Segurança da informação é um assunto constante em meios corporativos, a proteção dos dados contra ataques cibernéticos com técnicas cada vez mais elaboradas e direcionadas torna a utilização das boas práticas de segurança da informação por todos os integrantes uma tarefa diária.

Segurança da Informação e suas contramedidas
fonte: relatório de cibersegurança CISCO 2019

Segundo o relatório anual de referência do CISO publicada em março de 2019 pela CISCO as empresas estão aumentando seus investimentos no setor de segurança da informação.

A preocupação com o crescente aumento de violações de dados em meios corporativos acendem a luz vermelha e processos de um sistema de gestão de segurança da informação é necessário para que os riscos possam ser mitigados.

Com as incansáveis tentativas de criminosos digitais obter qualquer tipo de dados sigilosos os seus métodos são aperfeiçoados com o passar do tempo e as ferramentas obtidas para burlar toda a estrutura estratégica de segurança da informação são vastos e a utilização de malware é crescente conforme o artigo que publiquei.

Malware: a ameaça furtiva e silenciosa.

Segurança da Informação

A Segurança da Informação é um conjunto de medidas desenvolvido para proteção de dados contra diversas ameaças. O seu objetivo é não deixar que os dados sejam acessados, modificados e alterados por agentes que não possuem autorização.

O seu conceito se baseia em 2 premissas:

Segurança: a sensação de algo estar protegido contra ameaças, vulnerabilidades e ataques.
Informação: dado que possui significado e valor para um indivíduo ou organização.

Para que a segurança da informação possa ser aplicada é necessário ter uma estrutura sólida e eficaz. Dessa forma seguindo os conceitos da norma ISO/IEC 27001:2013 seus pilares são sustentados pelos princípios da confidencialidade, integridade e disponibilidade.

Princípios da Segurança da Informação

A confidencialidade, integridade e a disponibilidade são os pilares da segurança da informação e precisam estar presente em um sistema de gestão de segurança da informação.

Cada pilar possui uma função específica e controles de segurança para assegurar a base do princípio.

Vamos conhecer em detalhes cada princípio da segurança da informação:

Princípio da Confidencialidade

A confidencialidade trata a prevenção do vazamento de dados para agentes que não tenha a devida autorização para acessá-los. Isso ocorre quando uma organização protege suas informações classificadas como sigiloso de ataques cibernéticos e espionagem.

Controles de Segurança para Confidencialidade

Para cobrir o princípio da confidencialidade é necessário aplicação de alguns controles de segurança:

Criptografia

O significado da palavra criptografia é “escrita oculta” e tem origem do grego. Sua função é montar de forma desestruturada os dados para que não sejam legíveis a quem não possui permissão de acesso. Desta forma mesmo que os dados cifrados sejam capturados por um atacante o princípio da confidencialidade não será violado.

Controle de Acesso

O controle de acesso é responsável pelo refinamento de permissões e restrições de usuários a determinada informação ou recurso. Esse controle segue rigorosamente a classificação da informação, sendo indispensável na política de segurança da organização.

Princípio da Integridade

A integridade trata-se de manter o dado de forma íntegra, isto é, não ser alterada por fatores externos desconhecidos. Por exemplo, uma mensagem ao ser enviado para o seu destinatário, não poderá ser interceptada e alterada no decorrer de sua transmissão. Ou seja, caso isso ocorra a sua integridade será comprometida.

Controles de Segurança para Integridade

Para cobrir o princípio da integridade alguns controles de segurança serão necessários:

Assinatura Digital

A assinatura digital é o mesmo de validar a sua autenticidade na assinatura de um contrato ou documento. Por outro lado, mantendo a integridade dos dados que podem ser verificados através de hashing e obtendo o não repúdio.

Hashing

Hashing é um processo de verificação de integridade conhecido como “mão única”, isto é, o resultado produzido pelo processo não poderá ser revertido.

Não Repúdio

O não repúdio é a garantia de que uma pessoa produziu ou realizou algo, pois possui uma prova irrefutável do fato.

Princípio da Disponibilidade

A disponibilidade é o acesso a informação no momento que é requisitada por fonte autorizada. Por exemplo, um sistema de pagamento online é preciso estar operante no momento que um cliente realiza a compra de um produto.

Controles de Segurança para Disponibilidade

Para manter a disponibilidade dos dados é necessário aplicar alguns controles de segurança:

Redundância

A redundância é a prática de adicionar camadas tanto física quanto lógica a mais, para garantir o pleno funcionamento de um sistema, hardware ou periférico de alta criticidade para a organização.

Patching

O patching é a aplicação de correções ou atualizações fornecidos por empresas para seus sistemas e equipamentos.

Para o patching corretivo de segurança seu objetivo é corrigir vulnerabilidades e algumas dessas aplicações para ter efeito é necessário reiniciar o sistema, ou seja, servidor e aplicação.

Para o princípio da disponibilidade a boa prática é mensurar o tempo de downtime, aplicando os patches de forma correta e planejando o melhor momento para fazê-lo.

Política de Segurança da Informação

Os dados produzidos por uma empresa é um dos ativos com maior relevância e para manter a salvaguarda é necessário processos bem definidos com uma rígida hierarquia de acesso.

Para que esses fatores sejam cumpridos é necessário a adoção de um Sistema de Gestão de Segurança da Informação (SGSI) e sob sua gerência criada Políticas de Segurança da Informação (PSI).

A Política de Segurança da Informação é um conjunto de diretrizes,normas e procedimentos que tem como objetivo orientar a organização no caminho da segurança da informação. Da mesma forma, baseando-se nos requisitos do negócio e suas leis regulamentadoras.

Alguns temas de implementação para a política de segurança da informação:

  • Controle de acesso;
  • Classificação e tratamento da informação;
  • Cópia de segurança (backup);
  • Proteção contra software malicioso.

Após a criação dos controles de segurança da informação é necessário ser aprovado pela direção e amplamente comunicada e acessível para toda a extensão da empresa e partes externas interessadas.

CONCLUSÃO

O desenvolvimento e implementação de políticas de segurança baseadas nos princípios da confidencialidade, integridade e disponibilidade é base para a salvaguarda dos dados.

Cada pilar que sustenta o sistema de gestão de segurança da informação possui importância peculiar para o processo de proteção dos dados.

Em outras palavras, é mais que comprovado que ameaças e ataques evoluem e se quisermos que dados pessoais e corporativos estejam protegidos, é necessário que um sistema de gestão de segurança da informação seja implementado nas organizações e que os membros da equipe estejam buscando conhecimento e se adaptando a metamorfose dos ataques direcionados.

Ah! Antes de finalizar, só mais uma coisa…

Se você quiser se aprofundar ainda mais nesse e outros assuntos referente a segurança cibernética, faça parte da minha lista VIP cadastre-se e receba conteúdos exclusivos.

E aí, esse artigo fez sentido para você? Me conta aqui nos comentários a sua opinião sobre a segurança da informação e quais tópicos podemos acrescentar para agregar valor.

0 Comentários

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *