em funções é um exemplo de dar acesso apenas às pessoas que precisam do mesmo para fazer o seu trabalho. Pode ser utilizado em conjunto com a gestão de identidade e acesso para ajudar a controlar o que os colaboradores podem e não podem aceder como forma de manter os recursos da sua organização (como aplicações, ficheiros e dados) mais seguros.
-
Cópias de segurança
As cópias de segurança entram na categoria da gestão de dados. Podem ocorrer com a frequência que precisar que ocorram (por exemplo, cópias de segurança completas todas as noites e cópias de segurança incrementais durante o dia) e possibilitam-lhe o restauro de dados perdidos ou danificados rapidamente para minimizar a inatividade. Uma estratégia de cópia de segurança comum inclui guardar diversas cópias dos seus dados e armazenar um conjunto de cópia completo num servidor separado e outro numa localização externa. A sua estratégia de cópia de segurança irá alinhar-se com o seu plano de recuperação após desastre.
-
Encriptação
A encriptação ajuda a manter a segurança, a confidencialidade e a integridade dos seus dados. É utilizada em dados inativos ou em movimento para prevenir que utilizadores não autorizados vejam o conteúdo dos ficheiros mesmo que obtenham acesso à sua localização. O texto não encriptado é transformado num ficheiro de encriptação ilegível (por outras palavras, os dados são convertidos em código) que necessita de uma chave de desencriptação para ser lido ou processado.
-
Recuperação após desastre
A recuperação após desastre é um elemento de segurança da informação (segurança da informação) que se centra na forma como as organizações utilizam as cópias de segurança para restaurar dados e regressam às condições normais de funcionamento depois de um desastre (por exemplo, um desastre natural, a falha de um equipamento de grande escala ou um ciberataque). É uma abordagem proativa que ajuda a sua organização a reduzir o impacto de eventos imprevisíveis e a responder mais rapidamente a interrupções planeadas e não planeadas.
-
Proteção de pontos finais
Os pontos finais são dispositivos físicos que se ligam a uma rede, como dispositivos móveis, computadores de secretária, máquinas virtuais, dispositivos incorporados e servidores. A proteção de pontos finais ajuda a sua organização a monitorizar estes dispositivos e a salvaguardar-se contra os atores de ameaças que procuram vulnerabilidades ou erros humanos e que tiram partido das fragilidades da segurança.
-
Instantâneos
Um instantâneo é uma vista do seu sistema de ficheiros num período específico, preserva essa vista e monitoriza quaisquer alterações efetuadas a partir desse período. Esta solução de proteção de dados faz referência a matrizes de armazenamento que utilizam uma coleção de discos em vez de servidores. Normalmente, as matrizes criam um catálogo que aponta para a localização dos dados. Um instantâneo copia uma matriz e define os dados para só de leitura. As novas entradas são criadas no catálogo enquanto os catálogos antigos são preservados. Os instantâneos também incluem configurações do sistema para recuperar servidores.
-
Apagamento de dados
O apagamento é a eliminação dos dados armazenados que a sua organização já não precisa. Este processo é igualmente conhecido como limpeza de dados ou eliminação de dados e é frequentemente uma condição regulamentar. Em relação ao RGPD, os indivíduos têm o direito de ter os seus dados pessoais apagados após pedido. O direito ao apagamento também é denominado como "o direito a ser esquecido".
Proteção, segurança e privacidade
Podem parecer termos equivalentes, mas a proteção de dados, a segurança de dados e a privacidade de dados têm objetivos diferentes. A proteção de dados engloba as estratégias e os processos que a sua organização utiliza para ajudar a proteger os dados confidenciais contra a corrupção, o comprometimento e a perda de dados. A segurança de dados preocupa-se com a integridade dos seus dados e funciona para protegê-los da corrupção por parte de utilizadores não autorizados ou ameaças internas. A privacidade de dados controla quem tem acesso aos seus dados e determina o que pode ser partilhado com terceiros.
Melhores práticas de proteção de dados
As melhores práticas de proteção de dados consistem em planos, políticas e estratégias para ajudar a controlar o acesso aos seus dados, a monitorizar a atividade de utilização e de rede e a responder a ameaças internas e externas.
-
Mantenha-se a par dos requisitos
Um plano de governação abrangente identifica os requisitos de regulamentação e a forma como estes se aplicam aos dados da sua organização. Verifique que tem visibilidade em todos os seus dados e classifique-a corretamente. Certifique-se de que está em conformidade com os regulamentos da sua indústria.
-
Limite o acesso
O controlo de acesso utiliza a autenticação para verificar que os utilizadores são quem dizem e a autorização para determinar quais as informações que estes têm permissão para ver e utilizar. No caso de uma falha de segurança de dados, o controlo de acesso é uma das primeiras políticas a ser escrutinada para determinar se foi implementada e mantida corretamente.
-
Crie uma política de cibersegurança
Uma política de cibersegurança define e direciona atividades de TI na sua organização. Faz com que os colaboradores fiquem atentos a ameaças comuns aos seus dados e ajuda-os a ser mais vigilantes no que diz respeito à proteção e à segurança. Também pode clarificar as suas estratégias de proteção de dados e promover uma cultura de utilização de dados responsável.
-
Monitorize a atividade
Monitorizar e testar de forma contínua ajuda a identificar as áreas de risco potencial. Utilize a IA e automatize as tarefas de monitorização dos seus dados para detetar ameaças de forma rápida e eficaz. Este sistema de aviso antecipado alerta-o para potenciais problemas de dados e segurança antes que estes possam causar danos.
-
Desenvolva um plano de resposta a incidentes
Ter um plano de resposta a incidentes no local antes de ocorrer uma fuga de dados vai prepará-lo para tomar medidas. Vai ajudar a equipa de resposta (por exemplo, o seu diretor de TI, a segurança da informação e o diretor de comunicações) a manter a integridade dos seus sistemas e a fazer com que a sua organização regresse ao trabalho o mais rapidamente possível.
-
Identifique os riscos
Os colaboradores, os fornecedores, os contratantes e os parceiros têm informações sobre os seus dados, sistemas informáticos e práticas de segurança. Para identificar o acesso não autorizado a dados e ajudar a protegê-los contra utilização indevida, compreenda os seus dados e como são utilizados no seu património digital.
-
Melhore a segurança do armazenamento de dados
A segurança do armazenamento de dados utiliza métodos, como o controlo de acesso, a encriptação e a segurança de pontos finais para manter a integridade e a confidencialidade dos seus dados armazenados. Também mitiga os eventos de risco de danos intencionais ou não intencionais e permite a disponibilidade contínua dos seus dados.
-
Forme os seus colaboradores
Quer sejam intencionais ou não, os riscos internos são uma das principais causas das falhas de segurança de dados. Comunique as suas políticas de prevenção de dados de forma clara a todos os níveis para ajudar os colaboradores a estar em conformidade. Repita frequentemente a formação com sessões de atualização e documentação de orientação quando surgirem problemas específicos.
Conformidade e leis de proteção de dados
Todas as organizações têm de estar em conformidade com as normas, as leis e os regulamentos relevantes sobre a proteção de dados. As obrigações legais incluem, entre outras, recolher apenas as informações necessárias dos clientes ou colaboradores, mantê-las seguras e eliminá-las corretamente. Seguem-se exemplos de leis de privacidade.
O RGPD é a lei de privacidade e segurança de dados mais exigente. Foi redigido e transmitido pela UE, mas as organizações em todo o mundo são obrigadas a estar em conformidade se direcionarem ou recolherem dados pessoais de cidadãos ou residentes da UE ou se oferecem produtos e serviços aos mesmos.
A Lei de Privacidade do Consumidor da Califórnia (CCPA) ajuda a proteger os direitos de privacidade dos consumidores da Califórnia, incluindo o direito de ter conhecimento sobre as informações pessoais que uma empresa recolhe e a forma como são utilizadas e partilhadas, o direito de eliminar informações pessoais recolhidas pelas mesmas e o direito de optar ativamente por não participar na venda das suas informações pessoais.
O HIPAA ajuda a proteger as informações de saúde dos pacientes de serem divulgadas sem o consentimento ou conhecimento do paciente. A Diretiva de privacidade HIPAA mantém as suas informações de saúde seguras e foi emitida para implementar os requisitos do HIPAA. A Regra de segurança do HIPAA ajuda a proteger as informações de saúde identificáveis que um prestador de serviços de saúde cria, recebe, mantém ou transmite eletronicamente.
A Lei Gramm-Leach-Bliley (GLBA), também conhecida como a Lei de Modernização de Serviços Financeiros de 1999, requer que as instituições financeiras expliquem as suas práticas de partilha de informações aos clientes e que mantenham os dados confidenciais seguros.
A Comissão Federal do Comércio é o principal corpo de proteção do consumidor nos Estados Unidos da América. A Lei da Comissão Federal do Comércio declara ilegal quaisquer métodos de competição injustos e ações ou práticas injustas ou enganosas que afetem o comércio.
Tendências de proteção de dados
À medida que as estratégias e os processos evoluem, existem algumas tendências de proteção de dados das quais a sua organização deve estar ciente. Incluem a conformidade regulamentar, a gestão de risco e a portabilidade de dados.
-
Mais regulamentos sobre a proteção de dados
O RGPD tornou-se na referência para como outros países recolhem, eliminam e guardam dados pessoais. Desde a sua introdução, a CCPA nos Estados Unidos da América (Califórnia) e a Lei da Proteção de Dados Pessoais Geral no Brasil entraram em ação para se manterem atualizadas com a proliferação do consumismo online e de produtos e serviços personalizados.
-
Proteção de dados em dispositivos móveis
Prevenir que utilizadores não autorizados acedam à sua rede inclui proteger dados armazenados confidenciais de dispositivos portáteis, como portáteis, tablets e smartphones. O software de segurança utiliza a verificação de identidade para ajudar a prevenir que os dispositivos sejam comprometidos.
-
Menor acesso de terceiros
As falhas de segurança de dados frequentemente podem ser rastreadas até terceiros (como fornecedores, parceiros e fornecedores de serviços) que têm demasiado acesso à rede e aos dados de uma organização. A gestão de risco de terceiros está à procura de um lugar nos regulamentos de conformidade para limitar a forma como terceiros acedem e utilizam os dados.
-
Gestão da cópia de dados
A gestão da cópia de dados deteta dados duplicados, compara dados similares e permite que a sua organização elimine as cópias não utilizadas dos seus dados. Esta solução minimiza as inconsistências provocadas pelos dados duplicados, reduz os custos de armazenamento e ajuda a manter a segurança e a conformidade.
-
Portabilidade de dados
Nos primeiros tempos de informática em nuvem, a portabilidade de dados e a migração de conjuntos de dados de grandes dimensões para outros ambientes era difícil. Hoje, a tecnologia em nuvem faz com que os dados sejam mais portáteis, o que permite que as organizações se movam entre ambientes, por exemplo, de datacenters no local para clouds públicas ou entre fornecedores de serviços em nuvem.
-
Recuperação após desastre como serviço
A recuperação após desastre como serviço ajuda as organizações de qualquer dimensão a utilizar serviços cloud económicos para replicar os respetivos sistemas e operações de restauro depois de um evento catastrófico. Oferece a flexibilidade e a escalabilidade de tecnologias baseadas na nuvem e é vista como uma solução eficaz para evitar falhas do serviço.
Deteção e classificação de dados
A deteção de dados e a classificação de dados são processos separados que trabalham em conjunto para fornecer visibilidade aos dados da sua organização. Uma ferramenta de deteção de dados rastreia o seu património digital completo para descobrir onde residem dados estruturados e não estruturados, que são críticos para a sua estratégia de proteção de dados. A classificação de dados organiza dados através de processos de deteção de dados com base no tipo de ficheiro, no conteúdo e em outros metadados, ajuda a eliminar dados duplicados e faz com que seja fácil a localização e obtenção de dados.
Dados desprotegidos são dados vulneráveis. Compreender os seus dados e ter conhecimento de onde se encontram ajuda a protegê-los enquanto cumpre os requisitos da conformidade regulamentar relacionados com os processos e os controlos dos dados.
Soluções de proteção de dados
As soluções de proteção de dados ajudam na proteção contra perda de dados e incluem a segurança, a cópia de segurança de dados e a recuperação, que suportam diretamente o plano de recuperação após desastre da sua organização.
Simplifique a forma como a sua organização compreende os respetivos dados confidenciais. Obtenha visibilidade em todos os seus dados, obtenha mais proteção avançada nas aplicações, nuvens e dispositivos e faça a gestão de requisitos de regulamentação com as soluções do Microsoft Security.
Saiba mais sobre o Microsoft Security
Microsoft Purview
Explore soluções de governação, proteção e conformidade para os dados da sua organização.
Ajude a evitar perdas de dados
Identifique a partilha, a transferência ou a utilização indevida de dados confidenciais em pontos finais, aplicações e serviços.
Proteção de informações
Ajude a proteger e a gerir os seus dados através de soluções incorporadas, inteligentes, unificadas e expansíveis.
Conformidade de comunicações
Utilize aprendizagem automática para detetar infrações de comunicações.
Perguntas mais frequentes
-
Exemplos de proteção de dados incluem a proteção contra danos maliciosos ou acidentais, ter uma estratégia de recuperação após desastre e limitar o acesso para apenas aqueles que necessitam dos dados.
-
O objetivo da proteção de dados é salvaguardar os dados da sua organização contra o comprometimento, danos e perda.
-
O RGPD declara que os indivíduos têm direitos e liberdades fundamentais no que diz respeito à proteção dos seus dados pessoais. Todas as organizações que recolhem dados pessoais têm de obter o consentimento explícito dos indivíduos e é requerido que sejam transparentes sobre como estes dados serão utilizados.
-
As ferramentas de proteção de dados incluem a deteção e inventário de dados, a encriptação, o apagamento de dados, a gestão de acesso e a segurança de pontos finais.
-
Para ajudar a proteger os dados, as empresas podem começar por estabelecer uma política de segurança que defina coisas, como a utilização aprovada e relatórios de incidentes. Fazer cópias de segurança de dados críticos, manter o software atualizado e formar os colaboradores sobre a proteção de dados são outras ações importantes a tomar.
Siga o Microsoft 365