Buscar
  • Virtual Connection

Paradigmas da Segurança da Informação – Uma visão Global

Atualizado: 6 de mai.

A complexidade e o dinamismo das organizações, aliados ao aumento exacerbado de informações, impõem uma visão global sobre a segurança que a coloca como um problema de negócio e demandam esforços mais abrangentes, com foco em gerenciamento de riscos ligados a objetivos mais amplos, como a continuidade dos negócios, a redução de custos com incidentes de segurança e o aumento da competitividade, através de ações proativas, adaptativas, orientadas para processos, por um gerenciamento sistêmico e contínuo da Segurança da Informação.

Nas organizações, nos últimos 2 anos, devido ao aumento sem precedentes de ataques, percebe-se, uma mudança de paradigmas, em que os antigos “colaboradores” que recebiam as informações de forma passiva, dão lugar a “usuários” elementos ativos, que interagem com os processos e procedimentos organizacionais e com os sistemas de informação, estes por sua vez, vêm se tornando mutáveis e atrelados aos avanços tecnológicos.







Como funciona a segurança da informação?


Entendemos que a gestão da segurança da informação é uma atividade básica para proteger a informação de ameaças a sua integridade, disponibilidade e confidencialidade. Além de ser responsável por assegurar e controlar o ambiente informacional na organização.



Qual a diferença entre a Segurança da Informação e Cibersegurança?


A Segurança da Informação é um grande quebra-cabeça, independente da sua forma ou estado, a informação requer adequadas medidas de proteção, de acordo com a sua importância e criticidade, e esse é precisamente o campo da segurança da informação.


A Cibersegurança (Segurança de TI) é apenas uma parte desse quebra-cabeça. Uma parte importante e que exige muita atenção, mas ainda uma parte do todo. Portanto, a Cibersegurança tem como foco a proteção da informação digital.



O que é vulnerabilidades na segurança da informação?


VULNERABILIDADE - Condição que, quando explorada por um criminoso cibernético, pode resultar em uma violação de segurança cibernética dos sistemas computacionais ou redes de computadores, e consiste na interseção de três fatores: suscetibilidade ou falha do sistema, acesso possível à falha e capacidade de explorar essa falha; https://www.gov.br/gsi/pt-br/assuntos/dsi/glossario-de-seguranca-da-informacao-1


Importância da Segurança da Informação


Vivenciamos uma avalanche de recursos tecnológicos - redes de relacionamentos, aplicativos móveis, redes de colaboração, ferramentas de mensagem instantânea e outros - que estão sendo inseridas no ambiente organizacional justificadas por inúmeros benefícios, dentre eles, agilidade, produtividade e poder de soluções no ambiente de trabalho. Em contrapartida, em alguns casos percebe-se uma certa negligência com os diferentes tipos de ameaças e vulnerabilidades introduzidas por tais ferramentas.


Em um momento em que, para muitos, não importa a exposição que tais ferramentas podem ocasionar, aplicativos e softwares são instalados sem nenhum conhecimento prévio dos seus riscos e vulnerabilidades que podem provocar.


A convergência tecnológica já não possibilita a proibição de alguns recursos tecnológicos dentro do ambiente organizacional, e os mesmos dispositivos e os recursos que beneficiam as organizações acabam tornando-as vulneráveis. Nesse sentido, as organizações enfrentam este dilema: como controlar, proibir e gerenciar essa infinidade de recursos dentro da organização sem limitar, engessar e gerar conflitos? Como garantir um ambiente informacional seguro, considerando a evolução tecnológica e da sociedade?


Lyra (2008) enfatiza que a segurança da informação é obtida com a implementação de um conjunto de controles adequados que inclui políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Esses controles, além de implementados, precisam ser estabelecidos, monitorados, analisados criticamente e melhorados onde for necessário, para garantir que os objetivos do negócio e da segurança da organização sejam atendidos.


Reduzindo e mitigando riscos em Segurança da Informação


Nenhum sistema está 100% seguro, mas é possível reduzir e mitigar os riscos. Com uma Política de Segurança estruturada, personalizada e sustentável, atrelada a ferramentas tecnológicas eficazes, equipes bem treinadas para responder a incidentes, engajamento de toda a organização, é possível atingir níveis altos de maturidade da Segurança da Informação.

Ex. Ativos tecnológicos:

1. Controle de Identidades e Acesso, IAM, SSO, AD, SFTP

2. Backup de segurança da informação de documentos e sistemas críticos

3. Softwares de monitoramento, Gerenciamento de Logs, SIEM, IDS, SGSI, Controles CIS

4. Antivírus

5. Firewall, VPN, autenticação Duplo-Fator

6. Criptografia e protocolos de segurança

7. Testes de Intrusão

8. Gerenciamento de Vulnerabilidades

9. Auditoria de Sistemas

10. Treinamentos de segurança

11. Inventário de ativos e Gerenciamento de Licenciamento


Quais ferramentas são usadas para medir a Segurança da Informação?


ISO 27001

O principal objetivo da ISO 27001 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.

https://www.iso.org/isoiec-27001-information-security.html


CIS Controls®

Os controles CIS são um conjunto de práticas recomendadas de segurança cibernética e ações defensivas que ajudam a evitar os principais ataques da atualidade. Os Controles CIS fornecem orientação específica e um caminho claro para que as organizações atinjam os objetivos e metas descritos por várias estruturas legais, regulamentares e políticas. São um conjunto de 20 controles tecnológicos e de processos, que ajudam a estruturar os fundamentos para seu programa de segurança de informações e a base para toda a sua estratégia de segurança.

https://www.cisecurity.org/controls


NIST

O framework de segurança cibernética NIST, também chamado em inglês de NIST Cyber Security Framework, fornece uma estrutura, com base nos padrões, diretrizes e práticas existentes para organizações do setor privado nos Estados Unidos, a fim de gerenciar e reduzir melhor o risco de segurança cibernética. Além de ajudar as organizações a prevenir, detectar e responder a ameaças cibernéticas e ataques cibernéticos, ele foi projetado para melhorar as comunicações de segurança cibernética e gerenciamento de riscos entre as partes interessadas internas e externas.

https://www.nist.gov/cyberframework


MITRE ATT & CK®

É uma base de conhecimento globalmente acessível de táticas e técnicas adversárias com base em observações do mundo real. A base de conhecimento da ATT & CK é usada como base para o desenvolvimento de modelos e metodologias de ameaças específicas no setor privado, no governo e na comunidade de produtos e serviços de segurança cibernética.

https://attack.mitre.org/


Security ScoreCard

A Security Scorecard é uma empresa de segurança da informação que avalia as posturas de segurança cibernética de entidades corporativas por meio da conclusão de análises pontuadas de sinais de inteligência de ameaças cibernéticas para fins de gerenciamento de terceiros e gerenciamento de riscos de TI.

https://securityscorecard.com/


Top 10 ataques Cibernéticos

  1. Phishing - O phishing tem esse nome em referência à palavra fishing ou pescaria. Nesse tipo de ataque cibernético, os criminosos “jogam uma isca” para tentar fisgar um internauta que não percebe que está prestes a cair em uma armadilha.

2. Ransomware - O ransomware é o “malware sequestrador”, aquele que sequestra dados sensíveis e pede resgate para devolvê-los.



3. DDoS Attack - Um ataque DDoS tem por objetivo “esgotar os recursos utilizados por uma rede, aplicativo ou serviço, tornando-o inacessível para os usuários”.


4. Port Scanning Attack - O Port Scanning Attack é um tipo de ataque cibernético realizado por um malware programado para fazer uma varredura em busca de vulnerabilidades que possam ser exploradas.


5. Cavalo De Troia - O Trojan Horse tem esse nome justamente por ser uma ameaça que parece um programa legítimo e, por isso, obtém permissão do usuário para atuar.


6. Ataques De Força Bruta - O ataque de força bruta é uma estratégia de invasão baseada em tentativa e erro. Apesar de ser um método antigo, segue como um tipo de ataque cibernético comum porque pode ser feito de forma rápida e eficiente.


7. Cryptojacking - O cryptojacking é um ataque que tem por objetivo usar o dispositivo da vítima para minerar criptomoedas, explorando a capacidade do computador ou qualquer outro aparelho conectado à internet, podendo deixá-lo lento.

8. Ataque de injeção SQL - A injeção de SQL se tornou um problema comum nos sites movidos a banco de dados. Ele ocorre quando um malfeitor executa uma consulta de SQL no banco de dados através dos dados de entrada do cliente pra o servidor.

9. Ataque de Cross-site scripting (XSS) - Ataques de XSS usam recursos web de terceiros para executar scripts no navegador ou na aplicação da vítima. Especificamente, o atacante injeta uma carga com um Javascript malicioso em um banco de dados de um site. Quando a vítima requisita uma página do site, o site transmite a página com a carga do atacante como parte do corpo HTML para o navegador da vítima, que executa o script malicioso.





10. Ataques de Malware - Softwares maliciosos podem ser definidos como softwares indesejados que são instalados no seu sistema sem o seu consentimento. Ele pode se anexar em um código legitimo e se propagar, ele pode se esconder em aplicações uteis e se replicar através da internet. Virus de Macro, Infectador de arquivos, Infectadores de sistema ou registros de inicialização, Vírus polimórficos, Vírus invisíveis, Trojans, Bombas logicas, Worms, Droppers, Adware, Spyware. Vale ou não vale investir em segurança da informação? Com uma equipe especialista na segurança do seu negócio!


Conheça mais do Francis no Linkedin:



Referências


Mascarenhas Neto, Pedro Tenório. Segurança da informação: uma visão sistêmica para implantação em organizações / Pedro Tenório Mascarenhas Neto, Wagner Junqueira Araújo. - João Pessoa: Editora da UFPB, 2019.

STACEY, T. R. Contingency planning best practices and program maturity. In: TIPTON, H.;

KRAUSE, M. Information Security Management Handbook. 6. ed. Auerbach Publications, 2007.

SWANSON, M. et al. Contingency planning guide for information technology systems recommendations of the national institute of standards and technology. 2002.

TIPTON, H.; KRAUSE, M. Information Security Management Handbook. 6. ed. Auerbach Publications, 2007.

ZAPATER, M.; SUZUKI, R. Segurança da Informação: um diferencial determinante na competitividade das corporações. Promon Business & Technology Review. 2009

STALLINGS, W. Network security essentials. 4. ed. Pearson Education, 2007


ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR

27002: Tecnologia da Informação, técnicas de segurança e código de prática para controles de segurança da informação. Rio de janeiro, 2013.


DARYUS. Pesquisa nacional de segurança da informação. Disponível em:<http://conteudo.daryus.com.br/pesquisa-nacional-de-seguranca-dainformacao-2014>.


NAKAMURA, Emílio; GEUS, Paulo. Segurança de redes em ambientes corporativos. São Paulo: Berkeley Brasil, 2002.


SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva – Rio de Janeiro: Campus, 2003.


57 visualizações0 comentário