Ciclo de vida dos dados: sua empresa está gerenciando?

O grande volume de dados gerados pelas empresas no cenário atual exige um cuidado adicional com o gerenciamento e proteção do ciclo de vida dos dados. A preocupação dos gestores e profissionais de TI é compreensível, já que precisam atender à demanda crescente de armazenamento, bem como de banda de rede e de sistemas de segurança para prover os requisitos básicos de confidencialidade, integridade e disponibilidade dos dados.

As políticas baseadas no fluxo de dados que alimentam os sistemas de informação ao longo do seu ciclo de vida, desde a criação, armazenamento, processamento, compartilhamento e exclusão após ficarem obsoletos, requerem políticas e sistemas de segurança para evitar violação nos dados, como quebra de integridade, perda de dados e vazamentos para pessoas não autorizadas.

Imagine que um dado específico é coletado e em seguida é inserido num Banco de Dados. Outros dados serão gerados e capturados com a frequência definida pelo DBA e serão utilizados para a geração de relatórios e análises de BI (Business Intelligence). Estes dados precisarão ser validados durante o seu ciclo de vida para garantir a sua integridade e consistência. Ao final do seu ciclo de vida, estes dados poderão ser arquivados para consulta futura ou então serão eliminados.

Benefícios da gestão de dados para as empresas

Segurança dos dados

Conforme a figura 1 abaixo, todo o ciclo de vida dos dados deve combinar políticas de segurança, como as práticas recomendadas pela IS0 27001, simultaneamente com ferramentas para protegerem os dados contra violações.

De acordo com o valor dos dados definidos pela organização, considerando a sua importância econômica, impacto para os processos da organização e capacidade para a sua recuperação em caso de incidentes, o gestor deverá aplicar mais controles conforme a sua política de segurança.

Figura 1 – Ciclo de Vida dos Dados

Na prática, a função do gerenciamento do ciclo de vida é garantir a proteção econômica dos dados e sua importância como ativo para a organização. O que significa que dados estratégicos e sensíveis devem receber um alto nível de proteção, dados necessários devem receber um nível de proteção moderado, e dados obsoletos e que não devem mais ser armazenados devem ser excluídos para diminuir os custos de armazenamento e riscos de exposição para a empresa.

Disponibilidade dos dados

A disponibilidade é o grau em que o dado está disponível para o usuário e para o sistema de informação quando a organização precise.

As características de disponibilidade que devem ser avaliadas:

• Pontualidade: Os sistemas de informação estão disponíveis quando for necessário? • Continuidade: O pessoal pode continuar trabalhando no caso de um desastre? Os clientes não serão afetados? • Robustez: Há capacidade suficiente para permitir que todos os usuários utilizem o sistema simultaneamente com a performance adequada?

Os dados coletados devem ser armazenados e acessados em diferentes frequências, dependendo da sua importância. Dados recentes e utilizados em tempo real podem ficar disponíveis em armazenamento primário (cache de CPU, SAN em fibre channel). Já os dados de menor importância e com menos frequência de acesso, podem ser armazenados em dispositivos secundários, como discos rígidos SATA, e os dados que precisam apenas de arquivamento de longo prazo podem ser armazenados em dispositivos terciários, com maior latência e menor custo, como armazenamento à frio em nuvem ou armazenamento em fita. Para saber mais sobre armazenamento e backup em fita, veja o nosso post Backup em fita está ultrapassado?

Uma forma de hierarquizar o gerenciamento de arquivos é a criação de Tiers (figura 2) balanceando a performance de acesso X custo de armazenamento do GB (Gigabyte). Arquivos e dados usados com pouca frequência são armazenados em mídias de menor custo. Os dados são classificados e administrados de acordo com parâmetros de último acesso, frequência de uso, tamanho do arquivo, importância e tempo necessário para restauração (RTO – Recovery Time Objective).

Figura 2 – hierarquia de armazenamento

Integridade dos dados

A integridade é a manutenção e a garantia da consistência de dados durante todo ciclo de vida da informação.

A infraestrutura de TI que cumpre com esse atributo de segurança deve garantir que em casos de acessos indevidos, invasão, usuários mal-intencionados; não seja comprometida a integridade (exatidão) da informação, sistemas ou dados.

São características da integridade de dados:

• Autenticidade: certeza de que a informação pertence ao autor declarado • Não-repúdio: impossibilidade de negar a responsabilidade sobre os dados, sendo muito importante para o comércio eletrônico • Rastreabilidade: grau de facilidade para checar a origem e consistência das informações

Seguem algumas medidas para garantir a integridade dos dados:

• Técnicas de criptografia para transporte e armazenamento de dados • Armazenamento de logs de usuários, com os registros de acessos e modificações das informações • Alterações de sistemas e dados devem ser revisados e autorizados. A inclusão, alteração e exclusão de qualquer informação deve ser revisada pela equipe de TI • Assinatura digital com Certificado Digital para validade jurídica

Estágios do ciclo de vida dos dados

Os especialistas da Storage Networking Industry Association (SNIA), recomendam as seguintes práticas para o gerenciamento dos dados:

Estágio 1: Produção e coleta de dados

A aquisição e captura de dados ocorrem no início ciclo, quando se obtém informações através de um preenchimento de formulário eletrônico, ou mesmo por um atendente de call center que está alimentando algum processo de negócio.

Nesse estágio, é importante que os responsáveis pela entrada dos dados garantam que as informações recebidas são as mais precisas possíveis. Já na aquisição dos dados, um esquema importante para a classificação de dados envolve a categorização como públicos, internos, restritos ou sensíveis. O objetivo é estabelecer um conjunto de parâmetros para categorizar os dados e estabelecer os níveis de acesso.

Estágio 2: Armazenamento

No próximo estágio, os dados inseridos no sistema passam por algum método de armazenamento que garanta segurança e redundância.

Para o armazenamento de dados, deve ser considerado também a elasticidade da infraestrutura de armazenamento para acompanhar a demanda, podendo ser disponibilizado volume de TB (Terabyte) de forma on-line, como nas soluções virtualizadas em nuvem de IaaS (Infrastructure as a Service).

Deve ser considerado também métodos de redundância de dados, como sistemas de RAID (Redundant Array of Independent Disks) e métodos de restauração em casos de desastres ou perda de dados, como sistemas profissionais de backup.

Estágio 3: Processamento

Neste estágio, deve ser considerado as operações e sistemas que envolvam o processamento dos dados.

Como boa prática, é importante realizar um inventário das principais aplicações, sistemas e banco de dados que são responsáveis pelos processos da organização.

Estes aplicativos estão devidamente protegidos contra acessos indevidos? Possuem autenticação com política de senha forte e com dupla verificação?

Estágio 4: Compartilhamento

As operações que envolvam a transmissão, distribuição, difusão e compartilhamento de dados requerem da área de TI a verificação da classificação da informação.

Dados corporativos de uso restrito precisam de camadas de proteção maior para evitar acesso indevido, bem como dados pessoais sensíveis conforme previstas na LGPD (Lei Geral de Proteção de Dados Pessoais) requerem medidas contra violações, como de vazamento de dados.

Estágio 5: Retenção e Eliminação

Nesta fase final do ciclo de vida, os dados obsoletos e sem interesse para a organização deverão ser eliminados com segurança. Porém, os dados com baixa frequência de acesso, de baixo grau de importância ou que possuem alguma regra de negócio de retenção por período maior deverão continuar armazenados, como em sistemas de archiving, também conhecidos como “arquivo morto”.

Para a exclusão definitiva dos arquivos, uma boa prática é a sanitização de dados que consiste em apagar de forma irreversível as informações armazenadas em discos rígidos, SSDs, pendrives ou de outras mídias.

Como melhor prática, pode ser consultado o relatório do NIST 800-88 [1], com as técnicas de destruição das mídias e limpeza dos dados de forma definitiva.

Conclusão

Mesmo para Pequenas Empresas é importante contar com processos de gestão do ciclo de vida dos dados.

A sua empresa ganhará com a classificação dos dados, mapeamento dos principais sistemas de informação e identificação de possíveis vulnerabilidades que podem ser exploradas tanto por usuários mal intencionados como por atacantes externos.

Conte com o apoio de profissionais de TI especializados em segurança da informação e MSPs (Managed Service Providers) para aumentar o nível de segurança do seu negócio, de forma simples e com valor que caiba no seu orçamento.

Compartilhe

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on telegram
Telegram
Share on whatsapp
WhatsApp
Share on email
Email

Registre-se em nossa Newsletter

Fique por dentro das principais notícias que envolvem o mundo da TI, tanto segurança da informação, quanto atualizações de recursos indisponsáveis.

2020 © Todos os direitos reservados