Dados sensíveis são informações confidenciais que devem ser mantidas seguras e fora do alcance de usuários externos, a menos que tenham permissão para acessá-los.
O acesso a dados sensíveis deve ser limitado por meio de boas práticas de segurança de dados e segurança da informação projetadas para evitar vazamentos e violações de dados.
O aumento do escrutínio regulatório sobre a proteção de dados sensíveis culminou em uma necessidade desesperada de gerenciamento de dados aprimorado, gerenciamento de riscos de terceiros e segurança cibernética aprimorada. Abandonar esses requisitos agora essenciais pode custar à sua empresa até R$ 50 milhões.
Exemplos de dados sensíveis
As informações sensíveis incluem todos os dados, originais ou copiados, que contenham:
Dados pessoais sensíveis
Conforme definido pela Lei Geral de Proteção de Dados, uma série de leis amplas para prevenir ou desencorajar o roubo de identidade e para guardar e proteger a privacidade individual.
Informações de saúde protegidas
Representa qualquer informação sobre o estado de saúde, prestação de cuidados de saúde ou pagamento por cuidados de saúde que seja criada ou coletada por uma Entidade Médica (ou uma empresa terceirizada) que possa ser vinculada a um indivíduo específico.
Registros de Educação
Acesso a informações e registros educacionais por empregadores em potencial, instituições educacionais com financiamento público e governos estrangeiros.
Informação ao Cliente
Exige que as instituições financeiras expliquem como compartilham e protegem as informações privadas de seus clientes.
Dados do titular do cartão
Conforme definido pela LGPD, é necessário um padrão de segurança da informação que informa à organização como lidar com cartões de crédito.
Informações sensíveis de funcionários
Conforme definido pela LGPD e de amplo interesse do RH.
Informação confidencial
Inclui segredos comerciais e dados relacionados semelhantes.
Dados pessoais
Em geral, dados sensíveis são quaisquer dados que revelem:
- Origem racial ou étnica
- Opinião política
- Crenças religiosas ou filosóficas
- Filiação a sindicatos
- Dados genéticos
- Dados biométricos
- Dados de saúde
- Vida sexual ou orientação sexual
- Informações financeiras (números de contas bancárias e números de cartão de crédito)
- Informação sigilosa
O que são Dados Pessoais?
Dados pessoais (ou informações pessoais) são informações que podem identificar um indivíduo.
A LGPD define dados pessoais como qualquer coisa que identifique diretamente um indivíduo, como nome, sobrenome, número de telefone, número do seguro social, número da carteira de motorista ou qualquer outra informação de identificação pessoal.
Contra dados pseudônimos ou informações de identificação não direta que não permitem a identificação direta, mas permitem destacar o comportamento individual (como servir um direcionado a um usuário no momento certo).
A LGPD foi criada para estabelecer uma distinção clara entre informações de identificação direta e dados pseudônimos.
A LGPD incentiva o uso de informações pseudônimas em vez de informações de identificação direta, pois reduz o risco de violações de dados terem efeitos adversos sobre os indivíduos.
Como medir a sensibilidade dos dados
Para determinar o quão sensível é a especificidade e como ela deve ser classificada, pense na confidencialidade, integridade e disponibilidade (tríade CID) dessas informações e como elas afetariam sua organização ou seus clientes se fossem expostas.
Essa é uma maneira comum de medir a sensibilidade dos dados.
O que é Confidencialidade?
A confidencialidade é aproximadamente equivalente à privacidade.
As contramedidas que impedem o acesso não autorizado a informações sensíveis, ao mesmo tempo em que garantem que as pessoas certas ainda possam acessá-las, preocupam-se com a confidencialidade.
Essas contramedidas variam desde um simples treinamento de conscientização até a compreensão dos riscos de segurança associados ao manuseio das informações e como se proteger contra eles, até sistemas de segurança cibernética sofisticados.
Exemplos de contramedidas de confidencialidade:
- Criptografia de dados
- Senhas
- Autenticação de dois fatores
- Verificação biométrica
- Tokens de segurança
- Limitando onde as informações aparecem
- Limitar o número de vezes que as informações podem ser transmitidas
- Armazenando em computação em nuvem
- Armazenando em dispositivos de armazenamento desconectados
- Armazenar apenas em cópia impressa
O que é Integridade?
Integridade é manter a consistência, precisão e confiabilidade dos dados ao longo de seu ciclo de vida.
Dados sensíveis, ou informações sensíveis, não devem ser alterados em trânsito e não devem poder ser alterados por pessoas não autorizadas (por exemplo, quando ocorre uma violação de dados).
Exemplos de contramedidas de integridade:
- Permissões de arquivo
- Controles de acesso do usuário
- Registros de auditoria
- Controle de versão
- Somas de verificação criptográficas
- Backups
- Redundâncias
O que é Disponibilidade?
A disponibilidade está preocupada em garantir que todos os sistemas de informação e dados sensíveis estejam disponíveis quando necessário.
Exemplos de contramedidas de disponibilidade:
- Manutenção de hardware e reparos imediatos
- Corrigindo o software o mais rápido possível
- Fornecendo largura de banda de comunicação adequada
- Recuperação de desastres rápida e adaptável com um plano abrangente de recuperação de desastres
- Protege contra perda ou interrupção de dados durante desastres naturais e incêndio
- Equipamentos e softwares de segurança extras, como firewalls e servidores adicionais, que protegem contra o tempo de inatividade e evitam ataques de negação de serviço (DoS)
Qual é o impacto da divulgação não autorizada de dados sensíveis?
A privacidade dos dados está se tornando cada vez mais importante. Em mais de 80 países, as informações de identificação pessoal (PII) são protegidas por leis de privacidade de informações que definem os limites para a coleta e uso de PII por organizações públicas e privadas.
Essas leis exigem que as organizações notifiquem claramente os indivíduos sobre quais dados estão sendo coletados, o motivo da coleta e o uso planejado dos dados. Em estruturas legais baseadas em consentimento, como a LGPD, é necessário o consentimento explícito do indivíduo.
Como proteger dados sensíveis
A primeira etapa na proteção de dados sensíveis é a classificação de dados.
Dependendo da sensibilidade dos dados, há diferentes níveis de proteção necessários. A principal coisa a entender é que nem todos os dados são iguais e é melhor concentrar seus esforços na proteção de dados sensíveis, conforme definido acima.
Exemplos de informações não sensíveis:
- Informação pública: Informação que já é uma questão de registro ou conhecimento público
- Informações comerciais de rotina: informações comerciais que são compartilhadas rotineiramente com qualquer pessoa de dentro ou de fora da sua organização
A segurança da informação eficaz começa com a avaliação de quais informações você possui e a identificação de quem tem acesso. Compreender como os dados sensíveis entram e saem de sua empresa é essencial para avaliar possíveis vulnerabilidades e riscos de segurança cibernética.
Isso significa fazer um inventário de todos os lugares em que sua organização usa dados sensíveis e onde você entrega dados sensíveis a fornecedores terceirizados.
Isso permitirá que você entenda como as informações fluem em sua organização e fornecerá uma visão completa de quem envia informações pessoais em sua organização, quem recebe dados sensíveis, quais informações são coletadas, quem mantém as informações coletadas e quem tem acesso às informações.
Ebook gratuito: Mapeamento de Dados Sensíveis
Para saber como fazer o mapeamento de dados sensíveis, clique na imagem abaixo e faça o download gratuito de nosso ebook.
Deixe um comentário