Instagram Linkedin Youtube

Blog

Insights para sua Transformação Digital

Os 4 passos essenciais para a sua Jornada de Segurança da Informação

Desenvolvemos esse conteúdo para ajudar você a entender os conceitos, ferramentas e processos por trás da Segurança da Informação objetivamente. Como profissional de tecnologia, você já deve ter percebido que a Segurança da Informação é uma grande área de aprendizado devido às suas particularidades e ferramentas.

Dentro dessa área existe um mundo de processos, ferramentas e frameworks necessários para a aplicação da Segurança da Informação no mundo corporativo e tecnológico. Mas, qual seria o melhor caminho para a sua empresa?

Essa é a nossa missão! Descomplicar o mundo da Segurança da Informação fornecendo um guia prático para que você possa usar as informações descritas aqui o mais breve possível e tornar o seu ambiente cibernético mais seguro.

Bora lá aprender sobre Segurança da Informação?

O que é Segurança da Informação?

A segurança da informação tem o objetivo de proteger um conjunto de informações e dados, no sentido de preservar o valor que possuem para uma pessoa ou uma empresa.

Essa disciplina tem como base três pilares. A confidencialidade, a integridade e a disponibilidade.

  • A confidencialidade trata do sigilo dos nossos dados, em outras palavras, saber que os dados são confidenciais e estão acessíveis apenas para aqueles que possuem permissão de acesso.
  • A integridade consiste em garantir que nossos dados estejam íntegros, inalterados e corretos.
  • A disponibilidade garante que os dados estejam disponíveis a qualquer momento, de onde precisarmos e para a ação que precisarmos.

Os 4 passos essenciais para a sua Jornada de Segurança da Informação

Esse triângulo de Segurança da Informação também é conhecido como CIA ou CID entre os profissionais do mercado.

Onde estão os dados que precisam ser protegidos?

A segurança da informação é uma grande aliada das empresas, pois é responsável por evitar que qualquer pessoa distribua, de forma indevida, dados sensíveis e pessoais, como vendas, margem de lucro, concorrentes, projetos e outros.

Os dados podem ser encontrados principalmente nas seguintes bases do mundo corporativo.

  • Dados em Nuvem
  • E-mails
  • Dados em Servidores
  • Computadores
  • Dispositivos Móveis
  • Dados em Sistemas Web
  • Impressos
  • Nas Pessoas

 

Em um mundo no qual diversas tarefas são realizadas ao mesmo tempo e e-mails confidenciais podem ser enviados em apenas um clique, é fundamental que exista proteção para eventuais erros.

Como organizar a Governança de Dados?

A segurança da informação não deve ser apenas uma iniciativa temporária. Deve ser uma atividade contínua e o conjunto das iniciativas de proteção requer o apoio da organização para ter sucesso. Assim, a segurança deve ser inerente aos processos de informações e de negócio.

Esse tema não está restrito às empresas da TI, mas também de ambientes industriais e de serviços cada vez mais interconectados, já que não existem mais sistemas corporativos isolados e eles devem ser protegidos.

Os 4 passos essenciais para a sua Jornada de Segurança da Informação

Os sistemas de empresas de serviços estão sendo especialmente vulneráveis a ataques e ameaças como, por exemplo.

  • Erros das pessoas
  • Incidentes nos dispositivos dos funcionários
  • Ciberataques
  • Trabalhadores descontentes
  • Acessos externos
  • Vazamentos de dados

 

Como a LGPD é direcionada apenas sobre dados pessoais, notamos (pela figura) que os dados pessoais e dados sensíveis são uma parte de um conjunto bem maior de elementos.

Todos os dados iniciam pelo negócio, onde tratamos com a governança. Somente após o mapeamento de todos os dados, aplicamos a segurança cibernética para que eles façam parte de uma governança maior.

O que são ataques cibernéticos?

Você provavelmente já ouviu falar do termo “hacker”, não é mesmo? Geralmente, ele diz respeito a um indivíduo que apresenta altas habilidades de desenvolvimento computacional. Contudo, essa expressão se associa bastante às más práticas de informática.

Desse modo, alguns hackers entram para o mundo do cibercrime, e aproveitam as suas competências para criar sistemas de invasão e ameaças para outros computadores, contas e demais conteúdos digitais.

É assim que surgem os ataques cibernéticos. São atentados que visam danificar ou destruir redes alheias. Na maioria das vezes, eles acontecem quando existe uma ou mais falhas de segurança no sistema utilizado.

Como os ataques cibernéticos podem prejudicar as empresas?

Quando uma empresa sofre um ataque cibernético, diversos prejuízos podem estar envolvidos. Em primeiro lugar, pode haver a perda total do sistema, o que leva à exclusão de arquivos e demais dados importantes.

Além disso, outra potencial consequência negativa é o vazamento de informações, seja da própria empresa, de seus parceiros ou dos clientes. Essa, por sua vez, é ainda mais preocupante, tendo em vista a LGPD e o comprometimento da reputação do negócio.

Mais um fator prejudicial é a danificação dos equipamentos. Os ataques cibernéticos podem ser tão graves a ponto de afetarem o HD das máquinas, sendo necessário investir em novos dispositivos para a empresa.

A seguir iremos conhecer os principais tipos de ataques cibernéticos explorados pelos cibercriminosos.

  • Ransomware
  • Phishing
  • Cavalo de Tróia
  • Ataques de Força Bruta
  • Spoofing
  • Cryptojacking
  • Backdoor
  • Ataque de Negação de Serviço (DDoS)

O que é perímetro de segurança?

O perímetro é como uma linha de divisão imaginária que separa a sua rede e seus dispositivos de outras redes e da internet. Fazer segurança de perímetro significa controlar tudo que tenta ultrapassar esta barreira.

Por exemplo, se uma pessoa que não faz parte da empresa tentar acessar a sua rede, a segurança de perímetro deve impedir que ela tenha sucesso.

Essa proteção é geralmente realizada por um firewall, que filtra todas as comunicações entre servidores, dispositivos e a internet para impedir qualquer acesso não autorizado ou atividade maliciosa.

Os firewalls são configurados por meio de regras de segurança e são eles que permitem ou bloqueiam a passagem de dados, conforme as regras definidas pela empresa.

Em resumo, o perímetro de segurança é como se fosse o quintal da sua casa em que você possui um controle maior do que está acontecendo e pode verificar os seus filhos brincando em segurança.

Com a adesão do home office, além de tomar conta do seu quintal, você precisará também prestar atenção aos quintais dos seus colaboradores, terceiros e fornecedores. Esse é o maior desafio das empresas nos dias atuais e por isso a importância de desenvolver e manter uma estratégia de Segurança da Informação.

Quais são as ações para mitigação de riscos cibernéticos?

Mitigar significa reduzir ou aliviar o efeito de algo. Sendo assim, a mitigação de riscos cibernéticos é uma política e estratégia adotada por empresas para identificar os riscos e agir de maneira preventiva para minimizar seus impactos e efeitos nas operações.

A mitigação de riscos pode ser realizada por um processo e tecnologia. Comumente, algumas empresas implementam apenas processos para estar em conformidade com a estratégia, mas esquecem da tecnologia.

Para esse cenário, os processos devem andar de mão dadas com a tecnologia para garantir a eficiência dos controles. Uma empresa pode ter um processo de atualização de senhas a cada três meses e esse processo pode ser feito de forma manual ou automatizada por uma tecnologia.

Assim, é importante observar dentro do que já existe de processos na empresa o que pode se beneficiar da automatização de tecnologias para poupar recursos e garantir o desempenho do controle.

Por isso, as ações preventivas, sempre apoiam na proteção e na minimização de falhas. Devemos olhar na frente, e estar preparados para o que pode vir. Algumas dessas ações preventivas podem ser:

  • Ferramentas de Segurança
  • Treinamentos
  • Atualização de Sistemas
  • Políticas de Segurança
  • Seguro Cibernético
  • Update de Senhas
  • Uso de Criptografia
  • Backup em Dia
  • Evitar Shadow IT

 

Todas essas ações mencionadas podem ser realizadas internamente por uma equipe ou por uma equipe terceirizada focada em monitorar o ambiente da empresa.

Como funcionam as equipes e indicadores de segurança da informação?

Um exemplo disso é o Centro de Operações de Segurança (SOC), também chamado de Centro de Operações de Segurança da Informação (ISOC), é um local onde uma equipe técnica monitora, detecta, analisa e responde a incidentes de segurança, normalmente no modelo 24/7/365.

A equipe do SOC, formada por analistas e engenheiros de segurança, supervisiona todas as atividades em servidores, bancos de dados, redes, aplicativos, dispositivos de endpoint, sites e outros sistemas com o único propósito de identificar ameaças de segurança em potencial e impedi-las o mais rápido possível. 

Eles também monitoram fontes externas relevantes, como listas de ameaças, que podem afetar a postura de segurança da organização. Esse time não deve apenas identificar ameaças, mas analisá-las, investigar a origem, relatar quaisquer vulnerabilidades descobertas e planejar como prevenir ocorrências semelhantes no futuro.

O ROI (Return Over Investment) é uma a métrica usada para saber quanto a empresa ganhou com os investimentos feitos em uma determinada área. Então, como fazer para medir o ROI dos investimentos realizados em Segurança da Informação?

O ROI da Segurança da Informação é difícil de medir porque não se baseia em ganhos financeiros, mas em prevenção de riscos. Por isso, se o seu objetivo é defender os investimentos na área, é mais efetivo utilizar um conceito como o RONI (Risk of Non-Investment) ou Risco de Não Investir, em tradução livre.

Como fazer um plano de Segurança da Informação?

Como mencionamos anteriormente, a Segurança da Informação não deve ser apenas uma ação pontual e executada de vez em quando pela a empresa.

É necessário garantir sua execução cotidiana e principalmente, a continuidade dos processos, ferramentas, tecnologias e outras ações. Por isso, exemplificaremos a seguir como você pode fazer isso na prática e garantir a continuidade da sua estratégia.

Os 4 passos essenciais para a sua Jornada de Segurança da Informação

Política de Segurança da Informação (PSI)

A Política de Segurança da Informação (PSI) tem por objetivo possibilitar o gerenciamento da segurança em uma empresa, estabelecendo regras e padrões para proteção da informação. 

Essa política possibilita manter a confidencialidade, garantir que a informação não seja alterada ou perdida e permitir que a informação esteja disponível quando for necessário. Em resumo, ela deve garantir o cumprimento dos pilares de Segurança da Informação.

Além disso, ela deve abordar os itens da norma ISO 27001, conhecido como o padrão e a referência internacional para a gestão da segurança da informação em empresas de todo o tamanho e setor.

Assim, a Política de Segurança da Informação traz a diretriz de ações a serem realizadas como boas práticas dentro da organização pelos colaboradores, fornecedores e terceiros. Caso a sua empresa ainda não tenha esse procedimento, sugerimos os passos adiante para a construção da política.

  • Formação do Comitê
  • Identificação das Informações
  • Descrição dos Objetivos
  • Análise de Segurança
  • Criação do Escopo da Política
  • Alinhamento com Partes Interessadas
  • Documentação
  • Aprovação da Política
  • Implementação
  • Treinamento e Conscientização

 

Se a sua empresa já possui uma política, que tal revisar o documento e os procedimentos? Verifique se o que está descrito no documento está acontecendo na prática, realize ajustes e considere as melhores práticas da norma ISO 27001 para essa atividade.

LGPD

A Lei Geral de Proteção de Dados Pessoais – LGPD – Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais. O propósito dela é fornecer as diretrizes de como os dados pessoais dos cidadãos podem ser coletados e tratados.

Assim, as empresas devem identificar todo o ciclo de dados presente em seu ambiente nas seguintes categorias.

O dado pessoal é considerado a informação relacionada a pessoa natural identificada ou identificável. Enquanto isso, o dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Já o dado anonimizado é o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

A Política de Segurança da Informação pode ser desenvolvida ou atualizada para estar em adequação com os pontos da LGPD e atender a todos os tópicos importantes.

Recuperação de Desastres e Continuidade de Negócios

É importante notar que ter uma solução de recuperação de desastres em vigor não garante que a empresa seja capaz de alcançar a continuidade do negócio. É crucial garantir que a solução de recuperação de desastres atenda aos requisitos de um determinado plano de continuidade de negócios.

Por isso, a empresa deve garantir as seguintes atividades:

  • Identificar as necessidades de RTO (Recovery Time Objective) e RPO (Recovery Point Objective) e garantir que sua solução de recuperação consiga atender.
  • Programar e executar testes periódicos para garantir que a solução de recuperação de desastres tenha o desempenho esperado.
  • Avaliar e ajustar a estratégia de recuperação de maneira contínua à medida que a empresa evolui, tanto em TI quanto em negócio.
  • Integrar a solução de recuperação de desastre ao plano de continuidade de negócios. Por exemplo, quando ocorre um desastre, quem é responsável pela restauração de dados usando a solução de recuperação de desastres?

 

Com RTO e o RPO definidos, a empresa deve dispor de recursos de TI que viabilizem a recuperação da maior parcela possível das aplicações e informações no tempo mínimo para assegurar a continuidade dos negócios, levando em consideração que a ausência dessas soluções pode causar prejuízos inestimáveis para a empresa.

Análise de Vulnerabilidade e Pentest

Analisar as vulnerabilidades, conhecer os ambientes, agir de forma preventiva para descobrir possíveis falhas e vulnerabilidades que existam na rede, é uma forma de eliminar problemas e mitigar riscos do ambiente.

A ação da análise de vulnerabilidade geralmente é automatizada, buscando padrões e vulnerabilidades conhecidas. Já o Pentest, envolve um trabalho manual, de um profissional de segurança buscando explorar as vulnerabilidades conhecidas e caçando vulnerabilidades não mapeadas. 

Nesta etapa, após toda política criada, todos os usuários treinados, todo o plano constituído, analisamos o que pode estar vulnerável e após um período estipulado, realizar a ação manual e profunda do pentest.

Acesse nosso Ebook Step by Step para Segurança da Informação

No conteúdo de hoje, buscamos reunir as principais informações acerca da Segurança da Informação para que você possa ter um panorama mais assertivo sobre a área. A Segurança da Informação é uma jornada e toda jornada começa no seu primeiro passo.

Ebook Step by Step Segurança da Informação Introduce

Se você precisa de ajuda para começar a estruturar a Segurança da Informação na sua empresa, acesse nosso Ebook Step by Step para Segurança da Informação. Neste material, aprofundamos mais em detalhes sobre ferramentas, técnicas e processos da área para que você e sua equipe possam trabalhar objetivamente.

Para baixar o material, basta acessar esse link e boa leitura!

Compartilhe nas redes sociais

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Outros artigos:

Introduce é convidada a entrevista na Band News, no canal Empresários de Sucesso.

Posts Recentes
Posts Recentes

Guia para a adaptação a LGPD

Clique Aqui

Guia definitivo para otimizar a gestão de TI

Clique Aqui

Tudo que você precisa saber para não ter mais duvidas sobre cloud computing

Clique Aqui

© 2021 Todos direitos reservados a Introduce Ltda.