Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Classificação de Informação para Conformidade com ISO 27001

Classificação de Informação para Conformidade com ISO 27001

Dec 11, 2020

A ISO 27001 exige que as organizações identifiquem, classifiquem e protejam os ativos de informação com base na sua sensibilidade e valor comercial. O Anexo A.8 descreve as responsabilidades pela posse, classificação e manuseio seguro dos ativos, incluindo rotulagem e controles de mídia. Uma classificação eficaz garante que os dados críticos recebam a maior proteção, enquanto ativos menos sensíveis são gerenciados com controles apropriados, apoiando a conformidade, a gestão de riscos e a eficiência de custos.

ISO 27001 é uma norma internacional que se concentra na segurança da informação. Esta norma orienta a criação, implementação, manutenção e melhoria contínua de um sistema de gestão de segurança da informação (ISMS). Para alcançar a conformidade, você precisa de:

  • Compreenda quais ativos de dados você possui, o valor deles e quem são os proprietários dos ativos
  • Priorize eficazmente controles de segurança e processos
  • Proteja adequadamente seus ativos críticos, incluindo sua confidencialidade, integridade e disponibilidade (o triângulo CIA)
  • Implemente a gestão de riscos avaliando o valor dos seus dados e o impacto caso dados específicos sejam perdidos, usados indevidamente ou comprometidos.

O padrão é voluntário, mas empresas ao redor do mundo optam por segui-lo. Os requisitos são adequados para organizações de qualquer tamanho em todas as indústrias, especialmente no ambiente rico em dados e arriscado de hoje. Estar em conformidade com a ISO 27001 mostra aos auditores e clientes que uma empresa possui níveis adequados de proteção para suas informações valiosas. Também ajuda as empresas a cumprirem com requisitos legais, obterem uma vantagem competitiva, melhorarem a produtividade e reduzirem custos.

A ISO 27001 é dividida em anexos para tratar áreas específicas. Neste artigo, exploraremos os requisitos principais do Anexo A.8, que regula a gestão de ativos.

Anexo A.8: Gestão de Ativos

Anexo A.8 especifica os tipos de controles que as organizações precisam implementar para garantir a identificação precisa dos ativos de segurança da informação, designar responsabilidade pela segurança e garantir que os ativos de dados sejam protegidos com base em seus níveis de classificação. Os controles definidos pela regulamentação que são divididos em controles técnicos, organizacionais, legais, físicos e de recursos humanos.

Observe que a ISO 27001 não especifica uma lista exata de ativos sensíveis; sua organização toma essa decisão usando seu melhor julgamento.

O anexo é dividido em três principais subpartes, que são descritas brevemente abaixo. Em seguida, faremos uma análise mais aprofundada da segunda subparte, que diz respeito à data classification.

Conteúdo relacionado selecionado:

A.8.1 Responsabilidade pelos Ativos

O objetivo de A.8.1 é identificar os ativos de dados que estão dentro do escopo para o ISMS e definir as responsabilidades de proteção. Execute uma descoberta para identificar todos os ativos de informação dentro da sua organização, como registros em papel, arquivos digitais, dispositivos removíveis e e-mail. Em seguida, crie um registro de ativos. Para cada ativo, atribua a um proprietário de dados a responsabilidade de protegê-lo.

A.8.2 Classificação de Ativos

Classificar seus ativos é um dos passos mais importantes que você pode tomar para proteger seus dados adequadamente e torná-los acessíveis àqueles que precisam. A classificação permite que você proteja cada ativo no nível de segurança apropriado: Você gasta menos recursos com dados menos sensíveis e fornece uma proteção robusta para seus ativos mais sensíveis.

A.8.3 Procedimentos para Dispositivos de Mídia

Subparte A.8.3 é projetada para ajudar organizações a prevenir a divulgação, modificação, remoção ou destruição não autorizadas de informações armazenadas em mídias removíveis, como pen drives, CD-ROMs e discos rígidos destacáveis. Inclui também controles para o descarte ou transferência adequados dessas mídias para proteger contra data breaches, como o uso de transportadoras autorizadas e embalagens seguras, mantendo um registro de todo o conteúdo dos dados e seu nível de proteção.

Um Mergulho Profundo no Anexo A.8.2: Classificação da Informação

Conforme discutido acima, o Anexo A.8.2 abrange a classificação de dados e a rotulagem de cada ativo de acordo com sua sensibilidade ou importância para a sua organização, para que você possa implementar proteções adequadas (como restrições de acesso) com base nesses níveis. Aqui estão as subpartes do Anexo A.8.2.

A.8.2.1 Classificação da Informação

O esquema ideal de classificação de informações é aquele que reflete a atividade empresarial, em vez de inibi-la ou complicá-la. Construa seu esquema de acordo com a sensibilidade dos seus dados, requisitos legais, criticidade e valor, para que você possa dar a cada ativo um nível apropriado de proteção.

A maioria das empresas começa com apenas três ou quatro categorias. Por exemplo, o classification scheme para a Universidade de Bath no Reino Unido classifica as informações nestes grupos:

  • Altamente restrito — Requer medidas de segurança significativas com acesso estritamente controlado e limitado.
  • Restrito — Requer medidas de segurança e acesso limitado, mas não significativo ou estritamente controlado.
  • Uso interno — Não requer proteção adicional.

Um exemplo de um esquema de classificação com quatro categorias é confidencial, restrito, interno e público.

A.8.2.2 Rotulagem de Dados

Tanto os ativos físicos quanto os eletrônicos devem ser etiquetados com suas categorias. As etiquetas devem ser fáceis de gerenciar para que os funcionários as utilizem de maneira adequada. Por exemplo, você pode etiquetar documentos em papel carimbando-os como “secreto” ou “confidencial”. Os dados eletrônicos geralmente são etiquetados usando metadados.

A.8.2.3 Tratamento de Dados

O manuseio de dados refere-se a como os dados podem ser utilizados e por quem podem ser usados. Por exemplo, você pode decidir que certos ativos de dados podem ser lidos, mas não copiados por determinados grupos de usuários.

Existem múltiplos controles para a aplicação de políticas de manuseio de dados. Pode ser necessário que os seus ativos mais sensíveis sejam criptografados para que apenas indivíduos com uma autorização específica possam acessá-los. Ativos físicos importantes podem ser mantidos em um armário trancado ou cofre. Procedimentos para dispositivos de mídia devem estar em conformidade com A.8.2.3.

Como a Netwrix pode ajudar

A Netwrix Data Security Platform ajuda você a alcançar, manter e demonstrar conformidade com a ISO fornecendo a inteligência de segurança necessária para:

Ainda melhor, a plataforma suporta tanto sistemas de dados locais quanto em nuvem, e tanto dados estruturados quanto não estruturados.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

De ruído a ação: transformando risco de dados em resultados mensuráveis

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança