Pesquisa de site

O que é Segurança da Informação?

A segurança da informação ou infosec se preocupa em proteger as informações contra acesso não autorizado. Faz parte do gerenciamento de riscos de informações e envolve a prevenção ou redução da probabilidade de acesso, uso, divulgação, interrupção, exclusão, corrupção, modificação, inspeção ou gravação não autorizados. Se ocorrer um incidente de segurança, os profissionais de segurança da informação estão envolvidos na redução do impacto negativo do incidente. Observe que as informações podem ser eletrônicas ou físicas, tangíveis ou intangíveis.

A segurança da informação é projetada para proteger a confidencialidade, integridade e disponibilidade (também conhecida como tríade da CIA) do sistema de computador e dados físicos contra acesso não autorizado, seja com intenção maliciosa ou não. Todo programa de segurança da informação se preocupa com a proteção da tríade da CIA, mantendo a produtividade organizacional.

Embora o foco principal de qualquer programa de segurança da informação seja proteger a confidencialidade, integridade e disponibilidade (a tríade da CIA) das informações, manter a produtividade organizacional costuma ser uma consideração importante.

Isso levou o setor de segurança da informação a padrões específicos de melhores práticas nas seguintes áreas:

  • Políticas de segurança da informação,
  • Força da senha
  • Controles de acesso
  • Autenticação multifator
  • Software antivírus, firewalls
  • Criptografia
  • Responsabilidade legal
  • Conscientização de segurança

A segurança da informação é alcançada por meio de um processo estruturado de gerenciamento de riscos que:

  • Identifica informações, ativos relacionados e as ameaças, vulnerabilidades e impactos do acesso não autorizado
  • Avalia os riscos
  • Toma decisões sobre como abordar ou tratar riscos, ou seja, evitar, mitigar, compartilhar ou aceitar
  • Quando mitigado, seleciona, projeta e implementa controles de segurança
  • Monitora atividades e faz ajustes para resolver novos problemas, alterações ou melhorias

Quem gerencia a segurança da informação?

As ameaças à segurança da informação vêm de várias formas, incluindo desastres naturais, mau funcionamento do servidor, roubo físico e endpoints não corrigidos.

Embora ainda existam empresas baseadas em papel, a dependência cada vez maior de sistemas de informação fez com que a segurança da informação se tornasse uma consideração importante no gerenciamento de riscos de segurança cibernética e aumentasse a necessidade de especialistas dedicados em segurança de TI.

Esses profissionais de segurança de tecnologia da informação estão preocupados com segurança de dados, segurança de aplicativos, segurança de rede, segurança de computadores, segurança física e prevenção de perda de dados.

Entenda que dados, aplicativos e computadores estão se espalhando muito além do que é tradicionalmente considerado como um computador. Smartphones, tablets e outros dispositivos móveis são tanto um computador quanto um servidor ou mainframe e são suscetíveis a ataques cibernéticos maliciosos que podem facilitar o acesso a informações confidenciais, informações críticas ou ativos de informação.

Isso, combinado com a crescente quantidade de violações de dados, levou ao aumento da demanda por planejamento sofisticado de proteção de dados e à crescente demanda por profissionais de segurança cibernética (especialmente na área da saúde) para entender a segurança da informação.

Um número crescente de certificações de segurança da informação está disponível e os empregadores geralmente preferem funcionários com certificação que valida o conhecimento das melhores práticas.

Existem certificações amplas, como o Certified Information Systems Security Professional (CISSP), e outras específicas que abrangem garantia de informações, segurança de rede, testes de segurança, auditoria de negócios, planejamento de continuidade de negócios, testes de segurança, planejamento de resposta a incidentes, roubo de identidade, avaliações de risco, sistemas de detecção de intrusão, violações de segurança e todas as outras medidas de segurança.

As funções comuns que exigiam experiência em gerenciamento de informações incluem diretor de segurança de TI (CSO), diretor de segurança da informação (CISO), engenheiro de segurança, analista de segurança da informação, administrador de sistemas de segurança e consultor de segurança de TI.

O que são ameaças à segurança da informação?

As ameaças podem vir de várias formas, incluindo ataques de software, roubo de identidade, sabotagem, roubo físico e extorsão de informações:

  • Os ataques de software à segurança da informação incluem vírus, malware, worms, ransomware como o WannaCry, cavalos de tróia ou quaisquer códigos maliciosos que afetem a disponibilidade das informações.
  • E-mails ou sites de phishing geralmente visam roubar propriedade intelectual ou credenciais de login para obter acesso não autorizado. A engenharia social é uma das maiores ameaças cibernéticas e é difícil de se proteger com as medidas de segurança tradicionais
  • A sabotagem, como os ataques de negação de serviço, geralmente visa reduzir a disponibilidade de ativos de informações importantes, reduzindo a confiança ou a produtividade organizacional até que o pagamento seja recebido em troca do retorno do serviço à organização
  • O roubo de informações e equipamentos está se tornando cada vez mais comum, pois a maioria dos dispositivos agora é de natureza móvel, como smartphones ou laptops. Isso está colocando mais dependência da segurança na nuvem do que nunca na história.
  • A extorsão de informações envolve obter acesso a informações confidenciais e, em seguida, mantê-las como resgate até que o pagamento seja feito

Há muitas maneiras de se proteger contra ataques cibernéticos, mas a ameaça número um para qualquer organização são seus usuários ou funcionários internos suscetíveis a engenharia social ou phishing. É por isso que o treinamento de conscientização sobre segurança cibernética deve ser integrado aos programas de gerenciamento de segurança da informação.

Os seguintes recursos gratuitos podem ser usados para treinamento de conscientização sobre ameaças cibernéticas no local de trabalho:

  • O que é uma ameaça cibernética?
  • O que é uma violação de dados?
  • O que é engenharia social?
  • O que são ataques de phishing?
  • O que é clickjacking?
  • O que é typosquatting?
  • O que é um ataque DDoS?
  • O que é Ransomware-as-a-Service (RaaS)?

Como você responde às ameaças à segurança da informação?

Quando uma ameaça é identificada, você tem uma escolha:

  • Reduzir ou mitigar o risco implementando salvaguardas ou contramedidas para eliminar ou reduzir ameaças e vulnerabilidades
  • Atribuir ou transferir o risco para outra entidade ou organização por meio da compra de seguro ou terceirização
  • Aceite o risco quando o custo da contramedida for maior do que o possível custo da perda devido a uma vulnerabilidade ou ataque cibernético

Com a introdução do Regulamento Geral de Proteção de Dados (GDPR) pelo Parlamento Europeu e Conselho em 2016, a necessidade de responder a violações de segurança da informação tornou-se um requisito regulatório para qualquer empresa que opere na UE. As empresas agora são obrigadas a:

  • Forneça notificações de violação de dados
  • Nomear um responsável pela proteção de dados
  • Exigir o consentimento do usuário para processamento de dados
  • Anonimize os dados para privacidade

Isso torna um plano abrangente de tratamento de incidentes e detecção abrangente de vazamento de dados um requisito para a maioria das empresas globais.

Para apoiar esforços de correção eficientes, um plano claro de resposta a incidentes precisa ser projetado e prontamente acessível por toda a equipe de segurança.

Saiba como criar um plano confiável de recuperação de desastres.

Como você define segurança da informação?

Há muitas maneiras de definir a segurança da informação, mas tanto o Instituto Nacional de Padrões e Tecnologia (NIST) quanto o Glossário Nacional de Garantia da Informação (IA) definem segurança da informação como "a proteção de informações e sistemas de informação contra acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados, a fim de fornecer confidencialidade, integridade e disponibilidade".

Quais são os princípios-chave da segurança da informação?

Confidencialidade, integridade e disponibilidade, também conhecidas como tríade da CIA, estão no centro da segurança da informação. Dito isso, há um debate sobre se a tríade da CIA aborda ou não suficientemente os requisitos de tecnologia e negócios em rápida mudança, bem como a relação entre segurança e privacidade. Outros princípios, como a responsabilidade, foram propostos e o não repúdio não se encaixa bem com os três conceitos centrais.

O que é confidencialidade?

Confidencialidade é não disponibilizar informações ou divulgar informações a indivíduos, entidades ou processos não autorizados. Embora semelhante à privacidade, as palavras não devem ser usadas de forma intercambiável.

A confidencialidade é um componente da privacidade que implementa medidas de segurança para proteger contra espectadores não autorizados. A privacidade do usuário tornou-se uma parte cada vez maior da confidencialidade devido ao GDPR e outros requisitos regulatórios.

>

Outros exemplos de confidencialidade incluem proteção contra roubo de laptop, roubo de senha e outras técnicas de gerenciamento de segurança.

O que é Integridade?

A integridade ou integridade dos dados está preocupada com a manutenção, garantia, precisão e integridade dos dados durante todo o seu ciclo de vida. Isso significa implementar controles de segurança que garantam que os dados não possam ser modificados ou excluídos por uma pessoa não autorizada ou de maneira não detectada.

O que é Disponibilidade?

Para que qualquer sistema de informação seja útil, ele deve estar disponível quando necessário. Isso significa que os sistemas de computador que armazenam e processam informações, os controles de segurança que as protegem e os canais de comunicação que as acessam devem funcionar sob demanda.

As empresas e seus clientes dependem cada vez mais de sistemas de alta disponibilidade em tempo real 24 horas por dia, 7 dias por semana. Isso significa que os profissionais de segurança da informação estão cada vez mais preocupados em garantir a disponibilidade, evitando quedas de energia, falhas de hardware e ataques de negação de serviço. A disponibilidade é frequentemente vista como a parte mais importante de um programa de segurança da informação bem-sucedido, pois são os usuários finais que precisam ser capazes de usar as informações.

O que é o não-repúdio?

O não repúdio é um termo emprestado da lei que implica a intenção de cumprir suas obrigações em um contrato e que uma das partes não pode negar ter recebido ou enviado uma transação.

Como a segurança da informação se encaixa no gerenciamento de riscos da informação?

O gerenciamento de riscos de informações é o processo de identificação de vulnerabilidades e ameaças aos recursos de informação usados por uma organização e se alguma contramedida deve ser tomada para reduzir o risco a um nível aceitável com base no valor do valor da informação para a organização.

Existem duas considerações principais em qualquer processo de gerenciamento de riscos:

  1. O processo de gerenciamento de riscos é contínuo e iterativo por natureza, deve ser repetido indefinidamente à medida que surgem novas ameaças e vulnerabilidades
  2. A escolha das contramedidas ou controles usados deve encontrar um equilíbrio entre produtividade, custo, eficácia e o valor da informação do ativo que está sendo protegido

A análise e a avaliação de riscos têm limitações inatas porque, quando ocorrem incidentes de segurança, eles surgem no contexto e podem vir de ameaças imprevisíveis ou inesperadas, como buckets do S3 mal configurados ou invasores externos.

A probabilidade de uma ameaça usar uma vulnerabilidade para causar danos cria riscos. No contexto da segurança da informação, o impacto é a perda de confidencialidade, integridade ou disponibilidade ou todas as outras perdas possíveis (por exemplo, danos financeiros e de reputação). Nota: Não é possível identificar nem mitigar todos os riscos. Esse risco remanescente é chamado de risco residual.

O que é uma ameaça?

Uma ameaça é qualquer coisa (incidental ou deliberada) que possa causar danos, perdas ou exposição potenciais a um ativo de informação.

O que é uma vulnerabilidade?

Uma vulnerabilidade é uma fraqueza ou exploração que pode causar danos, perdas ou exposição a um ativo de informação.

O que é Risco?

Risco é a probabilidade de que um evento possa causar danos, perdas ou exposição a um ativo de informação.

O que é uma Avaliação de Risco?

As avaliações de risco cibernético são definidas pelo NIST como avaliações de riscos usadas para identificar, estimar e priorizar riscos para operações organizacionais, ativos organizacionais, indivíduos, outras organizações e a nação, resultantes da operação e uso de sistemas de informação.

Em alto nível, uma avaliação de risco cibernético envolve uma auditoria de dados que responde:

  • Quais dados coletamos?
  • Como e onde estamos armazenando esses dados?
  • Como protegemos e documentamos os dados?
  • Por quanto tempo mantemos os dados?
  • Quem tem acesso interno e externo aos dados?
  • O local onde estamos armazenando os dados está devidamente protegido? Muitas violações vêm de buckets do S3 mal configurados, verifique suas permissões do S3 ou outra pessoa o fará

E então define os parâmetros da avaliação:

  • Qual é o objetivo da avaliação?
  • Qual é o escopo da avaliação?
  • Existem prioridades ou restrições que eu deva estar ciente que possam afetar a avaliação?
  • A quem preciso acessar na organização para obter todas as informações de que preciso?
  • Qual modelo de risco a organização usa para análise de risco?

Artigos relacionados