Checklist de segurança de dados
Etapa 1: inventariar ativos de dados críticos
| O que fazer | Como fazer |
|---|---|
| Definir regras de descoberta de dados | Saiba que tipo de dados confidenciais você coleta e armazena. Crie uma combinação de regras de descoberta de dados de correspondência de palavras-chave e expressões regulares específicas para sua organização. |
| Verificar armazenamentos de dados em busca de dados confidenciais | Verifique os armazenamentos de dados (incluindo imagens e arquivos de áudio) em busca de instâncias de dados confidenciais que correspondam às regras configuradas. |
| Empregar métodos de validação de dados | Use uma combinação de verificações, varredura de proximidade e processamento de termos compostos para validar os resultados da descoberta de dados. |
| Criar políticas de descoberta específicas de conformidade | Crie políticas para os regulamentos aos quais você é obrigado a aderir. Isso ajudará na prevenção de não conformidades e também agilizará os relatórios. |
| Mapear os dados confidenciais descobertos | Saiba onde seus dados mais críticos estão armazenados. Mantenha um inventário de instâncias de dados confidenciais e mantenha-o atualizado verificando os arquivos assim que eles forem criados e modificados. |
| Categorize e classifique dados confidenciais | Use métodos de classificação automatizados e manuais para marcar arquivos com base em sua sensibilidade. Isso ajudará você a definir políticas de proteção de dados com base nessas tags. |
| Crie perfis de risco baseados em arquivos e usuários | Descubra qual local de armazenamento é mais densamente composto por dados confidenciais e quais funcionários armazenam as informações mais pessoais. Analise os resultados da descoberta de dados e crie perfis de risco detalhados para seu repositório de armazenamento e usuários. |
Etapa 2: avaliar os riscos de segurança de dados
| O que fazer | Como fazer |
|---|---|
| Localizar dados confidenciais armazenados fora de repositórios designados | Certifique-se de que os dados críticos sejam armazenados apenas onde deveriam estar. Estabeleça fluxos de trabalho para movê-lo de compartilhamentos abertos e outras pastas não seguras para locais mais protegidos. |
| Remover arquivos confidenciais armazenados além de seus períodos de retenção | Evite penalidades por não conformidade listando arquivos antigos, obsoletos e não modificados e removendo-os ou arquivando-os se estiverem obsoletos. |
| Detectar e descartar cópias duplicadas de arquivos críticos para manter a integridade dos arquivos mestre | Melhore as práticas de armazenamento de dados listando e removendo cópias duplicadas de arquivos. |
| Verificar o controle de acesso baseado em função e o privilégio mínimo | Examine o NTFS e compartilhe permissões para verificar se os dados críticos só podem ser acessados por aqueles que precisam de acesso a eles para seu trabalho. |
| Realizar revisões periódicas de direitos de acesso | Evite o aumento de privilégios e direitos de acesso excessivos revisando as permissões periodicamente. |
| Identificar e corrija instâncias de herança quebrada | Corrija vulnerabilidades de segurança, como heranças quebradas e pastas acessíveis abertamente. |
| Limitar a visibilidade de dados confidenciais | Redija ou anonimize instâncias de informações pessoais de documentos para evitar divulgação desnecessária. |
Etapa 3: monitorar o acesso a dados críticos
| O que fazer | Como fazer |
|---|---|
| Acompanhar as alterações feitas em arquivos críticos | Rastreie arquivos de leitura, criação, modificação, substituição, movimentação, renomeação, exclusão e eventos de alteração de permissão em tempo real. |
| Monitorar a integridade do arquivo | Monitore atividades arriscadas, como tentativas malsucedidas de ler, gravar ou excluir arquivos e alterações críticas feitas fora do horário comercial. |
| Definir alertas para ações de modificação, movimentação, exclusão e alteração de permissão de arquivos de alto risco | Configure acionadores para receber notificações instantâneas sobre possíveis ameaças à segurança de dados e atividades anômalas de arquivos. |
| Implementar sistemas antivírus e antimalware abrangentes | Fique atento a arquivos infectados, indicadores de ataques de malware em andamento e outros sinais críticos de violações de dados iminentes com ferramentas de detecção de malware atualizadas. |
| Implantar sistemas automatizados de resposta a incidentes de segurança | Configure respostas para interromper a propagação de infecções de ransomware, desligar dispositivos infectados, desconectar sessões de usuários não autorizados e muito mais com base no alerta de segurança acionado. |
| Automatizar relatórios de acesso para regulamentos de conformidade | Gere relatórios prontos para auditoria para cumprir com o GDPR, PCI DSS, HIPAA e outros regulamentos. Armazene dados históricos de auditoria para requisitos legais e forenses. |
Etapa 4: regular a atividade do endpoint
| O que fazer | Como fazer |
|---|---|
| Monitorar o uso de mídia de armazenamento removível | Acompanhe e analise o uso de dispositivos removíveis — incluindo dispositivos de mídia removíveis, como USBs ou telefones celulares — em sua rede. |
| Controlar o uso de unidades USB com listas de permissões e listas de bloqueio | Restrinja o uso de dispositivos USB bloqueando seletivamente ações de leitura, gravação ou execução em USBs e evite o uso não autorizado usando listas de permissão e bloqueio. |
| Gerenciar o uso de endpoints | Impeça que os funcionários usem Wi-Fi, dispositivos Bluetooth, unidades de CD ou DVD e outros terminais para limitar a possível superfície de ataque para ameaças à segurança de dados. |
| Evitar vazamentos de dados com políticas para tentativas de exfiltração de dados por meio de endpoints | Personalize as políticas de prevenção de vazamento de dados (DLP) para casos de uso específicos da organização. |
| Impedir que arquivos classificados sejam removidos da rede | Mapeie políticas DLP para tags de classificação de arquivos para impedir granularmente que arquivos de uso restrito sejam removidos da rede organizacional por e-mail, unidades USB etc. |
| Verificar vulnerabilidades periodicamente | Avalie aplicaçõe e dispositivos de endpoint quanto a vulnerabilidades e corrija problemas antes que eles possam ser usados para realizar roubo de dados. |
| Melhorar a conscientização do usuário | Treine seus usuários finais sobre ataques de engenharia social para evitar vazamentos acidentais de dados de endpoints. |
| Revisar e melhorar os processos de DLP | A prevenção de vazamentos é um processo que deve ser mantido alinhado às mudanças nas condições e necessidades dos negócios. Monitore continuamente a estratégia de DLP que você implementou e melhore-a sempre que necessário. |
Etapa 5: implantar a proteção na nuvem
| O que fazer | Como fazer |
|---|---|
| Auditar o uso da aplicação em nuvem | Use a inspeção profunda de pacotes para auditar como os atores acessam as aplicações em nuvem. Analise os detalhes de upload, download e outras atividades no armazenamento em nuvem e plataformas como Box, Dropbox e Microsoft 365. |
| Avaliar o risco associado ao acesso a aplicações da web | Pontue os sites com base em sua reputação e tome medidas para limitar o uso de sites de baixa reputação. |
| Rastrear acessos a aplicações shadow IT | Monitore os usuários que acessam aplicações shadow IT e reúna detalhes sobre a frequência com que eles os acessam. |
| Filtrar páginas da web não seguras | Aplique medidas de controle de acesso em aplicações de nuvem para garantir que os funcionários não interajam com sites que incitem à violência, hospedem conteúdo impróprio, espalhem malware, iniciem campanhas de spam, promovam jogos de azar etc. |
| Controlar uploads e downloads de arquivos | Impeça que os usuários carreguem arquivos confidenciais para repositórios na nuvem e baixem arquivos potencialmente maliciosos. |
Isenção de responsabilidade: A segurança de dados requer uma variedade de soluções, processos, pessoas e tecnologias. Esta lista de verificação é fornecida apenas para fins informativos e não deve ser considerada como aconselhamento jurídico. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias, quanto à eficácia das informações contidas neste material.
Como a ManageEngine pode ajudá-lo a otimizar os processos de segurança de dados
Reforce suas medidas para proteger dados organizacionais em todos os seus estados — em repouso, em uso e em movimento — com o ManageEngine DataSecurity Plus. O DataSecurity Plus é uma plataforma unificada de visibilidade e segurança de dados que:
- Audita alterações de arquivos em tempo real, aciona respostas instantâneas a eventos críticos, encerra invasões de ransomware e ajuda as organizações a cumprir várias regulamentações de TI.
- Analisa o armazenamento de arquivos e as permissões de segurança, exclui arquivos indesejados e detecta vulnerabilidades de segurança de arquivos.
- Ajuda os usuários a avaliar os riscos associados ao armazenamento de dados confidenciais localizando e classificando arquivos contendo PII, PCI e ePHI.
- Evita vazamentos de dados via USBs, e-mail, impressoras e aplicações da web; monitora a integridade do arquivo;e audita o uso de aplicações em nuvem.