Modelo de avaliação de risco de dados
Etapa 1: Descubra dados confidenciais e classifique-os
| O que fazer | Como fazer isso |
|---|---|
|
Defina seus dados confidenciais |
Defina claramente que tipo de dados são considerados confidenciais para sua organização. Pode incluir informações de identificação pessoal (PII), dados financeiros, registros de saúde, propriedade intelectual e planos de negócios confidenciais. |
|
Crie regras de descoberta de dados |
Crie regras para identificar padrões de dados, formatos ou palavras-chave específicos associados a dados confidenciais. Use uma combinação de expressão regular e correspondência de palavras-chave para criar regras de descoberta de dados específicas para sua organização. |
|
Identifique ativos de dados |
Analise seu armazenamento de dados para localizar instâncias de dados confidenciais que correspondam às regras criadas em sua organização. |
|
Classifique os dados |
Assim que os dados descobertos forem validados, marque-os com base na confidencialidade (como público, interno, confidencial, restrito etc.) para priorizar os esforços de proteção. |
|
Mapeie o fluxo de dados |
Mapeie o fluxo de dados em toda a organização, começando pela coleta, armazenamento, processamento e transmissão de dados. Isso garante uma transparência clara em toda a organização. |
Etapa 2: Identifique ameaças e vulnerabilidades
| O que fazer | Como fazer isso |
|---|---|
|
Identifique possíveis ameaças |
Liste as ameaças internas e externas mais comuns que sua organização provavelmente encontrará, como malware, phishing, ameaças internas, ameaças persistentes avançadas (APTs) e acesso não autorizado. |
|
Identifique possíveis vulnerabilidades |
Identifique e avalie vulnerabilidades no hardware, software e redes da organização. |
Etapa 3: Avalie e analise riscos
| O que fazer | Como fazer isso |
|---|---|
|
Crie uma matriz de risco |
Formule uma matriz de risco e atribua classificações de risco a diferentes ameaças e vulnerabilidades com base na probabilidade de ocorrência e no impacto potencial nos dados da sua organização. |
|
Avalie os controles de segurança atuais em busca de lacunas |
Avalie os controles de segurança existentes, como firewalls, criptografia, controles de acesso e sistemas de detecção de intrusões. Identifique lacunas entre os controles atuais e as práticas recomendadas. |
Etapa 4: Aplique estratégias de mitigação
| O que fazer | Como fazer isso |
|---|---|
|
Elabore um plano de resposta a incidentes |
Crie e teste um plano de resposta a incidentes para lidar com violações de dados e incidentes de segurança cibernética de maneira eficaz. |
|
Gerenciar controles de acesso |
Certifique-se de que sejam estabelecidos controles de acesso adequados, limitando o acesso aos dados com base nas funções e responsabilidades do trabalho. |
|
Criptografe seus dados |
Implemente criptografia para dados em repouso, em trânsito e em uso para evitar acesso não autorizado. |
|
Projete treinamento de segurança cibernética para funcionários |
Realize treinamentos regulares de conscientização sobre segurança cibernética para os funcionários, a fim de promover práticas recomendadas e reduzir riscos relacionados aos seres humanos. |
|
Configure um plano de backup e recuperação de dados |
Estabeleça uma estratégia de backup de dados 3-2-1 para garantir que os dados estejam protegidos e disponíveis em caso de violação. |
|
Atualize patches de segurança e software |
Mantenha um processo robusto de gerenciamento de patches para garantir que os sistemas e software sejam atualizados. |
|
Mantenha-se atualizado sobre os requisitos de conformidade |
Revise os regulamentos de conformidade relevantes para sua organização e certifique-se de que suas medidas de segurança cibernética os atendam adequadamente. |
|
Revise suas etapas de avaliação de risco e continue se adaptando |
Conduza auditorias e revisões periódicas do seu processo de avaliação de risco de dados e faça os ajustes necessários com base nas mudanças nas ameaças e na tecnologia. |
Isenção de responsabilidade: T Esta lista de verificação é fornecida apenas para fins informativos e não deve ser considerada como aconselhamento jurídico. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias quanto a eficácia das informações neste material.
Como o DataSecurity Plus da ManageEngine pode te ajudar a agilizar a avaliação de risco de dados
Com o DataSecurity Plus, é possível descobrir facilmente dados confidenciais em seu armazenamento de dados, classificá-los com base em níveis de confidencialidade e analisar a propriedade e as permissões dos arquivos. O módulo de Análise de Risco do DataSecurity Plus pode:
- Fazer varredura de dados confidenciais em seus repositórios de dados usando expressões regulares padrão e personalizadas e regras de descoberta de dados de correspondência de palavras-chave, com impacto mínimo em sua produtividade.
- Criar políticas específicas de conformidade para descobrir dados confidenciais rapidamente e verificar se estão suficientemente protegidos, conforme os requisitos.
- Criar perfis de classificação abrangentes para marcar arquivos com base em níveis de confidencialidade.
- Configurar alertas para detectar dados que violam políticas de armazenamento de dados confidenciais e executar scripts personalizados para corrigir essas violações.