O que é a segurança de dados?
A segurança de dados implica saber que dados tem e a respetiva localização, bem como identificar os riscos associados aos seus dados. Saiba como proteger os seus dados.
Definição da segurança de dados
A segurança de dados ajuda a proteger os dados confidenciais ao longo do respetivo ciclo de vida, a compreender o contexto da atividade e dos dados do utilizador e a impedir a utilização não autorizada ou a perda de dados.
Não podemos menosprezar a importância da segurança de dados na atual conjuntura marcada pelo aumento das ameaças à cibersegurança e dos riscos internos. A segurança de dados permite-lhe conhecer os tipos de dados que detém, impedir a utilização não autorizada de dados, e identificar e atenuar os riscos relacionados com os dados. Juntamente com a segurança de dados, a gestão da segurança de dados aconselha a sua organização a planear, organizar e controlar as atividades de segurança de dados através de políticas e procedimentos rigorosos.
Tipo de segurança de dados
Para que a segurança de dados seja eficaz, é necessário ter em conta a confidencialidade dos conjuntos de dados e os requisitos de conformidade regulamentar da sua organização. Seguem-se os tipos de segurança de dados que ajudam a proteger contra uma falha de segurança de dados, cumprem os requisitos regulamentares e evitam danos à sua reputação:
- Controlo de acesso que rege o acesso a dados no local e baseados na nuvem.
- Autenticação dos utilizadores com palavras-passe, cartões de acesso ou dados biométricos.
- Cópias de segurança e recuperação para permitir o acesso aos dados após uma falha no sistema, danos em dados ou desastre.
- Resiliência dos dados como uma abordagem proativa à recuperação após desastre e à continuidade de negócio.
- Apagamento de dados para eliminar corretamente os dados e torná-los irrecuperáveis.
- Software de mascaramento de dados que utiliza carateres proxy para ocultar letras e números de utilizadores não autorizados.
- Soluções de prevenção de perda de dados que protegem contra a utilização não autorizada de dados confidenciais.
- Encriptação para tornar os ficheiros ilegíveis para utilizadores não autorizados.
- Proteção de informações para ajudar a classificar dados confidenciais encontrados em ficheiros e documentos.
- Gestão de riscos internos para mitigar as atividades de utilizadores de risco.
Tipos de dados que têm de ser protegidos
Todas as pessoas que tenham sido vítimas do roubo de um cartão de crédito ou da identidade ganham um maior apreço pela proteção eficaz dos dados. Os hackers maliciosos estão constantemente a arranjar formas de roubar informações pessoais e pedir um resgate, vendê-las ou continuar a enganar pessoas. Além disso, os atuais e antigos colaboradores são frequentemente a causa da perda de dados, o que torna a gestão de riscos internos uma prioridade para as organizações.
Cada indústria tem os seus próprios requisitos em termos do que é necessário proteger e de como o fazer, mas os tipos de dados mais comuns que precisam de ser protegidos incluem:
- Informações pessoais sobre os seus colaboradores e clientes.
- Dados financeiros, como números de cartões de crédito, informações bancárias e extratos financeiros da empresa.
- Informações de saúde, como serviços recebidos, diagnósticos e resultados de testes.
- Propriedade intelectual, como segredos comerciais e patentes.
- Dados de operações comerciais, como informações sobre a cadeia de fornecimento e processos de produção.
Ameaças à segurança de dados
Tanto no trabalho como em casa, a Internet dá-lhe acesso a contas, métodos de comunicação e formas de partilhar e utilizar informações. Há vários tipos de ciberataques e riscos internos que colocam em risco as informações que partilha.
-
Acesso de modo ilícito
O acesso de modo ilícito consiste em qualquer tentativa, através de um computador, de roubar dados, corromper redes ou ficheiros, invadir o ambiente digital de uma organização ou comprometer os respetivos dados e atividades. Os métodos de acesso de modo ilícito incluem phishing, malware, decifrar código e ataques Denial-of-Service distribuídos.
-
Malware
Malware é um termo para worms, vírus e spyware que permite que utilizadores não autorizados acedam ao seu ambiente. Uma vez no sistema, estes utilizadores podem danificar a sua rede de TI e dispositivos de ponto final ou roubar credenciais que possam ter sido deixadas em ficheiros.
-
Ransomware
O ransomware é um malware que impede o acesso à sua rede e aos ficheiros até que pague um resgate. Uma das formas de transferir ransomware para o seu computador é abrir um anexo de e-mail ou clicar num anúncio. Geralmente, o ransomware é detetado quando não consegue aceder a ficheiros ou quando vê uma mensagem que exige um pagamento.
-
Phishing
Phishing é o ato de induzir indivíduos ou organizações a fornecer informações como números de cartão de crédito e palavras-passe. O objetivo é roubar ou danificar dados confidenciais ao fazer-se passar por uma empresa respeitável com a qual a vítima está familiarizada.
-
Fuga de dados
A fuga de dados é a transferência intencional ou acidental de dados do interior de uma organização para um destinatário externo. Esta transferência pode ser feita por e-mail, pela Internet e por dispositivos como portáteis e dispositivos de armazenamento portáteis. Os ficheiros e documentos retirados das instalações também constituem um tipo de fuga de dados.
-
Negligência
A negligência ocorre quando um colaborador infringe intencionalmente uma política de segurança, mas não está a tentar lesar a empresa. Por exemplo, é possível que o colaborador partilhe dados confidenciais com um colega de trabalho que não tenha acesso ou que inicie sessão nos recursos da empresa através de uma ligação sem fios não segura. Um outro exemplo é permitir que alguém entre num edifício sem mostrar um distintivo.
-
Fraude
A fraude é cometida por utilizadores sofisticados que querem tirar partido do anonimato online e da acessibilidade em tempo real. É possível que estes utilizadores criem transações com contas comprometidas e números de cartões de crédito roubados. As organizações podem ser vítimas de fraude de garantia, fraude de reembolso ou fraude de revendedor.
-
Roubo
O roubo é uma ameaça interna resultante do roubo de dados, dinheiro ou propriedade intelectual. O objetivo é obter ganhos pessoais e lesar a organização. Por exemplo, um fornecedor fidedigno pode vender números de segurança social de clientes na dark web ou utilizar informações privilegiadas sobre clientes para iniciar o próprio negócio.
-
Desastres naturais
Os desastres naturais nem sempre anunciam o seu aparecimento, pelo que é aconselhável preparar-se de antemão para ajudar a proteger os seus dados, pelo sim pelo não. Sejam furacões, terramotos, inundações ou outra forma de devastação, a existência de cópias de segurança externas dos seus dados irá permitir-lhe implementar o seu plano de continuidade do negócio.
Tecnologias de segurança de dados
As tecnologias de segurança de dados são componentes essenciais para uma estratégia de segurança de dados mais completa. Existem várias soluções de prevenção de perda de dados disponíveis para ajudar a detetar a atividade interna e externa, a sinalizar comportamentos de partilha de dados suspeitos ou de risco e a controlar o acesso a dados confidenciais. Implemente tecnologias de segurança de dados idênticas a estas para ajudar a evitar a exfiltração de dados confidenciais.
Encriptação de dados. Utilize encriptação (converter dados em código) em dados inativos ou em circulação para prevenir que utilizadores não autorizados vejam o conteúdo dos ficheiros mesmo que obtenham acesso à sua localização.
Autenticação e autorização de utilizador. Verifique as credenciais de utilizador e confirme se o acesso a privilégios é atribuído e aplicado corretamente. O controlo de acesso baseado em funções ajuda a sua organização a conceder acesso apenas às pessoas que precisam.
Deteção de riscos internos. Identifique atividades que possam indicar riscos ou ameaças internas. Compreenda o contexto da utilização de dados e saiba quando determinadas transferências, e-mails fora da sua organização e ficheiros cujos nomes foram mudados sugerem um comportamento suspeito.
Políticas de prevenção de perda de dados. Crie e aplique políticas que definam como os dados são geridos e partilhados. Especifique utilizadores, aplicações e ambientes autorizados relativamente a várias atividades para ajudar a evitar a fuga ou o roubo de dados.
Cópia de segurança de dados. Faça uma cópia de segurança exata dos dados da sua organização para que os administradores autorizados possam recuperá-los em caso de falha de armazenamento, falha de segurança de dados ou desastre de qualquer tipo.
Alertas em tempo real. Automatize as notificações de potenciais utilizações indevidas de dados e receba alertas sobre possíveis problemas de segurança antes que estes prejudiquem os seus dados, a sua reputação ou a privacidade dos colaboradores e clientes.
Avaliação de riscos. Compreenda que os colaboradores, os fornecedores, os contratantes e os parceiros têm informações sobre os seus dados e práticas de segurança. Para ajudar a evitar a utilização indevida de dados, saiba que dados detém e como são utilizados na sua organização.
Auditoria de dados. Aborde as preocupações mais importantes, como a proteção, a precisão e a acessibilidade dos dados com auditorias de dados programadas regularmente. Estas permitem-lhe saber quem está a utilizar os seus dados e como são utilizados.
Estratégias de gestão de segurança de dados
As estratégias de gestão da segurança de dados incluem as políticas, os procedimentos e a gestão que ajudam a manter os seus dados mais seguros e protegidos.
-
Implemente as melhores práticas de gestão de palavras-passe
Implemente uma solução de gestão de palavras-passe fácil de utilizar. Esta irá eliminar a necessidade de notas autocolantes e folhas de cálculo, bem como a necessidade de os colaboradores terem de memorizar palavras-passe exclusivas.
Utilize frases de acesso em vez de palavras-passe. É mais fácil para o colaborador memorizar uma frase de acesso, além de ser mais difícil para um cibercriminoso adivinhar.
Ative a autenticação de dois fatores (2FA). Com a 2FA, mesmo que uma frase de acesso ou palavra-passe tenha sido comprometida, mantém-se a segurança do início de sessão, uma vez que o utilizador não autorizado não poderia obter acesso sem o código adicional enviado para o segundo dispositivo.
Altere as suas palavras-passe após uma falha de segurança. Acredita-se que alterá-las com mais frequência resulta em palavras-passe mais fracas com o passar do tempo.
Evite reutilizar frases de acesso ou palavras-passe. Uma vez comprometidas, são frequentemente utilizadas para aceder a outras contas. -
Crie um plano de defesa
Proteja os dados confidenciais. Detete e classifique os dados em escala para determinar o volume, o tipo e a localização das informações onde quer que estejam ao longo do respetivo ciclo de vida.
Faça a gestão de riscos internos. Compreenda a atividade do utilizador e a utilização pretendida dos dados para identificar atividades potencialmente arriscadas que possam resultar em incidentes de segurança de dados.
Defina políticas e controlos de acesso adequados. Ajude a impedir ações como guardar, armazenar ou imprimir indevidamente dados confidenciais.
-
Utilize a encriptação para proteger os dados
A encriptação de dados impede que utilizadores não autorizados leiam dados confidenciais. Mesmo que tenham acesso ao seu ambiente de dados ou vejam os dados enquanto estão em circulação, os dados são inutilizáveis porque não podem ser lidos ou compreendidos facilmente.
-
Instale atualizações de software e segurança
As atualizações de software e segurança corrigem vulnerabilidades conhecidas que os cibercriminosos costumam explorar para roubar informações confidenciais. Acompanhar as atualizações periódicas ajuda a resolver estes problemas e a impedir o comprometimento dos seus sistemas.
-
Dê formação aos colaboradores sobre segurança de dados
A proteção dos dados da sua organização não se restringe ao seu departamento de TI. Também é necessário dar formação aos seus colaboradores para que estejam cientes da exposição, roubo e danos de dados. As melhores práticas de segurança de dados aplicam-se aos dados que estão online e impressos em papel. Os cursos de formação devem ser realizados com regularidade, seja trimestral, semestral ou anualmente.
-
Implemente protocolos de segurança relativos ao teletrabalho
Para implementar protocolos de segurança para a sua equipa de trabalhadores à distância, comece por definir as suas políticas e procedimentos. Geralmente, isto implica uma formação de segurança obrigatória e a especificação das aplicações de software que podem ser utilizadas e da forma de as utilizar. Os protocolos também devem incluir um processo para proteger todos os dispositivos utilizados pelos seus colaboradores.
Regulamentos e conformidade
As organizações têm de estar em conformidade com as normas, as leis e os regulamentos relevantes sobre a proteção de dados. Incluem, entre outras, recolher apenas as informações necessárias dos clientes ou colaboradores, trabalhar para as manter seguras e eliminá-las corretamente. São exemplos de leis de privacidade o Regulamento Geral Sobre a Proteção de Dados (RGPD), a Health Insurance Portability and Accountability Act (HIPAA) e a Lei de Privacidade do Consumidor da Califórnia (CCPA).
O RGPD é a lei de privacidade e segurança de dados mais exigente. Foi redigido e transmitido pela União Europeia (UE), mas as organizações em todo o mundo são obrigadas a estar em conformidade se direcionarem ou recolherem dados pessoais de cidadãos ou residentes da UE ou se oferecem produtos e serviços aos mesmos.
O HIPAA ajuda a proteger as informações de saúde dos pacientes contra a divulgação sem o consentimento ou conhecimento do paciente. A Diretiva de privacidade HIPAA mantém as suas informações de saúde seguras e foi emitida para implementar os requisitos do HIPAA. A Regra de Segurança do HIPAA ajuda a proteger as informações de saúde identificáveis que um prestador de serviços de saúde cria, recebe, mantém ou transmite eletronicamente.
A Lei de Privacidade do Consumidor da Califórnia (CCPA) ajuda a proteger os direitos de privacidade dos consumidores da Califórnia, incluindo o direito de ter conhecimento sobre as informações pessoais recolhidas e a forma como são utilizadas e partilhadas, o direito de eliminar informações pessoais recolhidas pelas mesmas e o direito de optar ativamente por não participar na venda das suas informações pessoais.
O responsável pela proteção de dados (DPO) é um cargo de liderança que monitoriza a conformidade e ajuda a garantir que a sua organização processa dados pessoais em conformidade com as leis de proteção de dados. Por exemplo, o DPO informa e aconselha as equipas de conformidade sobre como estar em conformidade, dá formação na organização e comunica o incumprimento das regras e dos regulamentos.
O incumprimento pode resultar numa falha de segurança de dados, que muitas vezes custa milhões de dólares às organizações. As consequências incluem roubo de identidade, perda de produtividade e abandono de clientes.
Conclusão
A segurança de dados e a gestão da segurança de dados permitem-lhe identificar e avaliar as ameaças que afetam os seus dados, respeitar os requisitos regulamentares e manter a integridade dos seus dados.
Procure fazer cópias de segurança dos seus dados com frequência, armazene uma cópia da mesma num local externo, defina as suas estratégias de gestão da segurança de dados e utilize palavras-passe ou frases de acesso seguras e a 2FA.
Os pilares para desenvolver uma defesa sólida na sua organização são tomar medidas para proteger os dados durante o respetivo ciclo de vida, compreender como os dados são utilizados, impedir fugas de segurança de dados e criar políticas de prevenção de perda de dados.
Saiba como proteger os seus dados em nuvens, aplicações e pontos finais com procedimentos e ferramentas de segurança de dados.
Saiba mais sobre o Microsoft Security
Microsoft Purview
Explore soluções de governação, proteção e conformidade para os dados da sua organização.
Ajude a evitar perdas de dados
Identifique a partilha ou utilização indevida de dados confidenciais em pontos finais, aplicações e serviços.
Faça a gestão de riscos internos
Saiba como identificar potenciais riscos nas atividades dos seus colaboradores e fornecedores.
Proteção de informações
Detete, classifique e proteja os seus dados mais confidenciais no seu património digital.
Perguntas mais frequentes
-
A segurança de dados ajuda a proteger os dados confidenciais ao longo do respetivo ciclo de vida, a compreender o contexto da atividade e dos dados do utilizador e a impedir a utilização não autorizada de dados. Isto implica saber que dados tem e a respetiva localização, bem como identificar as ameaças a esses dados.
-
Seguem-se alguns tipos de segurança de dados:
- Controlos de acesso que exigem credenciais de início de sessão de dados no local e baseados na nuvem.
- Autenticação dos utilizadores através de palavras-passe, cartões de acesso ou dados biométricos.
- Cópias de segurança e recuperação para permitir o acesso aos dados após uma falha no sistema, danos em dados ou desastre.
- Resiliência dos dados como uma abordagem proativa à recuperação após desastre e à continuidade de negócio.
- Apagamento de dados, que permite a eliminação correta dos dados e torna-os irrecuperáveis.
- Software de mascaramento de dados que utiliza carateres proxy para ocultar letras e números de utilizadores não autorizados.
- Soluções de prevenção de perda de dados que protegem contra a utilização não autorizada de dados confidenciais.
- Encriptação para tornar os ficheiros ilegíveis para utilizadores não autorizados.
- Proteção de informações para ajudar a classificar dados confidenciais encontrados em ficheiros e documentos.
- Gestão de riscos internos para mitigar as atividades de utilizadores de risco.
-
Um exemplo de segurança de dados é a utilização de tecnologia que permite ver a localização de dados confidenciais na sua organização e saber como estes são acedidos e utilizados.
-
A segurança de dados é importante na medida em que ajuda a sua organização a proteger-se contra ciberataques, ameaças internas e erros humanos, que podem resultar em falhas de segurança de dados.
-
As quatro questões fundamentais da segurança de dados são a confidencialidade, integridade, disponibilidade e conformidade.
Siga o Microsoft 365