Esta série de documentos fornece estratégias para avaliar e mitigar o risco de dados na sua organização. Também descreve e compara dois serviços de proteção de dados confidenciais que ajudam a saber mais sobre a sua postura de segurança de dados atual.
Objetivos da gestão de risco de dados
A gestão do risco de dados envolve o armazenamento, o tratamento e a utilização dos seus dados nos níveis de risco adequados para a sua empresa. Quando realizar a gestão de riscos de dados, recomendamos que procure alcançar os seguintes objetivos:
- Os seus dados são descobertos e classificados corretamente.
- O risco de exposição de dados é compreendido corretamente.
- Os dados estão protegidos por controlos adequados ou são desprovidos de risco através da ocultação.
Ao avaliar as suas cargas de trabalho de dados, pode começar por fazer estas perguntas:
- Que tipo de dados esta carga de trabalho processa e algum deles é sensível?
- Estes dados estão devidamente expostos? Por exemplo, o acesso aos dados está restrito aos utilizadores certos, no ambiente certo e para um objetivo aprovado?
- É possível reduzir o risco destes dados através de estratégias de minimização e ocultação de dados?
Adotar uma abordagem bem informada e baseada em riscos pode ajudar a tirar o máximo partido dos seus dados sem comprometer a privacidade dos seus utilizadores.
Exemplo de análise
Para este exemplo, suponhamos que a sua equipa de dados está a tentar criar um modelo de aprendizagem automática com base no feedback dos clientes nas críticas de produtos.
Que tipo de dados esta carga de trabalho processa e algum deles é sensível?
Na carga de trabalho de dados, verificou que a chave principal usada é o endereço de email do cliente. Os endereços de email dos clientes contêm frequentemente os nomes dos clientes. Além disso, as críticas de produtos reais contêm dados não estruturados (ou dados de forma livre) enviados pelo cliente. Os dados não estruturados podem conter instâncias intermitentes de dados confidenciais, como números de telefone e moradas.
Estes dados estão devidamente expostos?
Descobriu que os dados só estão acessíveis à equipa do produto. No entanto, quer partilhar os dados com a sua equipa de análise de dados para que possam usá-los para criar um modelo de aprendizagem automática. A exposição dos dados a mais pessoas também significa a exposição a mais ambientes de desenvolvimento onde estes dados são armazenados e tratados. Determinou que o risco de exposição vai aumentar.
É possível reduzir o risco destes dados através de estratégias de minimização e ocultação de dados?
Sabe que a equipa de estatísticas não precisa de nenhuma das informações de identificação pessoal (PII) confidenciais reais no conjunto de dados. No entanto, têm de agregar os dados por cliente. Precisam de uma forma de determinar que críticas pertencem ao mesmo cliente. Para responder a esta necessidade, decide tokenizar todos os PII estruturados, ou seja, os endereços de email dos clientes, para manter a integridade referencial dos seus dados. Também decide inspecionar os dados não estruturados, ou seja, as críticas, e ocultar quaisquer dados confidenciais intermitentes nos mesmos.
O que se segue?
- Compare os serviços de proteção de dados confidenciais que ajudam a saber mais sobre os seus dados (próximo documento desta série)