Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosModelo
Exemplo de Política de Data Classification

Exemplo de Política de Data Classification

1. Propósito da Política de Data Classification

Explique por que a classificação de dados deve ser realizada e quais benefícios ela deve trazer.

O objetivo desta política é estabelecer um quadro para classificar dados com base na sua sensibilidade, valor e criticidade para a organização, de modo que dados corporativos e de clientes sensíveis possam ser protegidos adequadamente.

2. Âmbito da Política

Defina os tipos de dados que devem ser classificados e especifique quem é responsável pela classificação, proteção e manuseio adequados dos dados.

Esta política aplica-se a qualquer forma de dados, incluindo documentos em papel e dados digitais armazenados em qualquer tipo de mídia. Aplica-se a todos os funcionários da organização, bem como a agentes terceirizados autorizados a acessar os dados.

3. Funções e Responsabilidades

Descreva os papéis e responsabilidades associados ao esforço de classificação de dados. Os departamentos devem designar indivíduos que serão responsáveis por executar as tarefas associadas a cada um dos papéis.

Responsabilidades do Proprietário dos Dados

Proprietário dos dados — A pessoa que é ultimamente responsável pelos dados e informações coletados e mantidos pelo seu departamento ou divisão, geralmente um membro da alta gestão. O proprietário dos dados deve abordar o seguinte:

  • Revisão e categorização — Revisar e categorizar dados e informações coletadas pelo seu departamento ou divisão
  • Atribuição de rótulos de Netwrix Data Classification — Atribua rótulos de Netwrix Data Classification com base no nível de impacto potencial dos dados
  • Compilação de dados — Garanta que os dados compilados de múltiplas fontes sejam classificados com pelo menos o nível de classificação mais seguro de qualquer dado classificado individualmente
  • Coordenação de Netwrix Data Classification — Garanta que os dados compartilhados entre os departamentos sejam classificados e protegidos de forma consistente
  • Conformidade de classificação de dados (em conjunto com os custodiantes de dados) — Garanta que as informações com nível de impacto alto e moderado estejam seguras de acordo com regulamentações e diretrizes federais ou estaduais
  • Acesso a dados (em conjunto com os custodiantes de dados) — Desenvolver diretrizes de acesso a dados para cada rótulo de classificação de dados

Responsabilidades do Guardião de Dados

Guardiões de dados — Técnicos do departamento de TI ou, em organizações maiores, do escritório de Segurança da Informação. Os guardiões de dados são responsáveis por manter e fazer backup dos sistemas, bancos de dados e servidores que armazenam os dados da organização. Além disso, este papel é responsável pela implantação técnica de todas as regras estabelecidas pelos proprietários dos dados e por garantir que as regras aplicadas nos sistemas estejam funcionando. Algumas responsabilidades específicas dos guardiões de dados incluem:

  • Controle de acesso — Garanta que os controles de acesso adequados sejam implementados, monitorados e auditados de acordo com os rótulos de classificação de dados atribuídos pelo proprietário dos dados
  • Relatórios de auditoria — Envie um relatório anual aos proprietários dos dados que aborde a disponibilidade, integridade e confidencialidade dos dados classificados
  • Backups de dados — Realize backups regulares dos dados do estado
  • Validação de dados — Valide periodicamente a integridade dos dados
  • Restauração de dados — Restaure dados a partir de mídias de backup
  • Conformidade — Atenda aos requisitos de dados especificados nas políticas de segurança da organização, padrões e diretrizes relacionados à segurança da informação e proteção de dados
  • Monitore a atividade — Monitore e registre a atividade dos dados, incluindo informações sobre quem acessou quais dados
  • Armazenamento seguro — Criptografe dados sensíveis em repouso enquanto estiverem armazenados; audite a atividade do administrador da rede de área de armazenamento (SAN) e revise os registros de acesso regularmente
  • Conformidade de Netwrix Data Classification (em conjunto com os proprietários dos dados) — Garanta que as informações com nível de impacto alto e moderado estejam seguras de acordo com regulamentos e diretrizes federais ou estaduais
  • Acesso aos dados (em conjunto com os proprietários dos dados) — Desenvolver diretrizes de acesso aos dados para cada rótulo de classificação de dados

Responsabilidades do Usuário de Dados

Usuário de dados — Pessoa, organização ou entidade que interage com, acessa, utiliza ou atualiza dados com o objetivo de realizar uma tarefa autorizada pelo proprietário dos dados. Os usuários de dados devem utilizar os dados de maneira consistente com o propósito pretendido e cumprir com esta política e todas as políticas aplicáveis ao uso de dados.

4. Procedimento de Data Classification

Descreva cada procedimento de Netwrix Data Classification passo a passo. Detalhe quem realiza cada etapa, como os dados são avaliados quanto à sensibilidade, o que fazer quando os dados não se enquadram em uma categoria estabelecida e assim por diante.

Exemplo de um procedimento detalhado:

1. Os proprietários dos dados analisam cada peça de informação pela qual são responsáveis e determinam seu nível de impacto geral, conforme segue:

  • Se corresponder a qualquer um dos tipos pré-definidos de informação restrita listados no Apêndice A, o proprietário dos dados atribui-lhe um nível de impacto geral de “Alto”.
  • Se não corresponder a nenhum dos tipos predefinidos no Apêndice A, o proprietário dos dados deve determinar o tipo de informação e os níveis de impacto com base nas orientações fornecidas nas Seções 5 e 6 deste documento, e NIST 800-600 Volume 2. O mais alto dos três níveis de impacto é o nível de impacto geral.
  • Se o tipo de informação e o nível de impacto geral ainda não puderem ser determinados, o proprietário dos dados deve trabalhar com os custodiantes dos dados para resolver a questão

2. O proprietário dos dados atribui a cada conjunto de dados um rótulo de classificação com base no nível de impacto geral:

Nível geral de impacto

Etiqueta de classificação

Alto

Restrito

Moderado

Confidencial

Baixo

Público

3. O proprietário dos dados registra o rótulo de classificação e o nível de impacto geral para cada peça de dados na tabela oficial de classificação de dados, seja em um banco de dados ou em papel.

4. Os responsáveis pelos dados aplicam controles de segurança apropriados para proteger cada peça de dados de acordo com o rótulo de classificação e o nível de impacto geral registrado na tabela oficial de classificação de dados.

Exemplo de um procedimento básico:

1. Os proprietários de dados revisam e atribuem a cada dado que possuem um tipo de informação baseado nas categorias em NIST 800-600 Volume 1.

2. Os proprietários dos dados atribuem a cada peça de dados um nível de impacto potencial para cada um dos objetivos de segurança (confidencialidade, integridade, disponibilidade), utilizando o guia na Seção 6 deste documento. O mais alto dos três é o nível de impacto geral.

3. Os proprietários dos dados atribuem a cada peça de dados um rótulo de classificação com base no nível de impacto geral:

Nível geral de impacto

Rótulo de classificação

Alto

Restrito

Moderado

Confidencial

Baixo

Público

4. Os proprietários dos dados registram o nível de impacto e o rótulo de classificação para cada peça de dados na tabela de Netwrix Data Classification.

5. Os custódios de dados aplicam controles de segurança da informação a cada peça de dados de acordo com seu rótulo de classificação e nível de impacto geral.

5. Diretriz de Netwrix Data Classification

Crie uma tabela que descreva cada tipo de ativo de informação que a agência armazena, detalhe o impacto de cada um dos três objetivos de segurança e especifique os níveis de impacto e classificação a serem atribuídos a cada tipo de ativo.

Utilize esta tabela para determinar o nível de impacto geral e o rótulo de classificação para muitos ativos de informação comumente usados na organização.

Documentos de Planejamento do Orçamento Federal

Os documentos de planejamento do orçamento federal indicam as despesas potenciais para o ano seguinte. Eles incluem dados sobre parceiros e fornecedores, bem como dados analíticos e de pesquisa.

Tipos de Informação

Controle de Fundos

Os documentos de Controle de Fundos incluem informações sobre a gestão do processo orçamentário federal, incluindo o desenvolvimento de planos e uso de programas, orçamentos e resultados de desempenho, bem como informações sobre o financiamento de programas e operações federais por meio de dotação e distribuição de autoridade de gastos diretos e reembolsáveis, transferências de fundos, investimentos e outros mecanismos.

Objetivos de Segurança

Impacto da Confidencialidade

Impacto da Integridade

Impacto da Disponibilidade

Descrição do Impacto

A divulgação não autorizada de informações de controle de fundos (particularmente alocações orçamentárias para programas específicos ou elementos de programas) pode ser seriamente prejudicial aos interesses governamentais em processos de aquisição. Em muitos casos, tal divulgação não autorizada é proibida por ordem executiva ou por lei. A liberação prematura de rascunhos de informações de controle de fundos pode proporcionar vantagens a interesses concorrentes e colocar seriamente em risco as operações da agência ou até mesmo a missão da agência.

As atividades de controle de fundos geralmente não são críticas em relação ao tempo. Um acúmulo de pequenas alterações nos dados ou a exclusão de pequenas entradas pode resultar em déficits orçamentários ou casos de obrigações ou desembolsos excessivos.

Os processos de controle de fundos geralmente toleram atrasos. Normalmente, a interrupção do acesso às informações de controle de fundos pode ser esperada para ter apenas um efeito adverso limitado nas operações da agência, nos ativos da agência ou nos indivíduos.

Nível de Impacto

Moderado

Moderado

Baixo

Nível Geral de Impacto

Moderado

Etiqueta de Data Classification

Confidencial

6. Determinação do Nível de Impacto

Forneça uma tabela que ajudará os proprietários dos dados a determinar o nível de impacto para cada peça de dados, descrevendo os objetivos de segurança que deseja alcançar e como a falha em atingir cada objetivo afetaria a organização.

Utilize esta tabela para avaliar o impacto potencial para a empresa de uma perda de confidencialidade, integridade ou disponibilidade de um ativo de dados que não se enquadre em nenhum dos tipos de informação descritos na Seção 5 e NIST 800-600 Volume 2.

Objetivo de Segurança

Impacto Potencial

Baixo

Moderado

Alto

Confidencialidade.

Restrinja o acesso e a divulgação de dados a usuários autorizados para proteger a privacidade pessoal e as informações proprietárias.

A divulgação não autorizada das informações deve ter  efeitos adversos limitados  nas operações, ativos organizacionais ou indivíduos.

A divulgação não autorizada das informações deve ter um sério efeito adverso nas operações, ativos organizacionais ou indivíduos.

A divulgação não autorizada da informação espera-se que tenha um efeito adverso grave ou catastrófico nas operações, ativos organizacionais ou indivíduos.

Integridade.

Proteja-se contra a modificação ou destruição imprópria de dados, o que inclui garantir a não repúdio e autenticidade das informações.

A modificação ou destruição não autorizada das informações espera-se que tenha um efeito adverso limitado sobre as operações, ativos ou indivíduos.

A modificação ou destruição não autorizada das informações deve ter um sério efeito adverso nas operações, ativos ou indivíduos.

A modificação ou destruição não autorizada das informações deve ter um efeito severo ou catastrófico sobre as operações, ativos ou indivíduos.

Disponibilidade.

Garanta acesso e uso de informações de forma confiável e tempestiva.

A interrupção do acesso ou uso da informação ou do sistema de informação espera-se que tenha um efeito adverso limitado nas operações, ativos ou indivíduos.

A interrupção do acesso ou uso da informação ou do sistema de informação espera-se que tenha um sério efeito adverso nas operações, ativos ou indivíduos.

A interrupção do acesso ou uso da informação ou do sistema de informação espera-se que tenha um efeito adverso severo ou catastrófico nas operações, ativos ou indivíduos.

7. Apêndice A

Descreva os tipos de informação que devem ser automaticamente classificados como “Restritos” e atribuídos um nível de impacto “Alto”. Ter essa lista tornará o processo de Netwrix Data Classification mais fácil para os proprietários dos dados.

Tipos de Informação que Devem ser Classificados como “Restrito

Informações de autenticação

As informações de autenticação são dados utilizados para comprovar a identidade de um indivíduo, sistema ou serviço. Exemplos incluem:

  • Senhas
  • Segredos compartilhados
  • Chaves privadas criptográficas
  • Tabelas de dispersão

Informação de Saúde Protegida Eletronicamente (ePHI)

ePHI é definido como qualquer informação de saúde protegida (PHI) que está armazenada ou transmitida por meios eletrônicos. Meios eletrônicos incluem discos rígidos de computador, bem como mídias removíveis ou transportáveis, como uma fita magnética ou disco, disco óptico ou cartão de memória digital.

A transmissão é o movimento ou troca de informações em forma eletrônica. Os meios de transmissão incluem a internet, uma extranet, linhas dedicadas, linhas discadas, redes privadas e o movimento físico de mídias de armazenamento eletrônico removíveis ou transportáveis.

Informação do Cartão de Pagamento (PCI)

As informações do cartão de pagamento são definidas como um número de cartão de crédito em combinação com um ou mais dos seguintes elementos de dados:

  • Nome do titular do cartão
  • Código do serviço
  • Data de validade
  • Valor de CVC2, CVV2 ou CID
  • PIN ou bloqueio de PIN
  • Conteúdo da faixa magnética de um cartão de crédito

Informação Pessoal Identificável (PII)

PII é definido como o primeiro nome de uma pessoa ou a primeira inicial e o sobrenome em combinação com um ou mais dos seguintes elementos de dados:

  • Número de segurança social
  • Número da carteira de motorista emitida pelo estado
  • Número do cartão de identificação emitido pelo estado
  • Número de conta financeira em combinação com um código de segurança, código de acesso ou senha que permitiria acesso à conta
  • Informações de seguro médico e/ou de saúde

8. Histórico de Revisões

Certifique-se de rastrear todas as alterações na sua política de Netwrix Data Classification.

Versão

Publicado

Autor

Descrição

0.1

01/01/2018

John Smith

Original

Perguntas Frequentes sobre Data Classification

1. O que é uma política de classificação de dados e por que ela é importante?
Uma política de classificação de dados define como uma organização identifica e categoriza suas informações com base na sensibilidade, valor e requisitos regulatórios. Esse processo ajuda a garantir que dados sensíveis, como registros de clientes, informações financeiras e propriedade intelectual, sejam devidamente protegidos, gerenciados e acessíveis apenas ao pessoal autorizado. Também desempenha um papel crítico no cumprimento de obrigações de conformidade como GDPR, HIPAA e outros.

Para entender melhor os fundamentos e aprender como construir uma estratégia eficaz, leia nosso post: Data Classification: What It Is and How to Implement It. Este post guia você pelo processo de classificação, principais benefícios e dicas práticas para implementação.

2. Quem é responsável pela classificação de dados em uma organização?
Normalmente, os proprietários dos dados, os custodiantes e os usuários compartilham a responsabilidade. Os proprietários dos dados determinam os níveis de classificação, os custodiantes aplicam os controles e os usuários devem seguir os procedimentos de manuseio.

3. Quais são os níveis de classificação de dados mais comuns?
A maioria das organizações utiliza de três a quatro níveis, como:

  • Público – Informação não sensível
  • Confidencial – Dados internos da empresa
  • Restrito – Dados altamente sensíveis ou regulamentados
  • Top Secret – Informações raras e críticas (para alguns setores)

4. Como determinar o nível de impacto de um ativo de dados?
Avalie as potenciais consequências de uma violação de confidencialidade, integridade ou disponibilidade usando uma escala baixa, moderada ou alta. A classificação individual mais alta geralmente determina o nível de impacto geral.

5. Com que frequência uma política de classificação de dados deve ser revista ou atualizada?
No mínimo, as políticas devem ser revistas anualmente ou quando houver uma grande mudança organizacional ou regulatória. Um histórico de revisões claro ajuda a acompanhar as atualizações.

Netwrix Data Classification

Obtenha total visibilidade sobre onde seus dados sensíveis estão, quem pode acessá-los e quem realmente os utiliza

Baixar a versão de avaliação gratuita de 20 dias

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management