Quatro etapas simples para classificar seus dados e proteger sua startup

Um processo de classificação de dados permite distinguir entre dados confidenciais e dados destinados ao consumo público e permite que você manipule cada conjunto adequadamente. Uma startup que categorizou seus dados pode operar com mais eficiência e confiança em conformidade com leis como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e a Lei de Proteção ao Consumidor da Califórnia (CCPA).

Entender seus tipos de dados e seus níveis de sensibilidade garante que sua startup se mantenha à frente do uso ou divulgações não intencionais de dados e atenda aos requisitos de conformidade.

Para começar, este post fornece quatro etapas simples para simplificar e automatizar o processo de classificação de dados da sua startup.

1. Crie sua estrutura de classificação de dados

Primeiro, você estabelecerá quem tem permissão para acessar os dados da sua startup avaliando como classificar e controlar seus dados.

Avalie e classifique seus dados

A classificação de dados “envolve a identificação dos tipos de dados que estão sendo processados e armazenados em um sistema de informações de propriedade ou operado por uma organização”, conforme definido pelo whitepaper sobre Classificação de Dados da Amazon Web Services (AWS).

Para criar sua estrutura de classificação de dados, você avaliará seus dados primeiro. Para fazer isso, recomendamos agrupar os dados no mínimo possível de categorias, pois uma estrutura mais simples é mais fácil de gerenciar.

Para a maioria das empresas, esses três níveis devem abranger os casos de uso mais comuns da classificação de dados:

• Não classificado. Para dados de baixa segurança (como dados de sites públicos, catálogo de cursos etc.)
• Oficial. Para dados de segurança moderada (como comunicação oficial, memorandos internos etc.)
• Secreto. Para os dados mais confidenciais (como registros financeiros, propriedade intelectual, dados legalmente privilegiados etc.)

Como você classifica seus dados e onde os armazena serão informados pela natureza de sua empresa e seus requisitos legais. Por exemplo, se você processa cartões de crédito, deve cumprir os padrões do setor de cartões de pagamento (PCI), que são classificados como secretos.

Precisa de ajuda para classificar os dados? O Amazon Macie usa machine learning (ML) para automatizar a classificação de dados confidenciais e essenciais para os negócios. Ele usa machine learning (ML) e correspondência de padrões para detectar informações confidenciais, como números de cartão de crédito, dados de saúde e outros tipos de informações de identificação pessoal (PII).

Determine os controles de proteção de dados

Os controles de proteção de dados gerenciam como seus dados são usados, quem tem acesso a eles e como eles são criptografados.

Depois de atribuir seus conjuntos de dados aos níveis de classificação, você determinará quais controles se aplicam a cada categoria. Ao gerenciar cuidadosamente um sistema de classificação de dados apropriado, juntamente com o nível de requisitos de proteção de cada workload, você pode mapear os controles e o nível de acesso ou proteção apropriados para os dados.

Há muitos tipos de controles de proteção de dados, mas alguns comuns que você precisa conhecer são:

• Usar contas separadas para colocar recursos de workloads por nível de confidencialidade. O AWS Organizations permite que você crie e gerencie várias contas da AWS com facilidade.
• A configuração de políticas do IAM, das políticas de controle de serviços das organizações (SCPs), do  AWS Key Management Service (AWS KMS) e do  AWS CloudHSM permite que você defina e implemente suas políticas de classificação e proteção de dados com criptografia.
• Garantir que seus dados sejam armazenados e processados na região apropriada da AWS com base em seus requisitos de conformidade e residência de dados. A AWS nunca inicia a movimentação de dados entre regiões. O conteúdo colocado em uma região permanecerá nessa região, a menos que você habilite explicitamente um atributo ou use um serviço que forneça essa funcionalidade.
• Usar as regras do AWS Config para verificar automaticamente se você está usando criptografia para dados em repouso, por exemplo, para volumes do Amazon Elastic Block Store (Amazon EBS), instâncias do Amazon Relational Database Service (Amazon RDS) e buckets do Amazon Simple Storage Service (Amazon S3).
• Aplicação da criptografia em trânsito. Por exemplo, solicitações HTTP também podem ser redirecionadas automaticamente para HTTPS no Amazon CloudFront ou em um Application Load Balancer.

Os dados não classificados, por exemplo, podem estar disponíveis para qualquer pessoa em sua organização ou até mesmo externamente, enquanto os dados secretos podem exigir acesso autorizado a uma chave para serem descriptografados.

2. Marque seus dados

Para fins de segurança, as tags de metadados podem ajudar você a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Você pode usar etiquetas de segurança para identificar e agrupar seus recursos com base nos requisitos de confidencialidade e conformidade.

Agora que você sabe como classificar e proteger seus dados, você adicionará tags de metadados que designam seu nível de classificação. Essas tags fornecem uma referência para sua equipe e permitem automação e controles adicionais. Há muitas estratégias comuns de marcação, mas as tags que você pode querer usar para fins de segurança incluem:

• Confidencialidade: um identificador para o nível específico de confidencialidade de dados que um recurso suporta
• Conformidade: um identificador para workloads que devem atender a requisitos específicos de conformidade

Você pode usar tags para exigir criptografia, por exemplo, ou restringir quem pode acessar os dados. Se você ainda não tiver tags para seus recursos existentes, a AWS oferece ferramentas para ajudar a gerenciar tags de recursos em vários serviços:

• Os AWS Resource Groups e a API Resource Groups Tagging permitem o controle programático das tags, facilitando o gerenciamento, a pesquisa e o filtro de tags e recursos.
• O AWS Identity and Access Management (IAM) permite controlar o acesso a recursos usando tags.

Lembre-se: é muito fácil alterar as tags para acomodar as mudanças nos requisitos de negócios, mas considere as consequências de mudanças futuras. Por exemplo, alterar as tags de controle de acesso significa que você também deve atualizar as políticas que fazem referência a essas tags e controlar o acesso aos seus recursos

3. Redija dados confidenciais

A redação de dados limita os locais onde os dados confidenciais são armazenados e restringe o acesso àqueles que precisam deles, sem prejudicar os ambientes posteriores.

A automação da redação limita o risco de lançamentos inadvertidos de dados e ajuda as startups a cumprir os requisitos de privacidade à medida que navegam em um volume crescente de dados.

O Amazon Comprehend, em conjunto com os pontos de acesso do Amazon S3 Object Lambda, pode detectar mais de uma dúzia de tipos de PII, incluindo senhas, endereços, números de telefone e números de previdência social, e fazer redações automaticamente em documentos de texto.

4. Acompanhe a conformidade

A conformidade de dados identifica regras para proteção, segurança e armazenamento de dados. Ele estabelece políticas, procedimentos e protocolos e garante que os dados sejam protegidos contra acesso e uso não autorizados.

Em nossa etapa final, você monitorará seus dados para garantir que eles mantenham a conformidade. As regras do AWS Config e as AWS Foundational Security Best Practices no AWS Security Hub ajudam você a acompanhar como suas configurações de dados são configuradas e a notificá-lo se elas forem alteradas. Eles permitem que você garanta continuamente que seus padrões de segurança sejam atendidos.

Como proteger sua startup com a AWS

Quase todas as startups agora operam em um ambiente global e, cada vez mais, enfrentam requisitos diferentes em cada país em que fazem negócios.

Ao identificar os dados que você tem e implementar controles automatizados apropriados, você pode atender a esses requisitos com mais facilidade e, ao mesmo tempo, melhorar sua postura de segurança. Para ler mais, recomendamos o whitepaper AWS Data Classification. Também recomendamos revisar o AWS Well-Architected Framework, que ajuda você a entender os prós e os contras das decisões que você toma ao criar sistemas na nuvem e descreve como aproveitar as tecnologias de nuvem para proteger dados, sistemas e ativos de uma forma que possa melhorar sua postura de segurança.