SEC07-BP03 Otomatiskan identifikasi dan klasifikasi

Otomatisasi identifikasi dan klasifikasi data dapat membantu Anda mengimplementasikan kontrol yang tepat. Penggunaan otomatisasi untuk melengkapi proses penentuan manual akan mengurangi risiko kesalahan manusia dan paparan.

Hasil yang diinginkan: Anda dapat memverifikasi apakah kontrol yang tepat diterapkan berdasarkan kebijakan klasifikasi dan penanganan Anda. Alat dan layanan otomatis membantu Anda mengidentifikasi dan mengklasifikasikan tingkat sensitivitas data Anda.  Otomatisasi juga membantu Anda terus memantau lingkungan Anda untuk mendeteksi dan memperingatkan jika data disimpan atau ditangani secara tidak sah sehingga tindakan korektif dapat diambil dengan cepat.

Antipola umum:

• Hanya mengandalkan proses manual untuk identifikasi dan klasifikasi data, yang bisa rawan kesalahan dan memakan waktu.  Hal ini dapat menyebabkan klasifikasi data yang tidak efisien dan tidak konsisten, terutama saat volume data bertambah.

• Tidak memiliki mekanisme untuk melacak dan mengelola aset data di seluruh organisasi.

• Mengabaikan perlunya pemantauan dan klasifikasi data yang berkelanjutan seiring bergeraknya dan berubahnya data dalam organisasi.

Manfaat menjalankan praktik terbaik ini: Otomatisasi identifikasi dan klasifikasi data dapat menghasilkan penerapan kontrol perlindungan data yang lebih konsisten dan akurat, sehingga mengurangi risiko kesalahan manusia.  Otomatisasi juga dapat memberikan visibilitas terhadap akses dan pergerakan data sensitif, sehingga membantu Anda mendeteksi penanganan yang tidak sah dan mengambil tindakan korektif.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Meskipun penilaian manusia sering digunakan untuk mengklasifikasikan data selama fase desain awal beban kerja, pertimbangkan untuk memiliki sistem yang mengotomatiskan identifikasi dan klasifikasi terhadap data uji sebagai kontrol preventif. Misalnya, developer dapat diberi alat atau layanan untuk memindai data representatif guna menentukan sensitivitasnya.  Dalam AWS, Anda dapat mengunggah set data ke dalam Amazon S3 dan memindainya menggunakan Amazon Macie, Amazon Comprehend, atau Amazon Comprehend Medical.  Pertimbangkan juga pemindaian data sebagai bagian dari pengujian unit dan integrasi untuk mendeteksi di mana data sensitif tidak diharapkan. Mengirim peringatan terkait data sensitif pada tahap ini dapat menyoroti adanya kesenjangan dalam perlindungan sebelum dilakukan deployment ke produksi. Fitur lainnya seperti deteksi data sensitif di AWS Glue, Amazon SNS, dan juga Amazon CloudWatch dapat digunakan untuk mendeteksi PII dan mengambil tindakan mitigasi. Untuk alat atau layanan otomatis apa pun, pahami cara alat atau layanan tersebut menentukan data sensitif, lalu lengkapi dengan solusi manusia atau solusi otomatis lainnya untuk mengatasi kesenjangan apa pun sesuai kebutuhan.

Sebagai kontrol deteksi, gunakan pemantauan berkelanjutan terhadap lingkungan Anda untuk mendeteksi apakah data sensitif disimpan dengan cara yang tidak mematuhi persyaratan.  Hal ini dapat membantu mendeteksi berbagai situasi, seperti data sensitif yang dikirimkan ke file log atau disalin ke lingkungan analitik data tanpa penghapusan atau penyamaran identitas yang tepat.  Data yang disimpan di Amazon S3 dapat terus dipantau untuk menemukan data sensitif menggunakan Amazon Macie.  

Langkah implementasi

1. Lakukan pemindaian awal terhadap lingkungan Anda untuk identifikasi dan klasifikasi otomatis.

   1. Pemindaian penuh awal terhadap data Anda dapat membantu menghasilkan pemahaman komprehensif tentang di mana data sensitif berada di lingkungan Anda. Jika pemindaian penuh pada awalnya tidak diperlukan atau tidak dapat diselesaikan di awal karena biaya, evaluasi apakah teknik pengambilan sampel data sudah cocok untuk mencapai hasil Anda. Misalnya, Amazon Macie dapat dikonfigurasi untuk melakukan operasi penemuan data sensitif otomatis secara meluas di seluruh bucket S3 Anda.  Kemampuan ini menggunakan teknik pengambilan sampel untuk melakukan analisis awal terkait di mana data sensitif berada dengan cara yang hemat.  Analisis bucket S3 yang lebih mendalam kemudian dapat dilakukan menggunakan pekerjaan penemuan data sensitif. Penyimpanan data lainnya juga dapat diekspor ke S3 untuk dipindai oleh Macie.

2. Konfigurasikan pemindaian yang berkelanjutan terhadap lingkungan Anda.

   1. Kemampuan penemuan data sensitif otomatis Macie dapat digunakan untuk melakukan pemindaian yang berkelanjutan terhadap lingkungan Anda.  Bucket S3 yang diketahui yang diotorisasi untuk menyimpan data sensitif dapat dikecualikan menggunakan daftar yang diizinkan di Macie.

3. Terapkan identifikasi dan klasifikasi ke dalam proses build dan pengujian Anda.

   1. Identifikasikan alat yang dapat digunakan developer untuk memindai data guna menentukan sensitivitasnya saat beban kerja sedang dikembangkan.  Gunakan alat-alat ini sebagai bagian dari pengujian integrasi untuk memperingatkan ketika ada data sensitif yang tidak terduga dan mencegah deployment lebih lanjut.

4. Implementasikan sistem atau runbook untuk mengambil tindakan ketika data sensitif ditemukan di lokasi yang tidak sah.

Sumber daya

Dokumen terkait:

• AWS Glue: Deteksi dan proses data sensitif

• Menggunakan pengidentifikasi data terkelola di Amazon SNS

• Amazon CloudWatch Logs: Bantu lindungi data log sensitif dengan masking

Contoh terkait:

• Memungkinkan klasifikasi data untuk basis data Amazon RDS dengan Macie

• Mendeteksi data sensitif di DynamoDB dengan Macie

Alat terkait:

• Amazon Macie

• Amazon Comprehend

• Amazon Comprehend Medis

• AWS Glue