Trace Id is missing
Pular para o conteúdo principal
Segurança da Microsoft

O que é a segurança de dados?

A segurança de dados envolve saber quais dados você tem e onde estão localizados e também a identificar os riscos em torno deles. Saiba como proteger seus dados.

Segurança de dados definida

A segurança de dados ajuda você a proteger dados confidenciais por todo o seu ciclo de vida, a entender o contexto dos dados e das atividades do usuário e a evitar o uso não autorizado de dados.

Não é possível subestimar a importância da segurança de dados nesta era de crescentes ameaças de segurança cibernética e riscos internos. É necessário ter visibilidade dos tipos de dados que você tem, impedir o uso não autorizado dos dados e identificar e mitigar os riscos em torno dos dados. Em conjunto com a segurança de dados, o gerenciamento da segurança de dados orienta sua organização a planejar, organizar e controlar as atividades de segurança de dados usando políticas e procedimentos bem escritos.

Tipos de segurança de dados

Para que a segurança de dados seja efetiva, ela deve levar em consideração a confidencialidade dos conjuntos de dados e os requisitos de conformidade regulamentar de sua organização. Os tipos de segurança de dados que ajudam a proteger contra violação de dados, a atender os requisitos regulamentares e a evitar danos à reputação incluem:

  • Controle de acesso que governa o acesso a dados locais e baseados em nuvem.
  • A autenticação de usuários por meio de senhas, cartões de acesso ou biometria.
  • Backups e recuperação para habilitar o acesso aos dados após uma falha do sistema, dados corrompidos ou um desastre.
  • A resiliência de dados como uma abordagem proativa à recuperação de desastre e à continuidade dos negócios.
  • A exclusão de dados para apropriadamente descartar os dados e torná-los irrecuperáveis.
  • O software de mascaramento de dados que usa caracteres proxy para ocultar letras e números de usuários não autorizados.
  • As soluções de prevenção contra perda de dados para proteger contra o uso não autorizado de dados confidenciais.
  • A criptografia que torna os dados ilegíveis para usuários não autorizados.
  • Proteção de informações para ajudar a classificar dados confidenciais encontrados em arquivos e documentação.
  • Gerenciamento de risco interno para mitigar atividades de usuários suspeitos.

Tipos de dados que precisam de proteção

Qualquer pessoa que tenha um cartão de crédito comprometido ou sua identidade roubada passa a ter uma apreciação profunda por proteção de dados eficaz. Hackers mal-intencionados inventam sem parar maneiras para roubar informações pessoais para pedir resgate, vendê-las ou cometer mais fraudes. E funcionários atuais e antigos costumam ser uma causa da perda de dados, o que torna o gerenciamento de riscos interno uma necessidade para as organizações.

Cada setor tem seus próprios requisitos sobre o que proteger e como protegê-lo, mas os tipos comuns de dados que precisam de proteção incluem:

  • Informações pessoais sobre funcionários e clientes.
  • Dados financeiros, tais como números de cartões de crédito, informações bancárias e demonstrativos financeiros corporativos.
  • Informações de saúde, como serviços recebidos, diagnósticos e resultados de testes.
  • Propriedade intelectual, tais como segredos comerciais e patentes.
  • Dados de operações de negócios, como informações sobre cadeia de fornecedores e processos de produção.

Ameaças à segurança de dados

Em casa e no trabalho, a Internet proporciona acesso a contas, métodos de comunicação e formas de usar e compartilhas as informações. Vários tipos de ataques cibernéticos e riscos internos podem colocar as informações que você compartilha em risco.

  • Invasão

    Invasão se refere a qualquer tentativa feita por meio do computador para roubar dados, corromper redes ou arquivos, invadir o ambiente digital de uma organização ou interromper seus dados e atividades. Os métodos de invasão incluem phishing, malware, quebras de código e ataques de negação de serviço distribuídos.

  • Malware

    Malware é um termo para worms, vírus e spyware que permitem que usuários não autorizados acessem seu ambiente. Depois de entrar, esses usuários têm o potencial de interromper sua rede de TI e dispositivos de ponto de extremidade ou podem roubar credenciais que possam estar em arquivos.

  • Ransomware

    Ransomware é o malware que impede o acesso à sua rede e arquivos até que você pague um resgate. Abrir um anexo de email e clicar em um anúncio são algumas maneiras que permitem baixar o ransomware para o seu computador. Geralmente, ele é descoberto quando você não consegue acessar arquivos ou vê uma mensagem exigindo um pagamento.

  • Phishing

    Phishing é o ato de enganar pessoas ou organizações a fim de obter informações como números e senhas de cartões de crédito. A intenção é roubar ou danificar dados confidenciais fingindo ser uma empresa respeitável com a qual a vítima está familiarizada.

  • Vazamento de dados

    O vazamento de dados é a transferência de dados intencional ou acidental de uma organização para um destinatário externo. Pode ser feito por email, internet e dispositivos como laptops e dispositivos de armazenamento portáteis. Os arquivos e documentos retirados das instalações também são uma forma de vazamento de dados. 

  • Negligência

    A negligência ocorre quando um funcionário conscientemente viola uma política de segurança, mas não está tentando causar danos à empresa. Por exemplo, eles podem compartilhar dados confidenciais com um colega de trabalho que não tem acesso ou acessar os recursos da empresa em uma conexão sem fio desprotegida. Outro exemplo é permitir que alguém entre em um edifício sem mostrar um crachá.

  • Fraude

    A fraude é cometida por usuários sofisticados que querem aproveitar a anonimidade online e a acessibilidade em tempo real. Eles podem criar transações usando contas comprometidas e números de cartões de crédito roubados. As organizações podem se tornar vítimas de fraudes de garantia, de reembolso ou de revendedor.

  • Roubo

    O roubo é considerado como uma ameaça interna que resulta no roubo de dados, dinheiro ou propriedade intelectual. É executado para ganho pessoal e para causar prejuízo à organização. Por exemplo, um fornecedor confiável pode vender números da previdência social de clientes na dark web ou usar informações privilegiadas sobre clientes para iniciar seu próprio negócio.

Tecnologias de segurança de dados

As tecnologias de segurança de dados são componentes-chave para uma estratégia de segurança de dados mais completa. As diversas soluções de prevenção contra perda de dados estão disponíveis para ajudar a monitorar atividades internas e externas, sinalizar comportamentos de compartilhamento de dados suspeitos ou arriscados e controlar o acesso a dados confidenciais. Implemente tecnologias de segurança de dados como essas para ajudar a impedir que dados confidenciais sejam exfiltrados.

Criptografia de dados. Use a criptografia, ou seja, a conversão de dados em código, em dados que estão inativos ou em movimento para impedir que usuários não autorizados exibam o conteúdo do arquivo, mesmo que obtenham acesso à sua localização.

Autenticação e autorização de usuários. Verificam as credenciais do usuário e confirmam se os privilégios de acesso foram atribuídos e aplicados corretamente. O controle de acesso baseado em função ajuda sua organização a conceder acesso somente àqueles que necessitam.

Detecção de risco interno. Identifica as atividades que possam indicar ameaças ou riscos internos. Entenda o contexto do uso dos dados e saiba quando determinados downloads, emails externos à sua organização e arquivos renomeados indicam comportamento suspeito.

Políticas de prevenção contra perda de dados. Crie e imponha políticas que definem como os dedos serão gerenciados e compartilhados. Especifique usuários autorizados, aplicativos e ambientes para diversas atividades a fim de ajudar a evitar o vazamento ou roubo de dados.

Backup de dados. Um backup é uma cópia exata dos dados da sua organização, assim os administradores autorizados têm uma forma de restaurá-los no caso de uma falha de armazenamento, violação de dados ou qualquer tipo de desastre.

Alertas em tempo real. Automatize as notificações sobre o potencial uso indevido dedados e receba alertas sobre possíveis problemas de segurança antes que eles causem danos aos seus dados, reputação ou à privacidade de clientes e funcionários.

Avaliação de risco. Entenda que os funcionários, os fornecedores, os contratados e os parceiros têm informações sobre os dados e as práticas de segurança. Para ajudar a evitar o uso indevido, saiba quais dados você tem e como são usados por toda a sua organização.

Auditoria de dados. Aborde as principais preocupações, tais como proteção de dados, precisão e acessibilidade, com auditorias de dados agendadas regularmente. Dessa forma é possível saber quem está usando os dados e como eles são usados.

Estratégias de gerenciamento da segurança de dados

As estratégias de gerenciamento de segurança de dados incluem políticas, procedimentos e governança que ajudam a manter seus dados mais seguros e protegidos.

  • Implementar as melhores práticas de gerenciamento de senhas

    Implemente uma solução de gerenciamento de senhas fácil de usar. Ela eliminará a necessidade de notas autoadesivas e planilhas, liberando os funcionários da obrigatoriedade de decorar senhas exclusivas.
    Use frases secretas em vez de senhas. Pode ser que os funcionários decorem com mais facilidade uma frase secreta, que será mais difícil dos criminosos cibernéticos adivinharem.
    Habilite a 2FA (autenticação de dois fatores). Com a 2FA, mesmo se uma frase secreta ou senha estiverem comprometidas, a segurança do login será mantida porque o acesso do usuário não autorizado não será permitido sem o código adicional fornecido para um segundo dispositivo. 
    Altere as senhas depois de uma violação de segurança. Considera-se que a troca de senhas com maior frequência leva a senhas mais fracas ao longo do tempo.
    Evite reutilizar senhas ou frases secretas. Quando elas são comprometidas, costumam ser usadas para invadir outras contas.

  • Criar um plano de defesa

    Proteja dados confidenciais. Descubra e classifique os dados em escala para saber o volume, tipo e local das informações onde quer que estejam por todo o seu ciclo de vida.
    Gerencie os riscos internos. Entenda a atividade do usuário e o uso pretendido dos dados a fim de identificar atividades potencialmente arriscadas que poderiam levar a incidentes de segurança de dados.
    Estabeleça políticas e controles de acesso apropriados. Ajude a prevenir ações como salvamento ou armazenamento inadequado, ou ainda, a impressão de dados confidenciais.

  • Usar a criptografia para proteger dados

    A criptografia de dados evita que usuários não autorizados leiam dados confidenciais. Mesmo se eles tiverem acesso ao seu ambiente de dados ou se virem os dados em trânsito, os dados serão inúteis porque não poderão ser facilmente lidos ou compreendidos.

  • Instalar atualizações de segurança e de software

    As atualizações de segurança e de software abordam vulnerabilidades conhecidas que os criminosos cibernéticos geralmente exploram para roubar informações confidenciais. Manter as atualizações regulares em dia ajuda a lidar com essas vulnerabilidades e a evitar o comprometimento dos seus sistemas.

  • Treinar os funcionários sobre a segurança de dados

    Ajudar a proteger os dados da sua organização não é tarefa do departamento de TI; você também precisa treinar seus funcionários para que estejam cientes sobre a divulgação, o roubo e a corrupção de dados. As práticas recomendadas de segurança de dados são relevantes para dados que estejam online e impressos. O treinamento formal deve ocorrer regularmente, seja trimestral, anual ou semestral.

  • Implementar protocolos de segurança para o trabalho remoto

    Para implementar protocolos de segurança para o trabalho remoto, comece esclarecendo as suas políticas e procedimentos. Normalmente, isso envolve um treinamento de segurança obrigatório e a especificação dos aplicativos de software aceitáveis para uso e como usá-los. Os protocolos também devem incluir um processo para proteger todos os dispositivos usados por funcionários.

Regulamentos e conformidade

As organizações devem cumprir os padrões, as leis e os regulamentos relevantes de proteção de dados. Eles incluem, mas não estão limitados a, coletar apenas as informações necessárias de clientes ou funcionários, trabalhando para mantê-las seguras e para descartá-las adequadamente. Os exemplos de leis de privacidade incluem o GDPR (Regulamento Geral sobre a Proteção de Dados) e lei americana HIPAA (Health Insurance Portability Accountability Act) e CCPA (California Consumer Privacy Act).

O GDPR é a lei de privacidade e segurança de dados mais rígida. Ele foi elaborado e aprovado pela UE (União Europeia), mas organizações em todo o mundo são obrigadas a cumpri-lo se visarem ou coletarem dados pessoais de cidadãos ou residentes da UE ou se oferecerem bens e serviços a eles.

A HIPAA ajuda a proteger as informações de saúde do paciente para evitar sua divulgação sem o conhecimento ou consentimento dele. A Norma de privacidade HIPAA protege as informações pessoais de saúde e foi emitida para implementar os requisitos da HIPAA. A Norma de segurança da HIPAA ajuda a proteger as informações de saúde identificáveis que o profissional de saúde cria, recebe, mantém ou transmite eletronicamente.

A CCPA ajuda a garantir os direitos de privacidade dos consumidores da Califórnia, Estados Unidos, incluindo o direito de saber sobre as informações pessoais coletadas e como são usadas e compartilhadas, o direito de excluir as suas informações pessoais coletadas e o direito de recusar a venda das suas informações pessoais.

DPO (responsável pela proteção de dados) é uma função de liderança que rastreia a conformidade e ajuda a garantir que a sua organização processe os dados pessoais em conformidade com as leis de proteção de dados. Por exemplo, eles informam e aconselham as equipes de conformidade sobre como estar em conformidade, fornecem treinamento na organização e relatam se houver falha de conformidade em relação a regras e regulamentos.

Quando falhas de conformidade causam uma violação de dados, geralmente custam milhões de dólares às organizações. As consequências incluem roubo de identidade, perda de produtividade e fuga de clientes.

Conclusão

A segurança de dados e o seu gerenciamento ajudam a identificar e avaliar ameaças a seus dados, a conformidade com requisitos regulamentares e a manter a integridade dos dados.

Assuma o compromisso de fazer backup de seus dados com frequência, armazene uma cópia de seu backup em um local externo, estabeleça suas estratégias de gerenciamento de segurança de dados e imponha senhas ou frases secretas fortes e a 2FA.

Tomar medidas para proteger os dados durante seu ciclo de vida, entender como os dados são usados, evitar o vazamento de dados e criar políticas de prevenção contra perda de dados são os pilares para construir uma defesa forte na sua organização.

Saiba como proteger seus dados em nuvens, aplicativos e pontos de extremidade com procedimentos e ferramentas de segurança de dados.

Saiba mais sobre a Segurança da Microsoft

Microsoft Purview

Explore as soluções de governança, proteção e conformidade para os dados da sua organização.

Ajude a evitar a perda de dados

Identifique o compartilhamento e o uso arriscado ou inadequado de dados confidenciais em pontos de extremidade, aplicativos e serviços.

Gerenciar os riscos internos

Saiba como identificar riscos em potencial nas atividades de seus funcionários e fornecedores.

Proteção de informações

Descubra, classifique e proteja seus dados mais confidenciais em todas as suas propriedades digitais.

Perguntas frequentes

  • A segurança de dados ajuda a proteger dados confidenciais por todo o seu ciclo de vida, a entender o contexto dos dados e das atividades do usuário e a evitar o uso não autorizado de dados. Envolve saber quais dados você tem e onde estão localizados e também a identificar as ameaças a esses dados.

  • Os tipos de segurança de dados incluem:

    • Controle de acesso que requer credenciais de logon para dados locais e baseados em nuvem.
    • A autenticação de usuários por meio de senhas, cartões de acesso ou biometria.
    • Backups e recuperação para habilitar o acesso aos dados após uma falha do sistema, dados corrompidos ou um desastre.
    • A resiliência de dados como uma abordagem proativa à recuperação de desastre e à continuidade dos negócios.
    • A exclusão de dados para o descarte apropriado de dados, tornando-os irrecuperáveis.
    • O software de mascaramento de dados que usa caracteres proxy para ocultar letras e números de usuários não autorizados.
    • As soluções de prevenção contra perda de dados para proteger contra o uso não autorizado de dados confidenciais.
    • A criptografia que torna os dados ilegíveis para usuários não autorizados.
    • Proteção de informações para ajudar a classificar dados confidenciais encontrados em arquivos e documentação.
    • Gerenciamento de risco interno para mitigar atividades de usuários suspeitos.
  • Um exemplo de segurança de dados é usar a tecnologia para saber onde os dados confidenciais residem em sua organização e como esses dados são acessados e usados.

  • A segurança dos dados é importante porque ajuda sua organização a se proteger contra ataques cibernéticos, ameaças internas e erros humanos, que podem levar a violações de dados.

  • Os quatro principais problemas na segurança de dados são a confidencialidade, a integridade, a disponibilidade e a conformidade.

Siga o Microsoft 365