Baixe o app para aproveitar ainda mais
Prévia do material em texto
Compreender os principais elementos relacionados a governança, risco e compliance Aula 1 – Confidencialidade, Integridade e Disponibilidade Aula 2 – Principais Frameworks Aula 3 – Controle de Segurança Aula 4 – Políticas Aula 5 – LGPD Aula 6 – Ética Aula 01 Confidencialidade, Integridade e Disponibilidade Governança, risco e compliance É o conjunto de medidas práticas que uma empresa pode utilizar através da criação de processos para reduzir ameaças que possam impactar na continuidade dos seus negócios, gerar prejuízos financeiros, ou produzir riscos de perdas e de conformidade legal. GRC: Governança, Risco e Compliance Fonte: Adobe Stock Governança em T.I é o conjunto de processos, práticas, políticas, leis e regulamentos que determinam as diretrizes de uma empresa no ramo da Tecnologia da Informação. Riscos são todos os eventos que afetam de alguma forma o cumprimento dos objetivos de uma empresa. Compliance é o ato pelo qual a empresa cumpre (está conforme), com todas as leis Federais, Estaduais, Municipais e os respectivos regulamentos, políticas e diretrizes organizacionais. GRC: Governança, Risco e Compliance Fonte: Adobe Stock Processos e procedimentos bem estruturados garantem: • Funcionamento correto do negócio; • Correções de falhas de forma eficaz; • Conformidade com as normas. Estruturação e disciplina Fonte: Adobe Stock A Governança em T.I: • Alinha as expectativas de mercado e suas políticas de implantações e manutenções de ativos de T.I e Segurança da Informação; • Adota medidas focadas na qualidade da operação, produzindo-se melhores performances de sistemas, aumentando sua competitividade. Por dentro da Governança Fonte: Adobe Stock O Risco • Independente do planejamento prévio, toda e qualquer empresa está sujeita a imprevistos internos ou externos; • Também podem ser vistos como oportunidades para se estabelecer planos de melhoria; • A Gestão dos Riscos ameniza as ameaças que podem surgir, tornando o negócio mais seguro. Por dentro do Risco Fonte: Adobe Stock O Compliance • Aumenta a credibilidade perante os investidores e mercado, agregando valor ao negócio; • Reconhece práticas ilícitas em outras organizações; • Reduz custo, aumenta a conscientização dos colaboradores e sua respectiva satisfação. Por dentro do Compliance Fonte: Adobe Stock A seguir... No próximo tópico ogeryrfsrrhrtrytyrsg Segurança da informação A Segurança da Informação tem por objetivo principal prover os meios necessários para que os repositórios de dados, bem como suas plataformas de gestão, sejam acessados somente por pessoas autorizadas/credenciadas, garantindo os pilares Confidencialidade, Integridade e Disponibilidade da informação. Segurança da Informação Fonte: Adobe Stock O Pilar da Confidencialidade protege as informações de acessos não autorizados, estabelecendo privacidade para os dados da empresa, evitando situações de ataques cibernéticos ou espionagem. A base desse pilar é o controle do acesso por meio de autenticação de senha, que também pode ocorrer por meio de varredura biométrica e criptografia, o que vem gerando resultados favoráveis nesse sentido. Confidencialidade Fonte: Adobe Stock O Pilar da Integridade é responsável por manter as características originais dos dados, tal como foram configuradas na sua criação. Desta forma, as informações não podem ser alteradas sem autorização. Integridade Fonte: Adobe Stock O Pilar da disponibilidade determina que o ideal em um sistema de informação é que os dados estejam disponíveis para o que for necessário, garantindo o acesso do usuário em tempo integral. Isso requer estabilidade e acesso permanente aos dados do sistema por meio de manutenção rápida, atualizações constantes e depuração. Disponibilidade Fonte: Adobe Stock Os pilares da Segurança da Informação são como bússolas que devemos seguir para não cometer nenhum equívoco quando falamos sobre o assunto. Sempre começaremos por eles. No próximo tópico daremos continuidade a essa jornada, falando sobre como fortalecer esses pilares para se criar a base de uma estrutura segura. A seguir... Fonte: Adobe Stock Fortalecendo os Pilares Toda a estrutura da Segurança da Informação deve estar alinhada com o três pilares básicos (Confidencialidade, Integridade e Disponibilidade), para garantir que as práticas e políticas sejam eficazes. Os pilares da Segurança da Informação ajudam a preservar um bom nível de proteção dos dados e nas atividades de tratamento realizadas pela empresa. Por isso, é fundamental reforçá-los nos processos e operações. Fortalecendo os Pilares Fonte: Adobe Stock • Política de Gestão de Acesso bem estruturada; • Política de Classificação da Informação; • Reforçar a Criptografia • Autenticação em dois fatores. Reforçando a Confidencialidade Fonte: Adobe Stock • Sistemas licenciados e constantemente atualizados; • Processos gerenciais bem definidos e seguros, visando a preservação das informações; • Assinaturas digitais. Reforçando a Integridade Fonte: Adobe Stock • Conscientização e treinamento; • Elaboração de políticas e normas; • Mantendo os patches de segurança em dia; • Mantendo backups e cópias de seguranças. Reforçando a Disponibilidade Fonte: Adobe Stock Fortalecendo os pilares cria-se uma estrutura básica segura para o desenvolvimento de toda Segurança da Informação. No próximo tópico daremos continuidade a essa jornada, explorando pilares secundários, mas não menos importantes, dos que já falados até aqui. A seguir... Fonte: Adobe Stock Pilares Secundários na Segurança da Informação No âmbito da Segurança da Informação, além dos três pilares iniciais que orientam as ações para garantir a proteção de dados, temos mais três que reforçam essas orientações. Estamos falando dos pilares: • Autenticidade; • Irretratabilidade; • Legalidade. Pilares Secundários na Segurança da Informação Fonte: Adobe Stock O Pilar da Autenticidade Confirmação de que os dados possuem legitimidade, ou seja, não haja manipulação ou intervenções externas de terceiros passando-se por colaboradores. Dessa forma, é necessário documentar as ações feitas pelos usuários na rede e nos sistemas.. Autenticidade Fonte: Adobe Stock O Pilar da Irretratabilidade O pilar da irretratabilidade ou não repúdio atua para que um indivíduo ou entidade não negue a autoria de uma ação específica (criar ou assinar um arquivo/documento, por exemplo). Irretratabilidade (não repúdio) Fonte: Adobe Stock O Pilar da Legalidade Está diretamente ligado ao valor legal da comunicação em relação à legislação. Trata-se de princípio do Direito intrínseco a todo Ordenamento Jurídico. Legalidade Fonte: Adobe Stock A importância dos Pilares Diante das diversas formas e formatos que o mundo digital tem ganhado e o aumento do tráfego de dados o valor da informação tem se tornado cada vez mais alto. Os Pilares, de uma forma geral, são como princípios mínimos a serem seguidos para garantir a Segurança da Informação e manter o seu valor econômico. Valor econômico da informação Fonte: Adobe Stock Entender os pilares e sua importância é o primeiro passo para se construir uma cultura cibernética mais segura e eficaz. Conclusão Fonte: Adobe Stock Aula 02 Principais Frameworks Framework É qualquer referência normativa que estabeleça um conjunto de técnicas, ferramentas ou conceitos pré- definidos que possam ser utilizados como base para o estabelecimento de um programa corporativo de segurança da informação. O que é framework Fonte: Adobe Stock Finalidade Oferecer o melhor processo para a organização implementar salvaguardas de segurança de acordo com o tamanho e estratégia de negócios da empresa, agilizando em tempo e otimizando os recursos disponíveis. O que é framework Fonte: Adobe Stock Importância • Criam modelos de construção de programas de segurançada informação, gerenciando riscos e combatendo fragilidades. • Estabelece a criação de políticas, que serão repassadas aos times de colaboradores por meio de instruções e acerca de condutas e punições por descumprimento. O que é framework Fonte: Adobe Stock Importância • Gerenciam riscos que tende a trabalhar em cima das políticas e manter uma proteção contínua das informações empresariais. • Avaliam todas as portas de entrada, transferência e saída de dados, identificando potenciais vulnerabilidades e aumentando o nível de segurança onde for preciso. O que é framework Fonte: Adobe Stock Entender o conceito de framework e sua aplicabilidade é o primeiro passo para se estabelecer qual será o melhor ou mais adequado processo para a empresa. Importante Fonte: Adobe Stock Variedades de frameworks Existem diversos frameworks no mercado e cada uma tem sua qualidade e especificidade. Dentre os mais utilizados temos a ISO 27.001, o CIS Controls e o NIST CSF. Tipos Fonte: Adobe Stock Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação de uma organização. Trata-se de um padrão para se estabelecer um SGSI (Sistema de Gestão de Segurança da Informação). ISO 27.001 Fonte: Adobe Stock A escolha por esse framework deve ser de forma estratégica pela organização, considerando suas necessidades, objetivos, exigências de padrões de segurança, tamanho e sua estrutura. É extremamente útil para definir responsabilidades e deveres dentro da organização. ISO 27.001 Fonte: Adobe Stock Conjunto de práticas recomendadas de segurança cibernética e ações defensivas que ajudam a evitar os principais ataques da atualidade. Sua implementação envolve práticas recomendadas para uma boa política de segurança da informação, formuladas por um grupo de especialistas em Tecnologia da Informação e Segurança da Informação. CIS Controls Fonte: Adobe Stock Utiliza informações coletadas em ataques reais e defesas eficazes. Fornecem orientação específica e um caminho para as organizações atingirem as metas e objetivos descritos por várias estruturas legais, regulamentares e políticas. CIS Controls Fonte: Adobe Stock Conjunto de diretrizes e padrões adotados que tem por finalidade gerenciar e reduzir o risco de segurança cibernética, além de ajudar as organizações a prevenir, detectar e responder a ameaças e ataques cibernéticos. Foi projetado para melhorar as comunicações de segurança cibernética e gerenciamento de riscos entre as partes interessadas internas e externas. NIST Cyber Security Framework Fonte: Adobe Stock Ajuda as organizações a melhorarem suas defesas contra ataques cibernéticos conhecidos, transformando os principais conceitos de segurança em controles acionáveis, com o objetivo de obter um maior nível de capacidade geral para defesa em segurança cibernética. NIST Cyber Security Framework Fonte: Adobe Stock Neste tópico, abordamos os principais, mas não únicos, frameworks utilizados no mercado. No próximo tópico daremos continuidade a essa jornada, explicando as particularidades de cada framework . A seguir... Fonte: Adobe Stock ISO 27.001 A família das normas ISO 27.000 constituí uma série de padrões internacionais direcionados à Segurança da Informação que vale a pena ser conhecido. Para fins de estudo de frameworks focaremos na ISO 27.001. Introdução a ISO 27001 Fonte: Adobe Stock Lançada em 2005, foi criada com a finalidade de fazer o gerenciamento e proteção da informação das empresas utilizando um sistema e Gestão de Risco. Hoje é considerado o principal padrão internacional focado em segurança da informação, usando uma abordagem de melhoria contínua. Histórico Fonte: Adobe Stock • Proteger os pilares da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade. • As organizações adotarem um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação. Objetivos Fonte: Adobe Stock • Conformidade; • Vantagem de mercado; • Redução de despesas; • Organização da empresa. Benefícios Fonte: Adobe Stock O conteúdo da ISO é dividido em duas partes: • O Sistema de gestão de segurança da informação, ou SGSI; • Conjunto de controles usados para reduzir seu risco. (Anexo A da norma). Conteúdo Fonte: Adobe Stock • Ter definido um plano de tratamento e gestão de riscos; • Ter definida uma métrica de eficácia dos controles; • Implementar um programa para formar e sensibilizar as pessoas; • Implementar controles e procedimentos capazes de detectarem potenciais incidentes. SGSI - Implementação Fonte: Adobe Stock O Anexo A traz 93 controles de referência, cujo objetivo é criar ideias e boas práticas para tornar a organização mais segura. Dentre essas boas práticas estão: • Políticas de segurança da informação • Organização da segurança da informação • Segurança em recursos humanos • Gestão de ativos • Controle de acesso • Criptografia Controles – Anexo A Fonte: Adobe Stock • Segurança física e do ambiente • Segurança nas operações • Segurança nas comunicações • Aquisição, desenvolvimento e manutenção de sistemas • Relacionamento na cadeia de suprimento • Gestão de incidentes de segurança da informação • Aspectos da segurança da informação na gestão da continuidade do negócio • Conformidade Áreas – Anexo A Fonte: Adobe Stock Neste tópico abordamos a estrutura da norma ISO 27.001 como framework de segurança. No próximo tópico daremos continuidade a essa jornada, adentrando ao framework CIS Controls. A seguir... Fonte: Adobe Stock CIS Controls Diretrizes e práticas recomendadas para a Segurança da Informação, constantemente atualizada e revisada. Práticas recomendadas e mundialmente reconhecidas para proteger aplicações e dados nos ambientes de tecnologia. Introdução ao CIS Controls Fonte: Adobe Stock Projeto iniciado no começo de 2008 em resposta a perdas extremas de dados ocorridas em organizações na base industrial de defesa dos EUA. Inicialmente desenvolvida pelo SANS Institute e a propriedade foi, então, transferida para o Conselho de Segurança Cibernética (CCS) em 2013 e, em seguida, para o Centro de Segurança da Internet (CIS) em 2015. Histórico Fonte: Adobe Stock • Prevenir os tipos de ataques mais generalizados e perigosos, dando ainda suporte à conformidade em um ecossistema de múltiplas estruturas. • Orientar e especificar um caminho claro para que as organizações atinjam os objetivos e metas descritos por várias estruturas legais, regulamentares e políticas. Objetivos Fonte: Adobe Stock • Os controles priorizam e concentram o menor número de ações necessárias para se ter o melhor custo-benefício. • Contêm recomendações atuais e concretas para ajudar as empresas a melhorar a postura de segurança da informação. Benefícios Fonte: Adobe Stock • Os controles do CIS foram criados por especialistas com o objetivo de serem universalmente aplicáveis. • Os controles são separados em três categorias: básica, fundamental e organizacional, independentemente do tipo de indústria, adequando-se a cada realidade. Benefícios Fonte: Adobe Stock Os Grupos de Implementação (IGs) são a orientação recomendada para priorizar a implementação dos Controles Críticos de Segurança do CIS. Os IGs são divididos em três grupos. Eles se baseiam no perfil de risco e nos recursos que uma empresa tem à sua disposição para implementar os controles CIS. Conteúdo Fonte: Adobe Stock • Inventário e controle de ativos de hardware; • Inventário e controle de ativos de Software; • Gerenciamento contínuo de vulnerabilidades; • Uso controlado de privilégios administrativos; • Configuração segura para hardware e software em dispositivos móveis, notebooks, estações de trabalho e servidores; • Manutenção, monitoramento e análisede registros de auditoria. Controles básicos Fonte: Adobe Stock A implementação do CIS é feita em 03 grupos: IG1 - Implementation Group 1 • Conjunto básico de 56 salvaguardas de defesa cibernética, estabelecendo padrão mínimo emergente de segurança da informação para todas as empresas. As salvaguardas incluídas no IG1 são o que toda empresa deve aplicar para se defender contra os ataques mais comuns. CIS - Implementação Fonte: Adobe Stock IG2 - Implementation Group 2 • Compreende 74 salvaguardas adicionais e se baseia nas 56 salvaguardas identificadas no IG1. • Uma empresa que usa o IG2 normalmente emprega indivíduos responsáveis por gerenciar e proteger a infraestrutura de TI. CIS - Implementação Fonte: Adobe Stock IG3 - Implementation Group 3 • Inclui 23 salvaguardas adicionais. Baseia-se nas salvaguardas identificadas em IG1 (56) e IG2 (74), totalizando as 153 salvaguardas no CIS Controls V8. • Ativos e dados do IG3 contêm informações ou funções confidenciais que estão sujeitas à supervisão regulatória e de conformidade. CIS - Implementação Fonte: Adobe Stock Neste tópico, abordamos a estrutura do framework de segurança CIS Controls. No próximo tópico daremos continuidade a essa jornada, adentrando ao framework NIST CSF. A seguir... Fonte: Adobe Stock NIST Estabelece padrões, diretrizes e práticas recomendadas que ajudam as organizações a melhorar seu gerenciamento de riscos de segurança cibernética. Projetado para ser flexível o suficiente para se integrar aos processos de segurança existentes em qualquer organização, em qualquer setor. Introdução ao NIST CSF Fonte: Adobe Stock O National Institute of Standards and Technology (NIST) é uma agência não reguladora que promove a inovação por meio do avanço da ciência, padrões e tecnologia de medição. Em 12 de fevereiro de 2013 iniciou o trabalho do NIST com o setor privado dos EUA para identificar padrões de consenso voluntários existentes e melhores práticas da indústria para incorporá-los em uma estrutura de segurança cibernética. Histórico Fonte: Adobe Stock • Fornecer um excelente ponto de partida para implementar segurança da informação e gerenciamento de riscos de segurança cibernética em praticamente qualquer organização do setor privado nos Estados Unidos. • Escolher as ferramentas que melhor atendem às necessidades do gerenciamento de riscos de segurança cibernética de uma organização. Objetivos Fonte: Adobe Stock • O tipo de metodologia permite que as organizações entendam como seus esforços de segurança cibernética se comparam às orientações e fontes autorizadas do NIST csf. • A linguagem comum age como facilitadora da comunicação, pois, facilita o entendimento dos requisitos e do progresso entre todas as partes interessadas, incluindo a equipe de segurança de TI, gerenciamento, parceiros, contratados, fornecedores e outros. Benefícios Fonte: Adobe Stock • Sua aplicação melhora a segurança cibernética e a resiliência da infraestrutura crítica, independentemente do tamanho da organização ou do nível de sofisticação da segurança cibernética. Benefícios Fonte: Adobe Stock O NIST CSF inclui funções, categorias, subcategorias e referências informativas. Suas funções devem ser executadas de forma contínua para formar uma cultura operacional que aborde o risco dinâmico de segurança cibernética. Suas categorias e subcategorias fornecem planos de ação mais concretos para departamentos ou processos específicos dentro de uma organização. Conteúdo Fonte: Adobe Stock Neste tópico abordamos a estrutura do framework de segurança NIST CSF. No próximo tópico daremos continuidade a essa jornada, adentrando à implantação do NIST CSF. A seguir... Fonte: Adobe Stock Estrutura e implantação do NIST CSF São 5 funções para fornecer uma visão estratégica de alto nível do ciclo de vida do gerenciamento do risco de segurança de uma organização. Funções Fonte: Adobe Stock Fonte: Adobe Stock As funções são divididas em 23 categorias, que se subdividem em 108 subcategorias, levando o framework a um nível alto de especificação. Categorias Fonte: Adobe Stock As subcategorias contêm os controles reais e, para cada uma, o CSF inclui uma lista de referências cruzadas para padrões e estruturas bem conhecidos, como ISO 27001, CIS, dentre outros. Subcategorias Fonte: Adobe Stock Em linhas gerais, a implantação do Framework pode ser dividida em 7 etapas: • Priorizar e definir o escopo: objetivos organizacionais; • Orientar: estratégias de gerenciamento de riscos; • Criar o perfil atual: avaliar sistemas e ativos dentro do escopo, requisitos regulatórios; NIST - Implementação Fonte: Adobe Stock • Realizar uma avaliação de riscos: padrões, ferramentas, métodos e diretrizes de segurança cibernética e gerenciamento de risco no escopo; • Criar um perfil ativo: identificar metas que mitigarão o risco de acordo com seus objetivos; NIST - Implementação Fonte: Adobe Stock • Determinar, analisar e priorizar as lacunas: analisar as lacunas entre o Perfil Atual e o Perfil Alvo no contexto de organização; • Executar o plano de ação: implementar ações por prioridade, acompanhar o progresso em relação ao plano, monitorar e avaliar os principais riscos. NIST - Implementação Fonte: Adobe Stock Neste tópico, finalizamos o conteúdo do NIST CSF, bem como os principais frameworks utilizados. Na próxima aula, iniciaremos o conteúdo sobre controles de segurança. Conclusão Fonte: Adobe Stock Aula 03 Controle de Segurança Segurança Cibernética protege o ciberespaço contra ameaças, enquanto a Segurança da Informação é a proteção de dados globais contra ameaças. A Segurança da Informação é um conceito mais amplo que abrange a Segurança Cibernética. Para falar sobre os controles usaremos bastante o conceito de Segurança Cibernética. Segurança Informação x Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Autoria Própria Segurança da Informação Segurança Cibernética A palavra controle é empregada para descrever a autoridade e gestão sobre algo específico, envolvendo a supervisão e administração. Controles de Segurança Cibernética são medidas que ajudam a evitar, impedir, detectar, neutralizar ou minimizar os riscos de Segurança da Informação, cujo objetivo principal é proteger o CID – Confidencialidade, Integridade e Disponibilidade das informações. Controles de segurança Fonte: Adobe Stock Podemos estabelecer 3 tipos de categorias de controles: • Operacional • Técnica • Física Categorias de Controles Fonte: Adobe Stock São controles organizacionais que complementam e suportam os controles técnicos. Exemplos: Política de Segurança da Informação, programa de conscientização e capacitação, controle de acesso lógico, etc. Categoria Operacional Fonte: Adobe Stock Tratam riscos a confidencialidade, integridade ou disponibilidade de informações em formato eletrônico. Exemplos: Firewall, IDS/IPS, DMZ, antivírus, criptografia, atualização de patches, etc. Categoria Técnica Fonte: Adobe Stock Previnem o acesso físico, não autorizado, danos e interferências com as instalações e informações da empresa. Exemplos: Controle de Acesso físico, extintores de incêndio adequados para cada ambiente, etc. Categoria Física Fonte: Adobe Stock Os controles podem ter funções diferentes e complementares dentro de um sistema integrado de segurança cibernética, que podem ter funções de: Dissuadir: refere-se à ideia de que a possibilidade de ser descoberto, detido e sofrer eventual punição dissuadirá as pessoas a cometer infrações e crimes cibernéticos. Funções dos Controles de Segurança Cibernética Fonte: Adobe Stock Dificultar: refere-se à ideia de tornar o acesso cibernético tão difícil, a ponto do invasor desistir de atacar o sistemaprotegido. Detectar: refere-se à ideia de identificar e dar alarme sobre uma tentativa de violação de segurança cibernética. Funções dos Controles de Segurança Cibernética Fonte: Adobe Stock Responder: refere-se aos procedimentos, meios e condições de responder e conter a uma violação de segurança cibernética, no menor tempo possível, reduzindo seu impacto à organização. Recuperar: envolve ações para recuperação da normalidade na organização após a violação de segurança cibernética e sua contenção. Funções dos Controles de Segurança Cibernética Fonte: Adobe Stock Para as empresas que buscam destaque e confiança em uma era digital, adotar controles de segurança cibernética torna-se pré-requisito. No próximo tópico daremos continuidade a esse tema, explorando um pouco mais esses conceitos. A seguir... Fonte: Adobe Stock 5 controles primordiais O Tribunal de Contas da União, com o intuito de contribuir para a transformação digital do país, conscientizando os gestores públicos de Segurança Cibernética acerca dos riscos aos quais as organizações estão sujeitas, criou uma cartilha apontando 5 Controles de Segurança Cibernética, com base no framework CIS Controls, que são considerados fundamentais e de implantação imediata nas organizações. Esta cartilha pode ser consultada no site do TCU. Controles Básicos Fonte: Adobe Stock https://portal.tcu.gov.br/data/files/4D/E3/DF/81/8C0848102DFE0FF7F18818A8/__5%20Controles%20de%20seguranAa%20cibernAtica%20para%20ontem_final_web.pdf Cada organização deve moldar sua abordagem à segurança, levando em consideração sua estrutura. Os controles indicam caminhos que devem ser seguidos, facilitando sua implantação e posterior implementação. Controles Básicos Fonte: Adobe Stock Os 5 controles destacados pelo TCU são: • Inventário e controle de ativos corporativos • Inventário e controle de ativos de software • Gestão contínua de vulnerabilidades • Conscientização sobre segurança e treinamento • Gestão de Respostas a incidentes Controles Básicos Fonte: Adobe Stock Inventário e controle de ativos corporativos: identificar e impedir a utilização de ativos de TI não autorizados como condutores de ataques cibernéticos. Inventário e controle de ativos de software: identificar e impedir a utilização de softwares não autorizados como condutores de ataques cibernéticos. Função dos Controles Básicos Fonte: Adobe Stock Gestão contínua de vulnerabilidades: evitar a exploração de vulnerabilidades conhecidas nos ativos corporativos de TI. Conscientização sobre segurança e treinamento de competências: reduzir a possibilidade de incidentes e ataques derivados do comportamento humano – engenharia social. Função dos Controles Básicos Fonte: Adobe Stock Gestão de respostas a incidentes: melhorar a capacidade de identificar potenciais ameaças e ataques, evitando que se espalhem, colaborando para a recuperação rápida de dados e sistemas eventualmente corrompidos. Função dos Controles Básicos Fonte: Adobe Stock As medidas de segurança são ações específicas que as empresas devem realizar para implementar um controle. Conforme conversamos quando estudamos os frameworks, O CIS prioriza as medidas de segurança em três grupos de implementação: básicas (IG1), intermediárias (IG2) e avançadas (IG3). Medidas de Segurança Cibernética Fonte: Adobe Stock Esses 5 controles dizem respeito ao IG1, que são aquelas medidas que todas as empresas devem implementar para se proteger dos ataques mais comuns. Medidas de Segurança Fonte: Adobe Stock Para as empresas que buscam destaque e confiança em uma era digital, adotar controles de segurança cibernética torna-se pré-requisito. No próximo tópico daremos continuidade a esse tema, explorando um pouco mais sobre esses 5 controles básicos e fundamentais. A seguir... Fonte: Adobe Stock Controle 1 – Inventário e Controle de Ativos Corporativos Definição: Gerenciar todos os ativos corporativos de TI (computadores portáteis e dispositivos móveis, dispositivos de rede, servidores), conectados fisicamente, virtualmente ou remotamente à infraestrutura corporativa de TI, incluindo aqueles em ambientes de nuvem (cloud computing). Objetivo: Conhecer com precisão todos os ativos de hardware da organização que precisam ser monitorados e protegidos. Controle 1 – Inventário e Controle de Ativos Corporativos Fonte: Adobe Stock Quando se conhece a estrutura dos ativos corporativos fica mais fácil estabelecer as defesas. Dessa forma, o controle dos ativos corporativos é fundamental quando se trata de gestão de vulnerabilidades, monitoramento de segurança, processos de recuperação de incidentes e backups. Por que esse controle é crítico? Fonte: Adobe Stock Uma organização também deve ter ciência de todos os dados que são considerados essenciais ao seu negócio, para se identificar os ativos corporativos que mantêm ou gerenciam tais dados, aplicando-lhes controles de segurança adequados. Por que esse controle é crítico? Fonte: Adobe Stock • Estabelecer e manter inventário detalhado, preciso e atualizado de ativos corporativos que armazenam, transmitem ou processam dados. • Escolher entre remover o ativo, impedí-lo de se conectar à rede ou colocá-lo em quarentena quando se identificar que se trata de um ativo não autorizado ou mapeado. Medidas de Segurança Fonte: Adobe Stock • No mínimo semanalmente deve-se atualizar o inventário de ativos corporativos, para identificar equipamentos não autorizados, evitando-se o uso indevido desses equipamentos. Boas práticas adicionais Fonte: Adobe Stock Controle 2 – Inventário e Controle de Ativos de Software Definição: Acompanhar todo software, sistemas operacionais e aplicativos utilizados, não permitindo a instalação e execução nas máquinas de softwares não autorizados. Objetivo: Proteger todo sistema de segurança de vulnerabilidades causadas por softwares não homologados. Controle 2 – Inventário e Controle de Ativos de Software Fonte: Adobe Stock Um inventário de software completo previne ataques que, por muitas vezes, tem início a partir de varreduras de rede que buscam vulnerabilidades de softwares. Essa vulnerabilidade, quando localizado num servidor web, por exemplo, permite que o atacante instale programa que possibilita o controle remoto da máquina, o que caracteriza um ataque de phishing. Por que esse controle é crítico? Fonte: Adobe Stock • Manter inventários dos softwares, com informações precisas, detalhadas e atualizadas, são necessários para realização das tarefas e rotinas corporativas diárias. • Assegurar que apenas software homologado e avaliado pelo setor de T.I seja autorizado no inventário de software. Medidas de Segurança Fonte: Adobe Stock • Evitar exceções ao uso de software não autorizado, porém, caso seja necessário, documentar e testá-lo para que o setor de T.I avalie a possibilidade de utilizá-lo. • Implementar controles técnicos que permitam que apenas aplicações específicas possam ser executadas, acessadas ou carregadas em processos do sistema. Boas práticas adicionais Fonte: Adobe Stock Para as empresas que buscam destaque e confiança em uma era digital, adotar controles de segurança cibernética torna-se pré-requisito. No próximo tópico daremos continuidade a esse tema, explorando um pouco mais sobre esses 5 controles básicos e fundamentais. A seguir... Fonte: Adobe Stock Controle 3 – Gestão Contínua de Vulnerabilidades Definição: Desenvolver plano para avaliar, acompanhar e corrigir continuamente vulnerabilidades em todos os ativos na infraestrutura de TI da organização, minimizando as oportunidades para eventuais atacantes. Controle 3 – Gestão Contínua de Vulnerabilidades Fonte: Adobe Stock Atacantes cibernéticos procuram constantemente por vulnerabilidades que possam ser exploradas. Dessa forma, os que trabalham com a defesa cibernética devem ter acesso constanteàs informações sobre ameaças corriqueiras e suas respectivas medidas de mitigação, para que possam avaliar os ambientes de suas organizações antes dos potenciais ataques. Por que esse controle é crítico? Fonte: Adobe Stock No entanto, como também têm acesso às mesmas informações que os defensores, os atacantes conseguem, frequentemente, aproveitar essas vulnerabilidades mais rapidamente do que as organizações conseguem corrigi-las. Por que esse controle é crítico? Fonte: Adobe Stock Dessa forma, a gestão de vulnerabilidades é fundamental para manter uma organização segura continuamente, pois ela corrige preventivamente as falhas encontradas que podem desencadear ataques. Por que esse controle é crítico? Fonte: Adobe Stock • Estabelecer processos contínuos de avaliação e monitoramento dos ativos de hardware e software, par eliminar, mitigar ou corrigir vulnerabilidades e aprimorar configurações, controles e técnicas de defesa. • Estabelecer processos contínuos de avaliação das vulnerabilidades identificadas e dos riscos a elas associados, priorizando a aplicação de medidas mitigatórias, de modo a aumentar a efetividade dos esforços de proteção. Medidas de Segurança Fonte: Adobe Stock • Executar a gestão automatizada da aplicação de programas criados para atualizar ou corrigir um software, sanando erros de comportamento, diminuindo as vulnerabilidades de segurança, melhorando sua performance nos sistemas operacionais dos seus ativos. Medidas de Segurança Fonte: Adobe Stock • Necessário utilizar constantemente ferramentas que permitam automatizar a realização de varreduras completas de vulnerabilidades, autenticadas e não autenticadas, realizando as respectivas correções. • Em algumas situações, pode ser inviável desinstalar uma correção após sua instalação, ocasionando um prejuízo ainda maior do que o problema inicial e impactando a continuidade do negócio. Boas práticas adicionais Fonte: Adobe Stock Para as empresas que buscam destaque e confiança em uma era digital, adotar controles de segurança cibernética torna-se pré-requisito. No próximo tópico daremos continuidade a esse tema, explorando um pouco mais sobre esses 5 controles básicos e fundamentais. A seguir... Fonte: Adobe Stock Controle 4 – Conscientização sobre Segurança e Treinamento Definição: Estabelecer e manter programa contínuo e permanente de conscientização e treinamento, para que os colaboradores tenham conhecimentos adequados em segurança (da informação e cibernética) e, consequentemente, adotem comportamentos e procedimentos que reduzam os riscos para a organização, com o objetivo de se estabelecer uma nova cultura cibernética na organização. Controle 4 – Conscientização sobre Segurança e Treinamento Fonte: Adobe Stock No tripé da Segurança da Informação, formado por tecnologia, processos e pessoas, estas representam o principal ponto de fragilidade, pois o atacate consegue induzir facilmente um usuário a clicar num link indevido, dando margem à invasões. Por que esse controle é crítico? Fonte: Adobe Stock Ademais, os colaboradores, intencionalmente ou não, podem causar incidentes de segurança por meio de diversas outras ações, tais como o envio de e-mail com dados sensíveis para destinatário errado, a perda de equipamento portátil, a utilização de senha fraca ou reutilização da mesma senha usada para autenticação em outros sites e aplicativos. Por que esse controle é crítico? Fonte: Adobe Stock Dessa forma, todos os programas corporativos de segurança (da informação e cibernética), têm seu desempenho determinado pelo fator humano, devido a grau de conscientização e treinamento. Mesmo fortalecendo ao máximo essa conscientização é muito difícil estabelecer uma nova cultura, portanto nenhum programa consegue reduzir os riscos a níveis aceitáveis. Por que esse controle é crítico? Fonte: Adobe Stock • Estabelecer um programa contínuo e permanente de treinamento, mostrando aos colaboradores os riscos e as ameaças aos quais os ativos e dados da organização estão sujeitos e como agir para evitá-los. • Investir em treinamentos aos colaboradores para reconhecer ataques de engenharia social. Medidas de Segurança Fonte: Adobe Stock • Treinar os colaboradores em melhores práticas de tratamento de dados, o que envolve identificar dados sensíveis no contexto da organização e saber como armazená-los, transferi-los, arquivá- los e destruí-los adequadamente, de modo a minimizar os riscos de vazamento. • Treinar os colaboradores para evitar exposição não intencional de dados, como, por exemplo, a perda ou o extravio de dispositivos portáteis. Medidas de Segurança Fonte: Adobe Stock • Treinar os colaboradores para reconhecer e notificar incidentes de segurança de forma eficaz. • Treinar os colaboradores sobre os perigos de se conectar a redes inseguras e transmitir dados corporativos por meio delas. Medidas de Segurança Fonte: Adobe Stock • Os programas de conscientização e treinamento devem explicar aos colaboradores as razões por trás de cada questão de segurança abordada, monstrando-lhes os objetivos da Segurança da Informação e Cibernética e os potenciais impactos dos diferentes comportamentos sobre a organização. Boas práticas adicionais Fonte: Adobe Stock • Testar os conhecimentos adquiridos pelos colaboradores ao final da realização de qualquer treinamento em segurança (da informação e cibernética), que pode fazer parte de atividade educacional de TI. Boas práticas adicionais Fonte: Adobe Stock Para as empresas que buscam destaque e confiança em uma era digital, adotar controles de segurança cibernética torna-se pré-requisito. No próximo tópico daremos continuidade a esse tema, explorando um pouco mais sobre esses 5 controles básicos e fundamentais. A seguir... Fonte: Adobe Stock Controle 5 – Gestão de Respostas a Incidentes Definição: Estabelecer um programa para resposta a incidentes e verificar sua eficácia através de testes constantes, com o objetivo de melhorar e adequar cada vez mais seu tempo de resposta, definindo políticas, planos, procedimentos, definindo papéis e treinamento. Controle 5 – Gestão de Respostas a Incidentes Fonte: Adobe Stock Elaborar e manter plano de resposta é essencial para que a organização esteja preparada caso ocorra um incidente, identificando ameaças e respondendo a elas antes que se espalhem e causem maiores danos. Por que esse controle é crítico? Fonte: Adobe Stock • Definir os papéis para que ocorra o gerenciamento do processo de tratamento de incidentes de forma eficiente, estabelecendo informações de contato para reportar os incidentes, bem como relação com as informações de contato de todas as partes interessadas que precisam ser informadas sobre a ocorrência. Medidas de Segurança Fonte: Adobe Stock • Estabelecer processo para recebimento de notificação de incidentes, definindo requisitos mínimos para os procedimentos, os prazos e o conteúdo das notificações de incidentes. Medidas de Segurança Fonte: Adobe Stock • A equipe de resposta a incidentes deve ser periodicamente treinada, com base em cenários de ataque, ajustando para as ameaças e os impactos potenciais enfrentados pela organização, garantindo que toda a equipe esteja sempre preparada para desempenhar suas funções no processo de resposta. Boas práticas adicionais Fonte: Adobe Stock • Identificando lacunas nos planos e processos de resposta e dependências inesperadas, ajudando a promover, assim, sua atualização constante. • Incluir inteligência sobre ameaças no processo de resposta a incidentes, tornando a equipe mais proativa. Boas práticas adicionais Fonte: Adobe Stock Apresentamos nos tópicos anteriores os 5 principais controles que devem ser implementados, de acordo com os estudos elaborados pelo Tribunal de Contas da União. São boas práticas que podem ser facilmente adotadas na iniciativaprivada. Na próxima aula iremos abordar as Políticas adotadas em um Sistema de Gestão de Segurança da Informação e Cibernética. Conclusão Fonte: Adobe Stock Aula 04 Políticas A palavra política está a nossa volta em todo momento e em todos os lugares. Muitas vezes ela é associada a protestos, manifestações, além de atribuírem diversos significados pejorativos, para dizer que algo é complicado para ser resolvido porque tem muitas etapas, dentre inúmeros outros significados. O que é política? Fonte: Adobe Stock O termo política vem do grego polis (cidade-Estado) servindo para designar, desde a antiguidade, o campo a atividade humana que se refere à cidade, ao Estado e às coisas de interesse público. Definição do dicionário Oxford Languages: 1. arte ou ciência de governar. 2. arte ou ciência da organização, direção e administração de nações ou Estados; ciência política. O que é política? Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Em uma empresa a palavra política tem relação com padronização de regras, as chamadas políticas corporativas que precisam ser seguidas em uma empresa. Exemplo: Código de Conduta. Determinam os propósitos e os objetivos de uma organização, trilhando o caminho para que se alcance esses objetivos. O que é política? Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Políticas em Segurança As políticas de segurança são regras corporativas que determinam os limites da segurança física ou lógica. Para nossa área e estudo nos interessa tudo que se refere à política de segurança lógica. Políticas de segurança Fonte: Adobe Stock A segurança lógica é um conjunto de soluções de hardwares e softwares especializados, com foco em detecção, tratamento e mitigação de ameaças digitais. Ou seja, é um trabalho técnico e estratégico, com foco em tornar o acesso aos dados organização mais seguros, por meio do controle de tentativas de entrada indevidas, para evitar o sequestro e perdas de dados. Conceito Fonte: Adobe Stock Reputação das empresas: Uma reputação construída ao longo de muitos anos pode se perder facilmente e em pouco tempo quando uma empresa perde os dados de um cliente, por exemplo. Além dela enfrentar outros problemas relacionados ao compliance. Importância da Segurança Lógica Fonte: Adobe Stock Sequestro de dados: Outro fator importante a ser analisado é o fato de que os atacantes não sequestram os dados simplesmente por fazê-lo. Eles solicitam um resgate muito alto em moedas virtuais. Mesmo que você pague, não há como ter certeza de que eles irão devolvê-los. Importância da Segurança Lógica Fonte: Adobe Stock A segurança lógica é fundamental para que a estrutura organizacional da empresa se mantenha. No próximo tópico daremos continuidade a esse tema, explorando um pouco mais o assunto. A seguir... Fonte: Adobe Stock PSI – Política de Segurança da Informação Uma política de segurança da informação (PSI) ou política de segurança das informações e comunicações (PoSIC) tem por objetivo possibilitar o gerenciamento da segurança de informação em uma organização, estabelecendo regras e padrões para proteção da informação. PSI Fonte: Adobe Stock Também é um documento que estabelece e orienta hierarquia no acesso aos dados, determina boas práticas, informando o que deve ser evitado a fim de garantir a segurança de informações sensíveis e estratégicas. A PSI também serve como um guia para que todos saibam como atuar em caso de incidentes de segurança, definindo procedimentos a serem adotados. PSI Fonte: Adobe Stock Alguns assuntos importantes que deve estar inserido em uma Política de Segurança da Informação: • Autenticação multifatorial e leitura biométrica • Encriptação de dados • IAM: Identity and Access Management • Resposta a incidentes • Análise comportamental • Cuidado com a computação na nuvem • Prevenção contra o ransomware Conteúdo Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Este conteúdo em uma política é importante porque trabalha com as fragilidades de senhas habituais e apresenta outra forma de autenticação que pode ser uma alternativa mais segura. A leitura biométrica é o reconhecimento de características físicas que somente um usuário pode ter, como impressão digital ou íris dos olhos. Autenticação multifatorial e leitura biométrica Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock É o processo de codificação de mensagem ou arquivos. Esse processo gera um código que permite que apenas aqueles que possuem as chaves corretas tenham acesso àquelas informações. A encriptação tem por objetivo proteger os dados digitais durante o seu envio. Encriptação de dados Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock IAM (Identity and Access Management) ou Gerenciamento de Identidade de Acesso, é a prática de garantir que pessoas e entidades com identidades digitais tenham o nível certo de acesso aos recursos da empresa, como redes e bancos de dados. As funções do usuário e os privilégios de acesso são definidos e gerenciados por meio de um sistema de IAM. IAM: Identity and Access Management Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Nesse tópico, iniciamos a abordagem de alguns conteúdos importantes que fazem parte de uma PSI, de acordo com a ISO 27.001. No próximo tópico, vamos dar continuidade a esse conteúdo. A seguir... Fonte: Adobe Stock Resposta a Incidentes O termo “resposta a incidentes” se refere ao procedimento adotado por uma empresa para responder a ameaças de TI, como ataques cibernéticos, violações de segurança e períodos de inatividade de servidores. De acordo com o framework NIST CSF ela pode ser dividida num ciclo de vida de 4 etapas: • Preparação • Identificação e Análise • Contenção, erradicação e recuperação • Atividade pós evento Resposta a Incidentes Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Através desse monitoramento, qualquer comportamento incomum do usuário é facilmente identificado, podendo ser interrompido de forma imediata qualquer tipo de ameaça. Ainda, quando o usuário sabe que existe um monitoramento de suas atividades já evita o acesso indevido a determinadas páginas que podem trazer falhas na segurança. Análise comportamental Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock É o fornecimento de serviços de computação, incluindo servidores, armazenamento, bancos de dados, rede, software, análise e inteligência, pela Internet (a nuvem) oferecendo inovações mais rápidas, recursos flexíveis e economias. A Computação em Nuvem traz excelentes benefícios para as organizações, contudo também traza necessidade de se tomar cuidados com a segurança, utilizando ferramentas extras de proteção. Cuidados com a computação na nuvem Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Todos os dias vemos notícias sobre sequestro de dados e a dificuldade que as empresas enfrentam para tratar esse incidente quando acontece. Nesse tipo de ataque os dados da empresa são sequestrados e criptografados, impedindo a empresa de visualizá-los. Então, e é exigido um pagamento para liberação desses dados. Prevenção contra o ransomware Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Não há qualquer garantia de que esses dados serão devolvidos após o pagamento. Caso a empresa não tenha uma boa infraestrutura de backup para garantir a recuperação desses dados ela fica totalmente nas mãos desses atacantes. Considerando a quantidade de ataques realizados nos últimos tempos, é fundamental que uma organização aborde em sua política estratégias de prevenção. Prevenção contra o ransomware Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock A PSI tem por objetivo principal estabelecer formas de garantir os Pilares da Segurança da Informação, Confidencialidade, Integridade e Disponibilidade. Para tanto, deve estabelecer todas as regras tendo a proteção dos pilares como objetivo final. Garantir o CID Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock A plataforma .gov (www.gov.br) oferece diversos modelos de políticas. Entre no site e busque por Guias e Modelos. Garantir o CID Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock https://www.gov.br/governodigital/pt-br/privacidade_e_seguranca/guias-e-modelos-antigo Nesse tópico, abordamos algumas informações básicas que devem estar presentes em uma PSI No próximo tópico, verificaremos como se faz uma Política de Segurança da Informação. A seguir... Fonte: Adobe Stock Como elaborar uma PSI – parte 1 Uma PSI (Política de Segurança da Informação) pode ser estabelecida em 8 passos: • Definir quem serão os principais responsáveis pela PSI. • Fazer um diagnóstico de segurança da informação. • Categorizar os tipos de informações. • Estabelecer os níveis de acesso às informações. • Detalhar os recursos tecnológicos utilizados na proteção de dados. Elaboração de PSI Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock • Apontar as consequências para quem violar as diretrizes da PSI. • Comunicar a política de segurança da informação para toda a empresa. • Monitorar e atualizar a PSI. Veremos separadamente cada um deles. Elaboração de PSI Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Para a elaboração de uma política eficaz, é importante organizar um comitê multidisciplinar responsável pela criação de diretrizes, implementação e acompanhamento da PSI. Deverá ser definido um grupo de responsáveis por definir essas diretrizes e garantir que elas estejam sendo seguidas. Definição dos Responsáveis Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Nessa etapa é importante levantar os ativos de informação da empresa e avaliar a maturidade da segurança desses ativos. A partir desse diagnóstico, será mais fácil para os seus profissionais de TI identificarem os pontos que precisam ser melhorados, trazendo principalmente uma ordem de prioridade. Fazer um diagnóstico de segurança da informação Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Nesta etapa de elaboração da PSI, é necessário categorizar os tipos de informações que a organização deve buscar proteger e classificá-las como: • Públicas • Internas • Confidenciais • Restritas Categorizar os tipos de informações Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Dessa forma, fica mais fácil definir medidas eficazes, considerando as especificidades de cada tipo de informação e os riscos inerentes a elas. Categorizar os tipos de informações Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Depois de categorizar as informações da empresa, deve-se definir quem poderá acessá-las, levando em consideração os tipos e a natureza dessas informações. Ao estabelecer os níveis de acesso, deve-se deixar claro quem, como e quando determinados dados podem ser acessados. Pode ter casos em que o colaborador terá acesso único para uma informação, enquanto outros terão acessos a todos os níveis. Estabelecer os níveis de acesso às informações Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Nesse tópico, abordamos alguns pontos para se elaborar uma PSI. No próximo tópico continuaremos a conhecer esse processo. A seguir... Fonte: Adobe Stock Como elaborar uma PSI – parte 2 É importante detalhar as ferramentas que serão utilizadas para que os colaboradores possam fazer o uso correto delas. E para cada ferramenta determinar as regras de uso e acesso, informando que será mantido um registro de logs de todo e qualquer uso que for feito em cada ferramenta. Esta prática tem se mostrado bastante eficaz no controle do uso dos recursos. Detalhe os recursos tecnológicos utilizados na proteção de dados Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Aponte as consequências para quem violar as diretrizes da PSI. Nesse caso, além de iniciar o treinamento com todos os colaboradores, é importante apresentar a eles as consequências que erros humanos e tecnológicos causam para a empresa quando os dados são trabalhados de maneira pouco segura. Consequências para quem violar as diretrizes da PSI Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Após as revisões e análises da PSI, é essencial obter a aprovação do corpo gestor da organização e da equipe de segurança envolvida no processo. Importante destacar,também que, para que uma PSI seja útil, ela deve atender os objetivos da segurança da informação e ser aplicável. Aprove a Política Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Além da comunicação, é importante ter um treinamento cíclico na empresa e que esse treinamento seja repetido a cada alteração de política. Comunique a PSI Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Mantendo-se um treinamento sempre atualizado garante-se que todo colaborador que entre na empresa tenha o treinamento adequado para desempenhar sua função. Treine a PSI Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Acompanhe a implementação da política de segurança da informação de modo a garantir que os colaboradores sigam as diretrizes estabelecidas. O documento deve ser revisado periodicamente a fim de fazer as atualizações necessárias, conforme novas necessidades forem surgindo. Monitore e atualize a PSI Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Para monitorar esse e outros processos, o ideal é contar com a ajuda da tecnologia, por meio de um software especializado, desenvolvido para a gestão de performance de procedimentos operacionais. Monitore e atualize a PSI Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Nos tópicos anteriores, abordamos alguns pontos relevantes para se elaborar uma PSI. No próximo tópico continuaremos esse assunto. A seguir... Fonte: Adobe Stock Políticas de Segurança Cibernética A Política de Segurança Cibernética visa prover a metodologia necessária para instituir processos e controles para prevenir e reduzir as vulnerabilidades e atender aos demais objetivos relacionados à Segurança Cibernética. Na prática, sua função não é muito diferente daquilo que já foi explicado sobre PSI, contudo, para algumas empresas que precisam seguir a Resolução 4893/21 do Bacen, existe diferença. Política de Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Art. 1º Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil. Resolução 4893/21 Bacen Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Para as organizações que seguem a Resolução 4893/21 não basta ter somente a Política de Segurança da Informação, é necessário também ter uma Política de Segurança Cibernética, abordando as principais diretrizes de Segurança Cibernética determinadas no Capítulo II da Resolução. Para verificar uma PSC pública, verifique no site do Banco Central do Brasil. Resolução 4893/21 Bacen Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20CMN&numero=4893 https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=RESOLU%C3%87%C3%83O&numero=4658 Normalmente as organizações possuem uma PSI abordando os assuntos principais e, quando entendem ser necessário, políticas individuais como: • Política de Gestão de Acesso. • Política de Uso da Internet. • Política de Backup. • Política de Uso de Dispositivos Móveis. • Política de Gestão de Terceiros, etc. Demais políticas que envolvem segurança Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock As políticas corporativas gerais documentam ações, comportamentos e procedimentos que precisam ser seguidos dentro de uma empresa como um todo. Refletem propósitos e objetivos de uma organização, estabelecendo o que deve ser feito para alcança-los. Políticas corporativas gerais Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock As políticas orientam as ações que ocorrem dentro da empresa e impactam os colaboradores e gestores (políticas internas). Também se aplicam à forma como a organização se porta em relação ao público externo (políticas externas). Políticas corporativas gerais Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Além de políticas corporativas abrangerem o aspecto macro de uma empresa, também existe uma variedade de recomendações e normas que norteiam o trabalho diário e o funcionamento de uma organização. Entre as políticas que servem para unificar os procedimentos dentro de uma empresa, estão: Políticas corporativas gerais Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock • Políticas de Recursos Humanos, que envolvem processos de seleção, remuneração, saúde, previdência e treinamento de colaboradores. • Políticas de Vendas, que tratam do processo comercial e do relacionamento com o cliente. • Políticas de Produção, que regulam o processo produtivo e de qualidade. • Políticas Ambientais, que abordam o impacto da empresa no ambiente e questões de sustentabilidade. Políticas corporativas gerais Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Nos tópicos anteriores, abordamos as políticas que regem uma organização, focando especificamente na PSI. Na próxima aula, iniciaremos um novo assunto, abordando a Lei Geral de Proteção de Dados. Conclusão Fonte: Adobe Stock Aula 05 LGPD Vivemos um mundo virtual, isso é um fato. Conversamos com pessoas, trabalhamos, fazemos consultas médicas, jogamos, fazemos compras, abrimos contas em bancos, tudo de forma virtual, dentre inúmeras outras atividades. Tudo que fazemos na internet deixa rastros que interessam a terceiros. Seja um carrinho de compra virtual que não finalizamos ao tipo de pesquisas que realizamos livremente. O mundo virtual Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Todos nossos interesses são numericamente catalogadose utilizados por Machine Learning. A quantidade de informações que produzimos diariamente geram valores imensuráveis para muitas instituições. Vocês já pararam para pensar na quantidade de contratos que vocês assinam diariamente? Relações contratuais Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Quando baixamos apps clicamos em ícones dando permissões de acesso a nossos dados. Também é fato que, na grande maioria das vezes, não paramos para ler o que estamos consentindo. Já imaginaram ter suas atividades diárias divulgadas para todas as pessoas, considerando os lugares que vocês frequentam, a comida que pedem, a bebida que tomam, aquilo que se comenta nos bastidores? Consentimento Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Já imaginaram ter sua imagem vinculada a uma rede social criminosa? Tudo isso e muito mais pode acontecer quando não se protege a privacidade e os dados pessoais. Toda vez que concordamos com termos e políticas damos o nosso consentimento para que aquele aplicativo ou site faça o que quiser com nossos dados, não só o que livremente fornecemos, mas ao histórico que é gerado por nós. Consentimento Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Quanto vale sua privacidade? Quanto vale seu histórico de navegação? Quanto vale os endereços dos locais que vocês frequentam? Quanto vale seus dados pessoais? Esses são valores intrínsecos e extrínsecos que toda legislação de proteção de dados mundial tenta preservar. Valor da informação Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Dados processados geram valor econômico e hoje esse valor tem sido bem alto. A internet nos da a falsa sensação de privacidade, mas, a partir do momento que estamos em rede não estamos sozinhos. Trancamos a porta de casa para impedir que pessoas indesejáveis tenham acesso a nossas casas, mas postamos fotos íntimas nas redes sociais e a deixamos abertas para qualquer pessoa ver. Privacidade Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Damos autorização para sites e aplicativos escanearem nossas imagens para verificarmos como ficaremos quando estivermos mais velhos. E se nessa autorização estiver disposto que nossa imagem poderá ser utilizada para criação da inteligência artificial? Hoje temos aplicativos de inteligência artificial que manipula nossas fotos e as colocam em contextos diversos do que imaginamos. Contextualização dos dados Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Autorizamos e aceitamos tudo que aparece para podermos utilizar um aplicativo ou um site. Todos esses aceites são contratos. Quem protege nossos dados nessas relações contratuais virtuais? Quem nos protege da exposição indevida de nossos dados pessoais quando nós mesmos não damos a devida importância para sua proteção? Quem protege nossos dados nas relações virtuais? Fonte: Adobe Stock Em cenários caóticos e perigosos o Direito precisa intervir. Essa intervenção acontece por meio de promulgação de leis e regulamentos que ajudam a estabelecer a ordem das coisas. Assim surgiram as legislações mundiais sobre proteção de dados. Para garantir a inviolabilidade de nossa privacidade, não só no mundo físico, mas também no digital. A lei e a ordem Fonte: Adobe Stock Quando a ordem escapa do controle é o Direito que a traz de volta. É com essa força que recepcionamos a Lei Geral de Proteção de Dados. Assunto que estudaremos a partir da próxima aula. A seguir... Fonte: Adobe Stock Fundamentos da Lei Geral de Proteção de Dados O Direito à Privacidade, que faz parte do rol de direitos fundamentais sociais, ganhou novas perspectivas na Era Digital. Para não perder negócios, os países que ainda não tinham essa legislação específica, se viram obrigados a legislar, adaptando-se, principalmente, mas não só, à Legislação Europeia (GDPR). Introdução Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Iniciou com a Convenção 108/1980, que viabilizou a harmonia da legislação de proteção de dados, através da Diretiva 95/46/CE, que concedeu ao cidadão o direito de controlar suas informações pessoais e obrigou sites de pesquisa a remover dados pessoais impróprios. Posteriormente surgiu a Diretiva 2002/58/CE, que regulamentou proteção de dados nos serviços de comunicação eletrônica. Proteção de dados na Europa Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock O General Data Protection Regulation (GDPR), publicado em 14 de abril de 2016 e implementado em 25 de maio de 2018, revogou a Diretiva 95/46/CE. O objetivo do GDPR foi harmonizar as leis de proteção de dados pessoais por toda a Europa, com o intuito de proteger a privacidade de todos os cidadãos, reorganizando a maneira como organizações lidam com dados privado. Proteção de dados na Europa Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Em agosto de 2018 foi aprovada a Lei nº 13.709/18 que entrou em vigor em setembro de 2020. Posteriormente, em julho de 2019, foi instituída a Autoridade Nacional de Proteção de Dados. Em fevereiro de 2023 foi criada a dosimetria das penalidades e em agosto aplicada a primeira multa. Lei Geral de Proteção de Dados Fonte: Adobe Stock Trata-se de uma Legislação jovem que ainda passará por bastante mudanças. Seu contexto histórico vem da necessidade do Brasil se adequar às legislações internacionais que passaram a cuidar dos dados pessoais no âmbito dos Direitos Humanos. Lei Geral de Proteção de Dados Fonte: Adobe Stock A LGPD é uma norma que regulamenta a utilização da dados pessoais, não a proíbe. Com a lei, toda atividade que envolve dados pessoais tem regras e diretrizes claras e objetivas, devendo estar alinhada com os tratamentos determinados pela lei, o que traz segurança para os titulares dos dados. Importante destacar que a LGPD protege os dados das pessoas físicas e não jurídicas. Lei Geral de Proteção de Dados Fonte: Adobe Stock A LGPD trouxe uma nova perspectiva de negócio para o mercado internacional ao se adequar aos padrões necessários. No próximo tópico daremos continuidade a esse tema, explorando um pouco mais o assunto. A seguir... Fonte: Adobe Stock Conteúdo e Definições da LGPD Antes de adentrarmos aos pormenores da Lei é importante destacar a diferença entre dados pessoais simples e dados sensíveis, nos termos do art. 5º, I e II: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; Dado pessoal e sensível Segurança daInformação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; Essa definição é fundamental porque a LGPD dará cuidado especial ao dado pessoal de natureza sensível. Dado pessoal e sensível Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock O art. 6º da norma traz em seus incisos os princípios que devem ser observados no tratamento de dados pessoais. São eles: Princípios que norteiam as atividades de tratamento Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética I. Finalidade VI. Transparência II. Adequação VII. Segurança III. Necessidade VIII. Prevenção IV. Livre acesso IX. Não discriminação V. Qualidade dos dados X. Responsabilização e prestação de contas Fonte: Adobe Stock Conforme dissemos anteriormente a LGPD não proíbe o tratamento de dados pessoais, ela somente determina como eles devem ser tratados. Ela traz nos incisos do art. 7º as hipóteses de tratamento de dados num rol taxativo, ou seja, fora dessas hipóteses, os dados pessoais não poderão ser tratados. Bases legais de tratamento de dados pessoais Fonte: Adobe Stock As 10 bases legais da LGPD são: Bases legais de tratamento de dados pessoais Fonte: Adobe Stock I. Consentimento do titular VI. Execução ou preparação contratual II. Legítimo interesse VII. Exercício regular de direitos III. Cumprimento de obrigação legal ou regulatória VIII. Proteção da vida e da incolumidade física IV. Tratamento pela administração pública IX. Tutela de saúde do titular V. Realização de estudos e de pesquisa X. Proteção de crédito A forma de tratamento de dados determinada pela LGPD não pode ser distinta das bases legais que mencionamos. Esses incisos é o que chamamos no Direito de rol taxativo. Lei Geral de Proteção de Dados Fonte: Adobe Stock Nesse tópico, iniciamos a abordagem dos artigos da LGPD. No próximo tópico, falaremos sobre os Direito dos Titulares. A seguir... Fonte: Adobe Stock Direito do Titulares Um dos capítulos mais importantes que a LGPD traz é o terceiro que trata dos Direitos dos Titulares. Assim dispõem o art. 18: Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento Direito dos Titulares Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock II - acesso aos dados III - correção de dados incompletos, inexatos ou desatualizados IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD Direito dos Titulares Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD Direito dos Titulares Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa IX - revogação do consentimento, nos termos do § 5º do art. 8º da LGPD Direito dos Titulares Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Os direitos dos titulares deverão ser atendidos mediante requisição. Na plataforma gov.br é possível preencher uma requisição de acesso aos dados pessoais tratados. Direito dos Titulares Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock https://www.gov.br/ https://www.gov.br/mds/pt-br/acesso-a-informacao/lgpd/direitos-do-titular Apesar dos direitos dos titulares de dados estarem bem discriminados na LGPD, há inúmeros pontos da lei que precisam ser regulamentados pela ANPD, o que dificulta um plano de resposta das empresas às solicitações dos titulares de dados. Enquanto a regulamentação desses pontos não ocorre, as empresas devem seguir o caminho mais seguro de adequação à lei, contando, preferencialmente, com a ajuda de uma equipe especializada em proteção de dados. Adequações à LGPD Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock O dever do titular é o de manter seus dados atualizados e informar qualquer modificação No próximo tópico daremos continuidade a esse tema, explorando um pouco mais o assunto. Conclusão Fonte: Adobe Stock LGPD e Vazamento de Dados Um ponto importante para destacarmos é sobre o vazamento de dados e como a LGPD trabalha com esse tipo de incidente. Então, inicialmente, o que se entende por Vazamento de Dados? É o ato pelo qual os dados confidenciais de uma pessoa ou de uma organização são indevidamente acessados, coletados e divulgados na internet ou repassados a terceiros. Vazamento de Dados Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Normalmente o vazamento ocorre por: • Códigos maliciosos que exploram vulnerabilidades em sistemas • Acesso às contas dos usuários por meio de senhas fracas ou vazadas • Ação de funcionários ou ex-funcionários que furtam informações dos sistemas da empresa e repassam para terceiros • Roubo de equipamentos que contenham dados sigilosos Como ocorre o vazamento de dados? Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Segurança da Informação Segurança Cibernética Fonte: Adobe Stock Considerando as definições da LGPD, um incidente de segurança é um acontecimento indesejado ou inesperado, hábil a comprometer a segurança dos dados pessoais, de modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Qual é a diferença entre vazamento de dados e incidente de segurança? Segurança da Informação Segurança Cibernética Segurança da Informação
Compartilhar