Segurança da informação

A segurança da informação foca na proteção de informações e sistemas de informação contra acesso não autorizado, uso, modificação, divulgação, interrupção ou destruição. Essa proteção estende-se a qualquer plataforma, inclusive analógica. Até mesmo um arquivo de documentos em papel pode precisar de uma intervenção de segurança da informação.

A gênese do programa de segurança de qualquer empresa deve ser a segurança da informação. Um especialista em segurança da informação estabelece uma estrutura de governança, que define a estrutura para estratégias de segurança e garante que elas se alinhem com os objetivos de negócios. A equipe mais ampla deve definir as funções e responsabilidades de cada pessoa para operar com eficácia.

A tríade CIA

A segurança da informação tem três pontos principais de foco, chamados de tríade CIA, e, para obter o modelo padrão de segurança da informação, esse deve ser o foco. Seus componentes são:

Limitações da tríade CIA

A tríade CIA se preocupa-se inteiramente com a informação. Embora esse seja o fator central da maior parte da segurança de TI, esse modelo promove uma visão limitada da segurança que tende a ignorar alguns fatores adicionais importantes. Por exemplo, embora a disponibilidade possa servir para garantir que você não perca o acesso aos recursos de que precisa para fornecer informações quando necessário, pensar na segurança da informação por si só não garante que outra pessoa não esteja fazendo uso não autorizado de seus recursos de hardware.

Você deve saber sobre a tríade CIA – e como ela é frequentemente usada para planejar e implementar uma boa política de segurança – e compreender os princípios por trás dela. Mas você também deve compreender suas limitações. Como qualquer estrutura formalizada, ela dá a aparência de um modelo de segurança holístico tentador e pode até ser muito útil como um começo para o desenvolvimento da política de segurança, mas nunca deve ser tratada como o fim.

Segurança Cibernética (Cybersecurity)

A segurança cibernética é um campo vasto e focado. Aqui, os especialistas lidam com a abrangência da internet, ou seja, eles se concentram exclusivamente no mundo digital.

 

Às vezes também chamado de segurança de computador, o campo envolve uma variedade de práticas e tecnologias que protegem redes, servidores, intranets e sistemas de computador contra ataques. Essas práticas também evitam que pessoas não autorizadas tenham acesso a dados não autorizados.

 

Os ataques cibernéticos colocam em risco toda a infraestrutura de TI de uma empresa. Os profissionais de segurança cibernética lutam constantemente contra esquemas que se enquadram nessas categorias amplas:

 

  • Phishing: o malfeitor usa e-mail ou bate-papo para obter informações pessoais ou seguras;
  • Pretexting: o malfeitor faz-se passar por uma figura de autoridade para coletar informações;
  • Bait: o malfeitor deixa um dispositivo infectado por malware para ser usado por uma vítima desavisada;
  • Quid pro quo: o malfeitor faz uma promessa de recompensa em troca de informações.
 

Os especialistas em segurança cibernética trabalham em conjunto com os líderes de negócios para construir uma cultura de conscientização sobre segurança e preencher todas as lacunas de conhecimento e compreensão. A força de trabalho precisa estar ciente dessas ameaças para evitar colocar a rede de uma empresa em risco, expor seus dados e, em última instância, prejudicar sua reputação.

Sistema de Gerenciamento de Segurança da Informação (SGSI)

Um SGSI (em inglês, ISMS) é um sistema de gerenciamento documentado que consiste em um conjunto de controles de segurança que protege a confidencialidade, disponibilidade e integridade dos ativos contra ameaças e vulnerabilidades.

Ao projetar, implementar, gerenciar e manter um SGSI, uma organização pode proteger seus dados confidenciais, pessoais e sensíveis de vazamentos, danos, destruição ou exposição a elementos prejudiciais.

O objetivo de um SGSI é limitar proativamente o impacto de uma violação de segurança de dados.

Série de normas ISO/IEC 27000

Os Sistemas de Gerenciamento de Segurança da Informação (SGSIs) desempenham papéis importantes para gerenciar com segurança os ativos de informação da organização. No entanto, as organizações com SGSI enfrentam vários desafios para desenvolver e manter esse sistema de gerenciamento complexo de forma eficaz e exigem ferramentas que possam fornecer suporte abrangente para todas as tarefas em SGSI. A base que normalmente serve como guia para uma boa implementação da Gestão de Segurança da informação é a série ISO / IEC 27000. 

 

Por meio do uso da família de padrões ISO/IEC 27000, as organizações podem desenvolver e implementar uma estrutura para gerenciar a segurança de seus ativos de informação, incluindo informações financeiras, propriedade intelectual e detalhes de funcionários, ou informações confiadas a eles por clientes ou terceiros. Esses padrões também podem ser usados na preparação para uma avaliação, independentemente de seu SGSI aplicado à proteção da informação.

Política de Segurança da Informação

As organizações geralmente criam uma política de segurança da informação primeiramente porque ela é necessária para a auditoria, ou porque a ISO 27001 diz que devemos ter uma. Mas esse não é o principal motivo para ela existir.

 

Políticas de segurança são projetadas para mitigar o risco (por exemplo, violação de dados) e geralmente são desenvolvidas em resposta a uma ameaça real ou percebida (uma situação que poderia causar consequências ou impactos indesejáveis). Uma política conterá uma declaração de alto nível da intenção e direção da gestão e deve ser desenvolvida ou modificada para apoiar os objetivos estratégicos de uma organização.

As políticas de segurança por si só não são suficientes. Os funcionários devem entender quais são as regras de proteção de informações e ativos e os motivos pelos quais os padrões de segurança são desenvolvidos.

Os padrões de segurança são desenvolvidos para definir limites para pessoas, processos, tecnologias e procedimentos, a fim de ajudar a manter a conformidade com as políticas e apoiar a realização das metas e objetivos da organização.

 

O mais importante ao se criar uma política de sucesso é escrevê-la tendo em mente especificamente os objetivos estratégicos da organização, cultura, apetite e tolerância ao risco.

A política deve ser escrita por um indivíduo que possa traduzir os requisitos de segurança em um alto nível em termos de negócios. Deve ser escrita de uma forma que os funcionários possam entender; assim como um bom aplicativo, ela deve ser amigável. Deve explicar por que a segurança é importante dentro da organização e definir as responsabilidades de todos para proteger as informações e ativos da organização.

Segurança de Dados

A segurança de dados diz respeito à proteção de dados contra modificação, destruição ou divulgação acidental ou intencional, mas não autorizada, por meio do uso de segurança física, controles administrativos, controles lógicos e outras salvaguardas para limitar a acessibilidade. As formas de proteger seus dados incluem:

 

  • criptografia de dados – converter os dados em um código que não pode ser lido facilmente sem uma chave que o desbloqueia;
  • mascaramento de dados – mascarar certas áreas de dados para que o pessoal sem a autorização necessária não possa vê-los;
  • eliminação de dados – garantir que os dados não mais usados sejam completamente removidos e não possam ser recuperados por pessoas não autorizadas;
  • backup de dados – criação de cópias de dados para que possam ser recuperados se o original for perdido.

 

A segurança de dados é focada principalmente nos próprios dados, junto com o gerenciamento de identidade e acesso. Ou seja, quem pode acessar ou remover esses dados.

Lei Geral de Proteção de Dados (LGPD)

A lei de número 13.709, também conhecida como LGPD, ou Lei Geral de Proteção de Dados, inclui o Brasil na lista dos 120 países com legislação específica em relação à segurança de dados pessoais.

 

A LGPD tem como objetivo fazer com que as pessoas sejam de fato proprietárias de seus dados e informações pessoais, como seu endereço (seja físico, seja digital), seu e-mail, telefone, bem como os dados de redes sociais ou qualquer outra informação utilizada em meios digitais.

 

A lei brasileira tem como principal influência a General Data Protection Regulation (GDPR), a qual entrou em vigor na Europa em 2019 e serve como modelo para outras nações, as quais adotam modelos semelhantes ou otimizam os já existentes.

Essa lei muda a operação dos negócios por meio de diretrizes rígidas e sanções para as organizações que a descumprirem no que diz respeito à coleta, ao armazenamento, tratamento e compartilhamentos de dados pessoais. 

As multas podem chegar a 2% do faturamento, não passando de R$ 50 milhões por infração. As empresas também podem ter suas atividades suspensas, parcial ou totalmente.

Avaliação de Impacto da Proteção de Dados (DPIA)

A Avaliação de Impacto da Proteção de Dados (DPIA) é um processo de avaliação de risco que ajuda a determinar os riscos potenciais que podem surgir durante o manuseio de dados pessoais e ajuda a minimizá-los ou eliminá-los. A DPIA é uma ferramenta importante para analisar se sua organização atende aos padrões da LGPD.

 

A DPIA deixa a sua organização várias etapas mais perto da conformidade com a LGPD. A realização de uma DPIA ajudará a identificar as medidas às quais a organização precisa se adaptar para estar em conformidade.

 

Identificar os riscos e lidar com eles no início do processo minimizará qualquer risco de consequências punitivas e ajudará a planejar/gerenciar melhor as finanças do projeto. Além disso, documentar o processo de avaliação e as descobertas ajudará a evitar ameaças em potencial e a possibilidade de responsabilização legal.

Segurança Ofensiva

Além das diversas atividades relacionadas à proteção de dados, sistemas e ativos tecnológicos, também existem ações que visam, de maneira proativa, a identificar falhas e riscos à segurança da informação por meio de testes em aplicações, sistemas operacionais e demais componentes envolvidos no fornecimento de serviços computacionais.

Dessa forma, é possível evitar que malfeitores explorem vulnerabilidades presentes em algum componente de sistema, identificando e corrigindo essas falhas antes que alguém mal- intencionado faça uso delas. 

 

As ações mais comumente realizadas são: 

Avaliação de Vulnerabilidades

 

A avaliação de vulnerabilidade é o processo de identificação, classificação e priorização de vulnerabilidades de segurança na infraestrutura de TI. Uma avaliação de vulnerabilidades abrangente avalia se um sistema de TI está exposto a vulnerabilidades conhecidas, atribui níveis de gravidade às vulnerabilidades identificadas e recomenda etapas de remediação ou mitigação quando necessário.

 

As avaliações de vulnerabilidade são um procedimento de segurança comum, pois fornecem uma visão detalhada dos riscos de segurança que uma organização pode enfrentar, permitindo-lhespermitindo proteger melhor proteção de sua tecnologia da informação e dados confidenciais contra ameaças cibernéticas.

 

Avaliações de vulnerabilidades são realizadas através por meio do uso de ferramentas profissionais e automatizadas que identificam padrões de vulnerabilidades e/ou fazem uso de uma base de vulnerabilidades conhecida, normalmente fornecida pelos próprios fabricantes. 

 

Testes de Invasão (Pentests)

Um teste de invasão, ou “pentest” no jargão da segurança da informação, é um ataque simulado aos seus sistemas, encomendado por você, para descobrir o quão boa é realmente a sua postura de segurança de informações. 

 

O teste de invasão pode ser usado para determinar o quão vulneráveis seus ativos estão. Ele coloca a inteligência de segurança da informação em suas próprias mãos, e não nas de um hacker. Ele mostra seus pontos fortes e fracos de segurança e permite que você priorize seus níveis de risco. Se você tem requisitos de conformidade, o teste de penetração ajuda a alinhar a segurança da sua organização com esses requisitos. Se você não tem requisitos de conformidade, o teste de penetração é uma maneira proativa de ver e analisar as falhas em sua postura de segurança. Como o teste de penetração é um exercício simulado, mas real, ele também dá à sua equipe a chance de ter cenários próximos da realidade para praticar a resposta a incidentes e evitar o tempo de inatividade que uma violação custaria no futuro.

 

Normalmente, um teste de invasão é realizado normalmente de forma manual, por um especialista (hacker ético), e tem como resultado a geração de evidências de uma exploração bem- sucedida.

 

Varreduras de Vulnerabilidade Automatizadas vs. Teste de Invasão Manual

 

Embora os scanners automáticos de vulnerabilidade sejam ótimos para descobrir de forma rápida falhas básicas e bem conhecidas, os scanners automáticos de vulnerabilidade não devem ser confundidos com um teste de invasão avançado realizado manualmente. Um pentest permite que os hackers éticos obtenham uma compreensão básica do estado atual da segurança em uma organização e lhes concede a capacidade de planejar/direcionar ataques a outras áreas de um aplicativo ou sistema que exigirão mais tempo e atenção. Os scanners de vulnerabilidade são capazes de combinar padrões e definições e não conseguem encontrar falhas que exijam lógica e compreensão humanas.

 

Testes de Segurança de Aplicativos (AST)

 

AST significa Teste de Segurança de Aplicativos. Ele envolve a varredura de um aplicativo em execução ou do código-fonte do aplicativo em busca de vulnerabilidades de segurança. Atualmente, existem vários tipos de processos e ferramentas AST automatizados que podem ser usados em vários estágios do ciclo de vida de um aplicativo.

 

Ao planejar uma estratégia de teste para um aplicativo, é importante avaliar a aplicabilidade e a eficácia provável das várias opções de abordagem do teste. As duas abordagens mais comuns para o teste de segurança de aplicativo automatizado são o teste estático de segurança de aplicativo (SAST) e o teste dinâmico de segurança de aplicativo (DAST).

 

O SAST envolve o teste de artefatos dos aplicativos – – como código-fonte ou binários de aplicativos. A ferramenta de teste revisa o código- fonte do aplicativo ou o binário para construir um modelo e, em seguida, executa vários tipos de análises, como semântica, fluxo de dados ou fluxo de controle, para identificar vulnerabilidades potenciais com base em um conjunto de regras ajustadas para o tipo de aplicativo, linguagem, e a estrutura do aplicativo em uso. 

 

O DAST envolve o teste de um aplicativo em execução, enviando entradas e analisando as respostas do aplicativo para ver se esses padrões de solicitação/resposta indicam a presença de vulnerabilidades de segurança.

 

Além desses padrões mais conhecidos, também podemos realizar testes de segurança em aplicativos utilizando:

 

  • o IAST, ou teste interativo de segurança de aplicativo, foi projetado para lidar com as deficiências do SAST e do DAST, combinando elementos de ambas as abordagens. O IAST coloca um agente dentro de um aplicativo e realiza todas as suas análises no aplicativo em tempo real e em qualquer lugar na no IDE do processo de desenvolvimento, ambiente integrado contínuo, QA ou mesmo em produção.
  • o RASP, ou Proteção de Segurança de Aplicativo em Tempo de Execução, funciona dentro do aplicativo, mas é menos uma ferramenta de testes e mais uma ferramenta de segurança. Ele é conectado a um aplicativo ou ambiente de tempo de execução e pode controlar a execução do aplicativo. Isso permite que o RASP proteja o aplicativo mesmo se as defesas do perímetro de uma rede forem violadas e os aplicativos contiverem vulnerabilidades de segurança perdidas pela equipe de desenvolvimento. O RASP permite que um aplicativo execute verificações de segurança contínuas em si mesmo e responda a ataques ao vivo, encerrando a sessão de um invasor e alertando os defensores sobre o ataque.