O CIS (Centro de Segurança da Internet) — que consiste em vários especialistas do setor e líderes em agências governamentais — tem um conjunto de 18 diretrizes universais e independentes do setor, ou “controles críticos de segurança” que as organizações devem implementar, manter e aplicar para defesa cibernética.
Este artigo trata do Controle CIS 3 — um dos seis principais controles que o CIS considera um “controle básico”.
Proteção de Dados vs. Criptografia de Dados
Os dados empresariais não estão mais limitados a ambientes físicos, mas existem no local, na nuvem e em ambientes híbridos — e muitas vezes é compartilhado com parceiros ou serviços on-line de terceiros. Informações pessoais e sensíveis como dados de clientes, dados financeiros, dados de saúde, propriedade intelectual e muito mais são altamente regulamentados por leis de privacidade e proteção e padrões.
Proteção de dados não significa apenas criptografia de dados. Para atender à conformidade com a proteção e a privacidade, as organizações devem olhar além dos métodos tradicionais de segurança cibernética e se concentrar na coleta, no uso e na proteção adequados dos dados. gerenciamento, retenção, e muito mais. Eles devem gerenciar os dados adequadamente durante todo o seu ciclo de vida.
CIS Control 3 Salvaguardas
- Estabelecer e manter um processo de gerenciamento de dados
— Função de segurança: Identificar
Esses processos precisam abordar os níveis de sensibilidade dos dados, quem é o dono dos dados, limites de retenção de dados, e descarte de dados para uma organização com base na sensibilidade. - Estabelecer e manter um inventário de dados
— Função de segurança: Identificar
A prioridade do inventário deve ser dados confidenciais. - Configurar listas de controle de acesso a dados
— Função de segurança: Proteger
Garantir que cada usuário tenha permissões de acesso para os sistemas, bancos de dados e aplicativos necessários para fazer seu trabalho — e nada mais. - Aplicar retenção de dados
— Função de segurança: Proteger
Defina e aplique a retenção para prazos mínimos e máximos. - Descarte dados com segurança
— Função de segurança: Proteger
Defina e aplique o descarte de dados de acordo com o nível de sensibilidade. - Criptografar dados em dispositivos de usuários finais
— Função de segurança: Proteger
Reduza o risco de perda de dados em dispositivos roubados ou comprometidos criptografando os dados. - Estabelecer e manter um esquema de classificação de dados
— Função de segurança: Identificar
Definir e manter um estrutura de classificação baseada em sensibilidade, classificando os dados de acordo com rótulos que sejam relevantes para o negócio. O CIS recomenda “confidencial”, “sensível” e “público”, por exemplo. - Fluxos de dados de documentos
— Função de segurança: Identificar
Mapeie como os dados fluem por toda a organização para protegê-los ainda mais. - Criptografar dados em mídia removível
— Função de segurança: Proteger
Mídias removíveis apresentam maior risco de perda de dados por roubo ou comprometimento. - Criptografar dados confidenciais em trânsito
— Função de segurança: Proteger
Criptografe os dados em trânsito e garanta que a criptografia seja devidamente autenticada. - Criptografar dados confidenciais em repouso
— Função de segurança: Proteger
No mínimo, utilize criptografia do lado do servidor e, adicionalmente, adicione criptografia do lado do cliente. - Segmente o processamento e o armazenamento de dados com base na sensibilidade
— Função de segurança: Proteger
Garantir que os dados sejam processados e armazenados apenas de acordo com seu nível de sensibilidade - Implementar uma solução de prevenção contra perda de dados
— Função de segurança: Proteger
Proteja-se contra perda de dados usando ferramentas automatizadas, como uma ferramenta DLP (prevenção contra perda de dados) baseada em host. - Registrar acesso a dados confidenciais
— Função de segurança: Detectar
Mantenha registros de acesso a dados confidenciais para simplificar a resposta a incidentes em caso de violação.
Componentes dos controles CIS — e conformidade
O CIS Control 3 tem componentes que impactam diretamente a conformidade regulatória com uma série de regulamentações de proteção e privacidade, incluindo, mas não se limitando a:
As organizações que implementam controles CIS estão em melhor posição para atender à conformidade com essas regulamentações. Estrutura de segurança cibernética do NIST, que também fornece diretrizes para empresas que tentam fortalecer sua postura de segurança, também se alinha com muitos dos componentes do CIS CSC.
BigID, segurança de dados e controle CIS 3
Para atender às salvaguardas do CIS Control 3, as empresas devem entender seus dados de acordo com sua sensibilidade — e essa capacidade só vem com conhecendo seus dados — permitindo visibilidade completa de dados pessoais, confidenciais e críticos em qualquer lugar, na nuvem ou no local.
Com BigID's técnicas avançadas de classificação e cobertura, as organizações podem criar um inventário preciso, abrangente e atualizado de todos os ativos de dados, onde quer que estejam — na nuvem ou no local.
O BigID identifica automaticamente dados não utilizados, duplicados, semelhantes ou redundantes para reduzir a exposição indesejada e minimizar os dados. Com aplicativos adicionais para acesso à inteligência, retenção de dados, correção de dadose registros de atividades de processamento (RoPA), as organizações podem:
- Detecte dados vulneráveis, de alto risco e superexpostos
- Habilite políticas de retenção e regras de negócios — e aplique-as consistentemente em todos os tipos e fontes de dados
- Priorize os esforços de correção para identificar quais dados precisam ser marcados para remoção
- Automatizar a geração de fluxos de dados abrangendo transferências de dados
Além disso, o BigID permite que as equipes orquestrem fluxos de trabalho para que as pessoas certas possam tomar as medidas certas com base nos dados certos. Assuma o controle e marque os dados para criptografia, correção, remoção e muito mais com o BigID e seu ecossistema de integrações com ferramentas em todo o seu conjunto de tecnologias.
Descubra mais sobre como o BigID ajuda organizações com a proteção de dados de acordo com os Controles CIS. Agende uma demonstração hoje mesmo.
Autor
