Vídeo: "Games as a service" is fraud. 2024
As informações sensíveis, tais como registros financeiros, dados do funcionário e informações sobre os clientes, devem ser claramente marcadas, devidamente tratadas e armazenadas e devidamente destruídas de acordo com as políticas, padrões e procedimentos organizacionais estabelecidos:
- Marcação: Como uma organização identifica informações confidenciais, sejam elas eletrônicas ou impressas. Por exemplo, uma marcação pode ler PRIVILEGIADO E CONFIDENCIAL. O método de marcação variará, dependendo do tipo de dados de que estamos falando. Por exemplo, documentos eletrônicos podem ter uma marcação na margem no rodapé de cada página. Onde os dados confidenciais são exibidos por um aplicativo, pode ser o próprio aplicativo que informa o usuário da classificação dos dados que estão sendo exibidos.
- Manipulação: A organização deve ter estabelecido procedimentos para o tratamento de informações confidenciais. Esses procedimentos detalham como os funcionários podem transportar, transmitir e usar essas informações, bem como quaisquer restrições aplicáveis.
- Armazenamento e Backup: Semelhante ao manuseio, a organização deve ter procedimentos e requisitos especificando como as informações confidenciais devem ser armazenadas e copiadas.
- Destruição: Mais cedo ou mais tarde, uma organização deve destruir um documento que contenha informações confidenciais. A organização deve ter procedimentos detalhando como destruir informações confidenciais que foram previamente mantidas, independentemente de os dados estarem em cópia impressa ou guardados como um arquivo eletrônico.
Você pode estar se perguntando, como você determina quais os requisitos adequados de tratamento para cada nível de classificação? Há duas maneiras principais de descobrir isso:
- leis, regulamentos e padrões aplicáveis . Muitas vezes, regulamentos como HIPAA e PCI contêm requisitos específicos para o tratamento de informações confidenciais.
- Avaliação de risco . Uma avaliação de risco é usada para identificar ameaças e vulnerabilidades relevantes, bem como o estabelecimento de controles para mitigar riscos. Alguns desses controles podem assumir a forma de requisitos de gerenciamento de dados que se tornariam parte do programa de classificação de ativos de uma organização.
