Checklist de segurança de dados
Etapa 1: inventariar ativos de dados críticos
| O que fazer | Como fazer |
|---|---|
|
Definir regras de descoberta de dados |
Saiba que tipo de dados confidenciais você coleta e armazena. Crie uma combinação de regras de descoberta de dados de correspondência de palavras-chave e expressões regulares específicas para sua organização. |
|
Verificar armazenamentos de dados em busca de dados confidenciais |
Verifique os armazenamentos de dados (incluindo imagens e arquivos de áudio) em busca de instâncias de dados confidenciais que correspondam às regras configuradas. |
|
Empregar métodos de validação de dados |
Use uma combinação de verificações, varredura de proximidade e processamento de termos compostos para validar os resultados da descoberta de dados. |
|
Criar políticas de descoberta específicas de conformidade |
Crie políticas para os regulamentos aos quais você é obrigado a aderir. Isso ajudará na prevenção de não conformidades e também agilizará os relatórios. |
|
Mapear os dados confidenciais descobertos |
Saiba onde seus dados mais críticos estão armazenados. Mantenha um inventário de instâncias de dados confidenciais e mantenha-o atualizado verificando os arquivos assim que eles forem criados e modificados. |
|
Categorize e classifique dados confidenciais |
Use métodos de classificação automatizados e manuais para marcar arquivos com base em sua sensibilidade. Isso ajudará você a definir políticas de proteção de dados com base nessas tags. |
|
Crie perfis de risco baseados em arquivos e usuários |
Descubra qual local de armazenamento é mais densamente composto por dados confidenciais e quais funcionários armazenam as informações mais pessoais. Analise os resultados da descoberta de dados e crie perfis de risco detalhados para seu repositório de armazenamento e usuários. |
Etapa 2: avaliar os riscos de segurança de dados
| O que fazer | Como fazer |
|---|---|
|
Localizar dados confidenciais armazenados fora de repositórios designados |
Certifique-se de que os dados críticos sejam armazenados apenas onde deveriam estar. Estabeleça fluxos de trabalho para movê-lo de compartilhamentos abertos e outras pastas não seguras para locais mais protegidos. |
|
Remover arquivos confidenciais armazenados além de seus períodos de retenção |
Evite penalidades por não conformidade listando arquivos antigos, obsoletos e não modificados e removendo-os ou arquivando-os se estiverem obsoletos. |
|
Detectar e descartar cópias duplicadas de arquivos críticos para manter a integridade dos arquivos mestre |
Melhore as práticas de armazenamento de dados listando e removendo cópias duplicadas de arquivos. |
|
Verificar o controle de acesso baseado em função e o privilégio mínimo |
Examine o NTFS e compartilhe permissões para verificar se os dados críticos só podem ser acessados por aqueles que precisam de acesso a eles para seu trabalho. |
|
Realizar revisões periódicas de direitos de acesso |
Evite o aumento de privilégios e direitos de acesso excessivos revisando as permissões periodicamente. |
|
Identificar e corrija instâncias de herança quebrada |
Corrija vulnerabilidades de segurança, como heranças quebradas e pastas acessíveis abertamente. |
|
Limitar a visibilidade de dados confidenciais |
Redija ou anonimize instâncias de informações pessoais de documentos para evitar divulgação desnecessária. |
Etapa 3: monitorar o acesso a dados críticos
| O que fazer | Como fazer |
|---|---|
|
Acompanhar as alterações feitas em arquivos críticos |
Rastreie arquivos de leitura, criação, modificação, substituição, movimentação, renomeação, exclusão e eventos de alteração de permissão em tempo real. |
|
Monitorar a integridade do arquivo |
Monitore atividades arriscadas, como tentativas malsucedidas de ler, gravar ou excluir arquivos e alterações críticas feitas fora do horário comercial. |
|
Definir alertas para ações de modificação, movimentação, exclusão e alteração de permissão de arquivos de alto risco |
Configure acionadores para receber notificações instantâneas sobre possíveis ameaças à segurança de dados e atividades anômalas de arquivos. |
|
Implementar sistemas antivírus e antimalware abrangentes |
Fique atento a arquivos infectados, indicadores de ataques de malware em andamento e outros sinais críticos de violações de dados iminentes com ferramentas de detecção de malware atualizadas. |
|
Implantar sistemas automatizados de resposta a incidentes de segurança |
Configure respostas para interromper a propagação de infecções de ransomware, desligar dispositivos infectados, desconectar sessões de usuários não autorizados e muito mais com base no alerta de segurança acionado. |
|
Automatizar relatórios de acesso para regulamentos de conformidade |
Gere relatórios prontos para auditoria para cumprir com o GDPR, PCI DSS, HIPAA e outros regulamentos. Armazene dados históricos de auditoria para requisitos legais e forenses. |
Etapa 4: regular a atividade do endpoint
| O que fazer | Como fazer |
|---|---|
|
Monitorar o uso de mídia de armazenamento removível |
Acompanhe e analise o uso de dispositivos removíveis — incluindo dispositivos de mídia removíveis, como USBs ou telefones celulares — em sua rede. |
|
Controlar o uso de unidades USB com listas de permissões e listas de bloqueio |
Restrinja o uso de dispositivos USB bloqueando seletivamente ações de leitura, gravação ou execução em USBs e evite o uso não autorizado usando listas de permissão e bloqueio. |
|
Gerenciar o uso de endpoints |
Impeça que os funcionários usem Wi-Fi, dispositivos Bluetooth, unidades de CD ou DVD e outros terminais para limitar a possível superfície de ataque para ameaças à segurança de dados. |
|
Evitar vazamentos de dados com políticas para tentativas de exfiltração de dados por meio de endpoints |
Personalize as políticas de prevenção de vazamento de dados (DLP) para casos de uso específicos da organização. |
|
Impedir que arquivos classificados sejam removidos da rede |
Mapeie políticas DLP para tags de classificação de arquivos para impedir granularmente que arquivos de uso restrito sejam removidos da rede organizacional por e-mail, unidades USB etc. |
|
Verificar vulnerabilidades periodicamente |
Avalie aplicaçõe e dispositivos de endpoint quanto a vulnerabilidades e corrija problemas antes que eles possam ser usados para realizar roubo de dados. |
|
Melhorar a conscientização do usuário |
Treine seus usuários finais sobre ataques de engenharia social para evitar vazamentos acidentais de dados de endpoints. |
|
Revisar e melhorar os processos de DLP |
A prevenção de vazamentos é um processo que deve ser mantido alinhado às mudanças nas condições e necessidades dos negócios. Monitore continuamente a estratégia de DLP que você implementou e melhore-a sempre que necessário. |
Etapa 5: implantar a proteção na nuvem
| O que fazer | Como fazer |
|---|---|
|
Auditar o uso da aplicação em nuvem |
Use a inspeção profunda de pacotes para auditar como os atores acessam as aplicações em nuvem. Analise os detalhes de upload, download e outras atividades no armazenamento em nuvem e plataformas como Box, Dropbox e Microsoft 365. |
|
Avaliar o risco associado ao acesso a aplicações da web |
Pontue os sites com base em sua reputação e tome medidas para limitar o uso de sites de baixa reputação. |
|
Rastrear acessos a aplicações shadow IT |
Monitore os usuários que acessam aplicações shadow IT e reúna detalhes sobre a frequência com que eles os acessam. |
|
Filtrar páginas da web não seguras |
Aplique medidas de controle de acesso em aplicações de nuvem para garantir que os funcionários não interajam com sites que incitem à violência, hospedem conteúdo impróprio, espalhem malware, iniciem campanhas de spam, promovam jogos de azar etc. |
|
Controlar uploads e downloads de arquivos |
Impeça que os usuários carreguem arquivos confidenciais para repositórios na nuvem e baixem arquivos potencialmente maliciosos. |
Isenção de responsabilidade: A segurança de dados requer uma variedade de soluções, processos, pessoas e tecnologias. Esta lista de verificação é fornecida apenas para fins informativos e não deve ser considerada como aconselhamento jurídico. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias, quanto à eficácia das informações contidas neste material.
Como a ManageEngine pode ajudá-lo a otimizar os processos de segurança de dados
Reforce suas medidas para proteger dados organizacionais em todos os seus estados — em repouso, em uso e em movimento — com o ManageEngine DataSecurity Plus. O DataSecurity Plus é uma plataforma unificada de visibilidade e segurança de dados que:
- Audita alterações de arquivos em tempo real, aciona respostas instantâneas a eventos críticos, encerra invasões de ransomware e ajuda as organizações a cumprir várias regulamentações de TI.
- Analisa o armazenamento de arquivos e as permissões de segurança, exclui arquivos indesejados e detecta vulnerabilidades de segurança de arquivos.
- Ajuda os usuários a avaliar os riscos associados ao armazenamento de dados confidenciais localizando e classificando arquivos contendo PII, PCI e ePHI.
- Evita vazamentos de dados via USBs, e-mail, impressoras e aplicações da web; monitora a integridade do arquivo;e audita o uso de aplicações em nuvem.