O que são Dados Sensíveis e como protegê-los

O que são Dados Sensíveis e como protegê-los

Dados sensíveis são informações confidenciais que devem ser mantidas seguras e fora do alcance de usuários externos, a menos que tenham permissão para acessá-los.

O acesso a dados sensíveis deve ser limitado por meio de boas práticas de segurança de dados e segurança da informação projetadas para evitar vazamentos e violações de dados.

O aumento do escrutínio regulatório sobre a proteção de dados sensíveis culminou em uma necessidade desesperada de gerenciamento de dados aprimorado, gerenciamento de riscos de terceiros e segurança cibernética aprimorada. Abandonar esses requisitos agora essenciais pode custar à sua empresa até R$ 50 milhões.

Exemplos de dados sensíveis

As informações sensíveis incluem todos os dados, originais ou copiados, que contenham:

Dados pessoais sensíveis

Conforme definido pela Lei Geral de Proteção de Dados, uma série de leis amplas para prevenir ou desencorajar o roubo de identidade e para guardar e proteger a privacidade individual.

Informações de saúde protegidas

Representa qualquer informação sobre o estado de saúde, prestação de cuidados de saúde ou pagamento por cuidados de saúde que seja criada ou coletada por uma Entidade Médica (ou uma empresa terceirizada) que possa ser vinculada a um indivíduo específico.

Registros de Educação

Acesso a informações e registros educacionais por empregadores em potencial, instituições educacionais com financiamento público e governos estrangeiros.

Informação ao Cliente

Exige que as instituições financeiras expliquem como compartilham e protegem as informações privadas de seus clientes.

Dados do titular do cartão

Conforme definido pela LGPD, é necessário um padrão de segurança da informação que informa à organização como lidar com cartões de crédito.

Informações sensíveis de funcionários

Conforme definido pela LGPD e de amplo interesse do RH.

Informação confidencial

Inclui segredos comerciais e dados relacionados semelhantes.

Dados pessoais

Em geral, dados sensíveis são quaisquer dados que revelem:

  • Origem racial ou étnica
  • Opinião política
  • Crenças religiosas ou filosóficas
  • Filiação a sindicatos
  • Dados genéticos
  • Dados biométricos
  • Dados de saúde
  • Vida sexual ou orientação sexual
  • Informações financeiras (números de contas bancárias e números de cartão de crédito)
  • Informação sigilosa

O que são Dados Pessoais?

Dados pessoais (ou informações pessoais) são informações que podem identificar um indivíduo.

A LGPD define dados pessoais como qualquer coisa que identifique diretamente um indivíduo, como nome, sobrenome, número de telefone, número do seguro social, número da carteira de motorista ou qualquer outra informação de identificação pessoal.

Contra dados pseudônimos ou informações de identificação não direta que não permitem a identificação direta, mas permitem destacar o comportamento individual (como servir um direcionado a um usuário no momento certo).

A LGPD foi criada para estabelecer uma distinção clara entre informações de identificação direta e dados pseudônimos.

A LGPD incentiva o uso de informações pseudônimas em vez de informações de identificação direta, pois reduz o risco de violações de dados terem efeitos adversos sobre os indivíduos.

Como medir a sensibilidade dos dados

Para determinar o quão sensível é a especificidade e como ela deve ser classificada, pense na confidencialidade, integridade e disponibilidade (tríade CID) dessas informações e como elas afetariam sua organização ou seus clientes se fossem expostas.

Essa é uma maneira comum de medir a sensibilidade dos dados.

O que é Confidencialidade?

A confidencialidade é aproximadamente equivalente à privacidade.

As contramedidas que impedem o acesso não autorizado a informações sensíveis, ao mesmo tempo em que garantem que as pessoas certas ainda possam acessá-las, preocupam-se com a confidencialidade.

Essas contramedidas variam desde um simples treinamento de conscientização até a compreensão dos riscos de segurança associados ao manuseio das informações e como se proteger contra eles, até sistemas de segurança cibernética sofisticados.

Exemplos de contramedidas de confidencialidade:

  • Criptografia de dados
  • Senhas
  • Autenticação de dois fatores
  • Verificação biométrica
  • Tokens de segurança
  • Limitando onde as informações aparecem
  • Limitar o número de vezes que as informações podem ser transmitidas
  • Armazenando em computação em nuvem
  • Armazenando em dispositivos de armazenamento desconectados
  • Armazenar apenas em cópia impressa

O que é Integridade?

Integridade é manter a consistência, precisão e confiabilidade dos dados ao longo de seu ciclo de vida.

Dados sensíveis, ou informações sensíveis, não devem ser alterados em trânsito e não devem poder ser alterados por pessoas não autorizadas (por exemplo, quando ocorre uma violação de dados).

Exemplos de contramedidas de integridade:

  • Permissões de arquivo
  • Controles de acesso do usuário
  • Registros de auditoria
  • Controle de versão
  • Somas de verificação criptográficas
  • Backups
  • Redundâncias

O que é Disponibilidade?

A disponibilidade está preocupada em garantir que todos os sistemas de informação e dados sensíveis estejam disponíveis quando necessário.

Exemplos de contramedidas de disponibilidade:

  • Manutenção de hardware e reparos imediatos
  • Corrigindo o software o mais rápido possível
  • Fornecendo largura de banda de comunicação adequada
  • Recuperação de desastres rápida e adaptável com um plano abrangente de recuperação de desastres
  • Protege contra perda ou interrupção de dados durante desastres naturais e incêndio
  • Equipamentos e softwares de segurança extras, como firewalls e servidores adicionais, que protegem contra o tempo de inatividade e evitam ataques de negação de serviço (DoS)

Qual é o impacto da divulgação não autorizada de dados sensíveis?

A privacidade dos dados está se tornando cada vez mais importante. Em mais de 80 países, as informações de identificação pessoal (PII) são protegidas por leis de privacidade de informações que definem os limites para a coleta e uso de PII por organizações públicas e privadas.

Essas leis exigem que as organizações notifiquem claramente os indivíduos sobre quais dados estão sendo coletados, o motivo da coleta e o uso planejado dos dados. Em estruturas legais baseadas em consentimento, como a LGPD, é necessário o consentimento explícito do indivíduo.

Como proteger dados sensíveis

A primeira etapa na proteção de dados sensíveis é a classificação de dados.

Dependendo da sensibilidade dos dados, há diferentes níveis de proteção necessários. A principal coisa a entender é que nem todos os dados são iguais e é melhor concentrar seus esforços na proteção de dados sensíveis, conforme definido acima.

Exemplos de informações não sensíveis:

  • Informação pública: Informação que já é uma questão de registro ou conhecimento público
  • Informações comerciais de rotina: informações comerciais que são compartilhadas rotineiramente com qualquer pessoa de dentro ou de fora da sua organização

A segurança da informação eficaz começa com a avaliação de quais informações você possui e a identificação de quem tem acesso. Compreender como os dados sensíveis entram e saem de sua empresa é essencial para avaliar possíveis vulnerabilidades e riscos de segurança cibernética.

Isso significa fazer um inventário de todos os lugares em que sua organização usa dados sensíveis e onde você entrega dados sensíveis a fornecedores terceirizados.

Isso permitirá que você entenda como as informações fluem em sua organização e fornecerá uma visão completa de quem envia informações pessoais em sua organização, quem recebe dados sensíveis, quais informações são coletadas, quem mantém as informações coletadas e quem tem acesso às informações.

Ebook gratuito: Mapeamento de Dados Sensíveis

Para saber como fazer o mapeamento de dados sensíveis, clique na imagem abaixo e faça o download gratuito de nosso ebook.

Team VIVA

Especialistas em Cibersegurança e Privacidade de Dados, Pentest, SOC, Firewall, Segurança de API e LGPD.

Leave a Comment
Share
Published by
Team VIVA
Tags: dados sensíveisLGPDsecuriti
2 anos ago

Recent Posts

Três etapas importantes para o seu processo de correção de vulnerabilidades

Descubra as 3 etapas essenciais para corrigir vulnerabilidades e proteger seus sistemas com eficiência e…

4 dias ago

Como se recuperar de um ataque de ransomware e proteger sua empresa no futuro

Descubra como se recuperar de um ataque de ransomware, com dicas práticas de cibersegurança e…

2 semanas ago

Trojan: O que é, tipos, danos e solução

Trojan é um dos malwares mais aplicados por hackers na internet, por isso é fundamental…

2 semanas ago

A ascensão do Gerenciamento de Vulnerabilidades

Aprenda como o gerenciamento de vulnerabilidades e a Vicarius podem ajudar sua empresa a se…

3 semanas ago

Segurança ofensiva: mudando de pentests anuais para validação de controle contínuo

Descubra como a segurança ofensiva evolui do pentest anual para validação contínua, garantindo proteção ativa…

3 semanas ago

Como substituir o Kaspersky: melhor opção para proteção de endpoints

Proteja-se com as melhores alternativas ao Kaspersky. Descubra opções confiáveis de segurança de endpoint e…

3 semanas ago