Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosModelo
Modelo de Política de Proteção de Dados

Modelo de Política de Proteção de Dados

Ter uma política de segurança de dados documentada é uma melhor prática para toda organização — especialmente aquelas sujeitas a leis rigorosas de privacidade de dados como a California Consumer Privacy Act (CCPA) e o Regulamento Geral sobre a Proteção de Dados (GDPR) da UE.

As políticas de segurança de dados geralmente abordam tópicos como criptografia de dados, proteção de senhas e controle de acesso. No entanto, não se limitam a medidas técnicas; devem também detalhar os controles administrativos e físicos utilizados para proteger informações sensíveis. A política também precisa explicar os papéis e funções relacionados à proteção de dados.

Abaixo está um modelo de política de segurança de dados empresariais que você pode adaptar livremente para atender às exigências únicas de segurança e conformidade da sua organização.

Modelo de Política de Segurança de Dados

Aqui estão as seções principais para incluir na sua política de segurança de dados e alguns exemplos de políticas de segurança de dados para você explorar.

1. Propósito

Nesta seção, você explica por que esta política está em vigor e o que as pessoas devem esperar agora que está sendo utilizada. Por exemplo:

A empresa deve restringir o acesso a dados confidenciais e sensíveis para protegê-los de serem perdidos ou comprometidos, pois qualquer incidente pode impactar negativamente nossos clientes e resultar em penalidades por não conformidade e danos à nossa reputação. Ao mesmo tempo, devemos garantir que os usuários possam acessar os dados conforme necessário para que trabalhem de forma eficaz.

Não se espera que esta política possa eliminar todos os furtos maliciosos de dados. Em vez disso, seu principal objetivo é aumentar a conscientização dos usuários e evitar cenários de perda acidental, portanto, ela delineia as melhores práticas para prevenção de violação de dados.

2. Escopo

2.1 No Escopo

Nesta seção, você lista todas as áreas que estão sob a política, como fontes de dados e tipos. Aqui está um exemplo de seção "Dentro do Escopo" de uma política de proteção de dados:

Esta política de segurança de dados aplica-se a todos os dados de clientes, dados pessoais e outros dados da empresa definidos como sensíveis pela política de Data Classification da empresa. Portanto, aplica-se a todos os servidores, bancos de dados e sistemas de TI que lidam com tais dados, incluindo qualquer dispositivo regularmente utilizado para e-mail, acesso à web ou outras tarefas relacionadas ao trabalho. Todo usuário que interage com os serviços de TI da empresa também está sujeito a esta política.

2.2 Fora do Escopo

Esta seção é onde você define o que está excluído da sua política de segurança de dados. Por exemplo:

Informações classificadas como Públicas não estão sujeitas a esta política. Outros dados podem ser excluídos da política pela gestão da empresa com base em necessidades comerciais específicas, como por exemplo quando a proteção dos dados é demasiado dispendiosa ou complexa.

3. Política

Este é o corpo da política onde você declara todos os requisitos da política. Aqui está um exemplo:

3.1 Princípios

A empresa deve fornecer a todos os funcionários e terceiros contratados acesso às informações de que precisam para desempenhar suas responsabilidades da forma mais eficaz e eficiente possível.

3.2 Geral

a. Cada usuário deve ser identificado por um ID de usuário único para que os indivíduos possam ser responsabilizados por suas ações.

b. O uso de identidades compartilhadas é permitido apenas quando são adequadas, como contas de treinamento ou contas de serviço.

c. Cada usuário deve ler esta política de segurança de dados e assinar uma declaração confirmando que compreende as condições de acesso.

d. Os registros de acesso do usuário podem ser usados para fornecer evidências em investigações de incidentes de segurança.

e. O acesso deve ser concedido com base no princípio do menor privilégio, o que significa que cada usuário, aplicativo e serviço receberá os menores privilégios necessários para completar suas tarefas.

3.3 Controle de Acesso à Autorização

O acesso aos recursos e serviços de TI da empresa será concedido por meio de uma conta de usuário única e senha complexa. As contas são fornecidas pelo departamento de TI com base nos registros de RH.

O Service Desk de TI gerencia senhas. Os requisitos para comprimento, complexidade e expiração das senhas estão estabelecidos na política de senhas da empresa.

O controle de acesso baseado em funções (RBAC) será utilizado para proteger o acesso a todos os recursos baseados em arquivos nos domínios do Active Directory.

3.4 Acesso à Rede

a. Todos os funcionários e contratados devem receber acesso à rede de acordo com os procedimentos de controle de acesso empresarial e o princípio do menor privilégio.

b. Todos os funcionários e contratados com acesso remoto às redes da empresa devem ser autenticados apenas pelo mecanismo de autenticação VPN.

c. A segregação de redes deve ser implementada conforme recomendado pela pesquisa de segurança de rede da empresa. Os administradores de rede devem agrupar serviços de informação, usuários e sistemas de informação conforme apropriado para alcançar a segregação exigida.

d. Controles de roteamento de rede devem ser implementados para dar suporte à política de controle de acesso.

3.5 Responsabilidades do Usuário

a. Todos os usuários devem bloquear suas telas sempre que deixarem suas mesas para reduzir o risco de acesso não autorizado.

b. Todos os usuários devem manter seu local de trabalho livre de qualquer informação sensível ou confidencial quando saírem.

c. Todos os usuários devem manter suas senhas confidenciais e não compartilhá-las.

3.6 Aplicação e Acesso à Informação

a. Todos os funcionários e contratados da empresa devem receber acesso aos dados e aplicações necessários para suas responsabilidades profissionais.

b. Todos os funcionários e contratados da empresa só terão acesso a dados sensíveis e sistemas se houver uma necessidade comercial para isso e tiverem aprovação da alta gestão.

c. Sistemas sensíveis devem ser fisicamente ou logicamente isolados para restringir o acesso apenas ao pessoal autorizado.

3.7 Acesso a Informações Confidenciais ou Restritas

a. O acesso a dados classificados como ‘Confidencial’ ou ‘Restrito’ deve ser limitado a pessoas autorizadas cujas responsabilidades profissionais o exijam, conforme determinado pela Política de Segurança de Dados ou pela alta gestão.

b. A responsabilidade de implementar restrições de acesso está a cargo do departamento de Segurança de TI.

4. Diretrizes Técnicas

As diretrizes técnicas no seu modelo de política de proteção de dados devem especificar todos os requisitos para controles técnicos usados para conceder acesso aos dados. Aqui está um exemplo:

Os métodos de controle de acesso a serem utilizados devem incluir:

  • Auditoria de tentativas de login em qualquer dispositivo na rede da empresa
  • Permissões NTFS do Windows para arquivos e pastas
  • Modelo de acesso baseado em funções
  • Direitos de acesso ao servidor
  • Permissões de firewall
  • Zona de rede e ACLs de VLAN
  • Direitos de autenticação na web
  • Direitos de acesso a banco de dados e ACLs
  • Criptografia em repouso e em trânsito
  • Segregação de rede

O controle de acesso se aplica a todas as redes, servidores, estações de trabalho, laptops, dispositivos móveis, aplicações web, sites, armazenamento em nuvem e serviços.

5. Requisitos de Relatório

Esta seção descreve os requisitos para relatar quaisquer incidentes que ocorram. Todos os funcionários devem ser obrigados a aprender como relatar incidentes.

a. Relatórios diários de incidentes devem ser produzidos pelo departamento de Segurança da TI ou pela Equipe de Resposta a Incidentes.

b. O departamento de Segurança da TI deve produzir relatórios semanais detalhando todos os incidentes e enviá-los ao gerente ou diretor de TI.

c. Incidentes de alta prioridade descobertos pelo departamento de Segurança de TI devem ser imediatamente escalados para o gerente de TI.

d. O departamento de Segurança da TI também deverá produzir um relatório mensal mostrando o número de incidentes de segurança da TI e a porcentagem que foi resolvida.

6. Propriedade e Responsabilidades

Aqui, você deve declarar quem possui o quê e quem é responsável por quais ações e controles. Aqui estão alguns papéis comuns:

  • Os proprietários de dados são funcionários que têm a responsabilidade principal de manter as informações que possuem, como um executivo, gerente de departamento ou líder de equipe.
  • Administrador de Segurança da Informação é um funcionário designado pela gestão de TI que fornece suporte administrativo para implementar, supervisionar e coordenar procedimentos e sistemas de segurança relacionados a recursos de informação específicos.
  • Usuários incluem todos com acesso a recursos de informação, como empregados, administradores, contratados, consultores, funcionários temporários e voluntários.
  • A Equipe de Resposta a Incidentes será presidida por um executivo e incluirá funcionários de departamentos como Infraestrutura de TI, Segurança de Aplicações de TI, Jurídico, Serviços Financeiros e Recursos Humanos.

7. Aplicação

Este parágrafo deve declarar claramente as penalidades por violações de controle de acesso para que não haja espaço para mal-entendidos. Por exemplo:

Qualquer usuário que for encontrado em violação desta política está sujeito a ações disciplinares, até e incluindo a rescisão do contrato de trabalho. Qualquer parceiro terceirizado ou contratado que for encontrado em violação poderá ter sua conexão de rede terminada.

8. Definições

Este parágrafo define quaisquer termos técnicos usados na política para que os leitores saibam exatamente o que é significado. Aqui estão alguns exemplos:

  • Lista de controle de acesso (ACL): Uma lista de entradas de controle de acesso (ACEs). Cada ACE em uma ACL identifica um curador e especifica os direitos de acesso permitidos, negados ou auditados para esse curador.
  • Base de dados: Uma coleção organizada de dados, geralmente armazenada e acessada eletronicamente a partir de um sistema de computador.
  • Criptografia: O processo de codificar uma mensagem ou outra informação de modo que apenas partes autorizadas possam acessá-la.
  • Firewall: Uma tecnologia utilizada para isolar uma rede de outra. Firewalls podem ser autônomos ou incluídos em outros dispositivos, como roteadores ou servidores.
  • Segregação de rede: A separação da rede em unidades lógicas ou funcionais chamadas zonas. A segregação ajuda a prevenir que atores de ameaças se movimentem lateralmente pela rede.
  • Controle de acesso baseado em funções (RBAC): Um modelo para conceder privilégios com base nas funções de trabalho do usuário.
  • Servidor: Um programa de computador ou dispositivo que fornece funcionalidades para outros programas ou dispositivos, chamados clientes.
  • Rede privada virtual (VPN): Uma conexão de rede privada segura através de uma rede pública.
  • VLAN (virtual LAN): Um agrupamento lógico de dispositivos no mesmo domínio de broadcast.

9. Documentos Relacionados

Esta seção lista todos os documentos relacionados à política e fornece links para eles. Esta lista pode incluir links para as seguintes informações:

10. Histórico de Revisões

Uma política de proteção de dados deve ser regularmente revisada e expandida para cobrir novos ativos e operações à medida que são adicionados ao seu negócio. Cada alteração deve ser documentada, conforme ilustrado abaixo.

Versão


Data

Autor

Alterações

1.0

12 de junho de 2019

J.Smith, Gerente de TI

Versão Inicial

2.0

14 de julho de 2022

J. Smith, Gerente de TI

Lista de Definições Atualizadas

Conclusão

Estes exemplos de política de proteção de dados são projetados para fornecer uma estrutura para a criação de uma política única que funcione para a sua organização. Esforce-se para equilibrar uma proteção de dados robusta com a produtividade e conveniência do usuário, e certifique-se de que sua política seja acessível, concisa e fácil de entender.

Netwrix Auditor

Direcione seus esforços de proteção de dados para salvaguardar seus ativos mais críticos

Obter uma demonstração

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management