As organizações de hoje devem estar preparadas para lidar com a ameaça de ataques cibernéticos e violações de dados. Todos os negócios, companhias e empresas devem se esforçar para evitar um ataque ou interrupção, juntamente com qualquer uma das consequências de longo alcance experimentadas devido a isso. Essas consequências incluem perdas financeiras, operações e conformidade afetadas negativamente e dano reputacional de longo prazo. Qualquer um desses fatores pode prejudicar os negócios de uma organização e colocá-la em desvantagem competitiva. Em seu white paper, a pesquisa da IDC relata “que o custo 'médio' do tempo de inatividade excede US$ 200.000 por hora”.1
O que você pode fazer para proteger sua organização contra ataques cibernéticos e violações de dados? Quais ferramentas você pode usar para aumentar sua resiliência contra eles e melhorar suas chances de evitá-los? Como você mitigará seus danos e reduzirá seu tempo de recuperação? A segurança da informação e a segurança cibernética são duas ferramentas que podem ajudá-lo a proteger sua organização contra hackers que podem causar danos.
O que é segurança da informação?
A Techopedia afirma que a segurança da informação (InfoSec), às vezes abreviada como IS ou chamada de segurança de dados, destina-se a “proteger a confidencialidade, integridade e disponibilidade dos dados do sistema de computador contra indivíduos com intenções maliciosas”.2 Envolve manter os dados seguros e impedir que acessos não autorizados ou alterações semelhantes ocorram quando os dados estão sendo armazenados ou transferidos de um dispositivo para outro.
O SANS Institute oferece uma definição mais ampla, definindo InfoSec como “os processos e metodologias que são projetados e implementados para proteger informações impressas, eletrônicas ou qualquer outra forma de informação ou dados confidenciais, privados e sensíveis contra acesso não autorizado, uso, uso indevido, divulgação, destruição, modificação ou interrupção”.3
O National Institute of Standards and Technology (NIST) define InfoSec resumidamente como a “proteção de sistemas de informação contra acesso não autorizado ou modificação de informações”.4 No entanto, com base nessa definição mais simples, o NIST a expande para incluir o ato de proteger informações “em armazenamento, processamento ou trânsito, e contra a negação de serviço a usuários autorizados, e inclui medidas necessárias para detectar, documentar e combater tais ameaças”.4
O que é segurança cibernética?
A Technopedia refere-se à segurança cibernética como “métodos preventivos usados para proteger as informações de serem roubadas, comprometidas ou atacadas que exigem uma compreensão de possíveis ameaças à informação, como vírus e outros códigos maliciosos”.5 O NIST define cibersegurança como a “capacidade de proteger ou defender o uso do ciberespaço contra ataques cibernéticos”.4 A Security Scorecard simplifica a definição do NIST afirmando que “a cibersegurança está relacionada a ataques de fora de uma organização e é a estrutura de proteção e segurança de qualquer coisa que seja vulnerável a hackers, ataques ou acesso não autorizado específicos à tecnologia”.6
As estratégias e ferramentas que a cibersegurança usa incluem os seguintes exemplos:
- Gerenciamento de identidade e acesso
- Gestão de risco
- Gerenciamento de incidentes
- Software antivírus e antimalware
- Patches de software
- Firewalls
- Autenticação de dois fatores
- Criptografia
Devido à natureza crítica da segurança cibernética, é essencial que uma organização tenha um plano abrangente de segurança cibernética implementado. Muitas empresas exigem a profunda experiência de um responsável pela segurança (CSO) ou responsável pela segurança da informação (CISO) dedicado na equipe para supervisionar a operação.
InfoSec versus segurança cibernética
É fácil pensar em InfoSec e segurança cibernética como conceitos gerais e sinônimos de resiliência cibernética. Ambos os conceitos envolvem a proteção de informações, gerenciamento e mitigação de riscos e incidentes disruptivos e redução do impacto que quaisquer incidentes disruptivos criariam.
No entanto, eles não são intercambiáveis e há distinções claras entre os dois termos que estão relacionadas ao modo de armazenamento dos dados e à forma que eles assumem.
A InfoSec preocupa-se principalmente com a segurança dos dados, independentemente de serem dados digitais ou analógicos. Para todos os efeitos, o conceito de InfoSec pode ser aplicado com a mesma facilidade para proteger o conteúdo do seu cofre doméstico, assim como para proteger todos os dados digitais da sua organização. Ter um firewall é importante para a segurança das informações, mas os métodos para proteger ativos físicos também são, como ter segurança pessoal e trancar portas ou tomar medidas semelhantes para limitar o acesso apenas aos funcionários que precisam de acesso a determinadas áreas.
A SecurityScorecard observa que “a cibersegurança refere-se exclusivamente à proteção de dados originados em formato digital, incluindo informações, sistemas e redes digitais”.6 A exclusividade da segurança cibernética em relação aos dados digitais ajuda a diferenciá-la da segurança da informação.
O site da CSO oferece uma explicação diferente para a diferença entre segurança da informação e segurança cibernética, observando que “segurança cibernética é a prática mais ampla de defender os ativos de TI contra ataques, e a segurança da informação é uma disciplina específica da área de segurança cibernética”.7 Expandindo esse conceito, a CSO observa que “segurança de rede e segurança de aplicações são práticas irmãs da segurança da informação que se concentram em redes e código de aplicação, respectivamente”.7
Aplicando a segurança da informação à segurança do data center
Quando se trata das aplicações práticas da segurança da informação, considere a segurança do data center, seja gerenciada diretamente por uma organização seja gerenciada por seu provedor de serviços em nuvem. Os data centers são muito complexos e exigem segurança física e segurança de software ou segurança virtual. O projeto, o layout e a localização do edifício do data center geralmente são incorporados às estratégias de segurança física, incluindo a localização do data center, longe das estradas principais e o estabelecimento de zonas de buffer ao redor do data center. Outras técnicas e ferramentas para otimizar a segurança física de um data center incluem o uso do seguinte:
- Guardas de segurança, câmeras e sistemas de alarme
- Autenticação de dois fatores, cartões de verificação de identidade pessoal (PIV) e senhas pessoais
- Leitores de crachás e sistemas biométricos, como leitores de impressão digital, software de reconhecimento facial e scanners de íris
Além de impedir o acesso não autorizado, a segurança física também pode ser usada para evitar danos ao data center como resultado de um desastre ou interrupção semelhante. Por exemplo, se houve uma grande queda de energia e a energia não for restaurada rapidamente, pode ser difícil estabelecer a refrigeração adequada para todos os servidores do data center, resultando em danos aos servidores. No entanto, o emprego de redundâncias, como backups de energia adicionais e sistemas de refrigeração que funcionam por mais tempo com menos energia, ajuda a evitar danos e a garantir a integridade dos servidores.
Enquanto a segurança física usa diferentes ferramentas e técnicas para garantir a segurança de um data center e seus dados, os processos de segurança de software usam ferramentas e técnicas digitais. Essas ferramentas e técnicas digitais impedem o acesso não autorizado à rede do data center, incluindo qualquer evento que possa danificar o data center ou resultar em roubo ou acesso não autorizado de seus dados. As ferramentas de gerenciamento de informações e eventos de segurança (SIEM) ajudam a fornecer supervisão e gerenciamento do data center em tempo real. O SIEM pode ser usado para controlar quem tem acesso a diferentes partes do data center e seus dados, além de sistemas de alarme e sensores em todo o data center.
Antes que qualquer item seja implementado na rede do data center, ele deve ser verificado e avaliado para determinar se representa algum dano à integridade da rede do data center. Essas verificações geralmente procuram malware ou um software ou código malicioso semelhante.
Quais são os princípios fundamentais da segurança da informação?
Mencionados pela primeira vez em uma publicação do NIST em 1977,8 o que é comumente conhecido como a tríade da CIA consiste nos princípios fundamentais que compõem o coração da segurança da informação. Esses três princípios são:
- Confidencialidade
- Integridade
- Disponibilidade
O que é confidencialidade?
Indiscutivelmente o elemento que mais representa a segurança da informação, a confidencialidade refere-se ao ato de proteger a privacidade e manter restrições de autorização para divulgação e acesso a dados, informações, software ou algo semelhante. A CSO observa que, para manter a confidencialidade, sua segurança de TI deve “ser capaz de identificar quem está tentando acessar os dados e bloquear tentativas de pessoas sem autorização”.7 As ferramentas que aumentam sua resiliência cibernética e ajudam a garantir a confidencialidade dos dados incluem o seguinte:
- Autenticação de fator único (SFA), autenticação de dois fatores (2FA), autenticação multifator (MFA) e outros tipos semelhantes de autenticação
- Autenticação baseada em senha, que é o tipo mais comum de autenticação
- Criptografia simétrica e criptografia assimétrica
- Produtos e serviços de gerenciamento de acesso e de identidade
O que é integridade?
Integridade refere-se ao ato de manter a homeostase dos seus dados e protegê-los contra modificação e destruição imprópria ou não autorizada. Muitas das ferramentas e práticas para garantir a confidencialidade dos dados são idênticas às práticas usadas para defender a integridade dos dados.
As ferramentas que aumentam sua resiliência cibernética e ajudam a garantir a integridade dos dados incluem:
- Checksums ou hashes são valores alfanuméricos que representam exclusivamente o conteúdo de um arquivo e são frequentemente usados para verificar a integridade de um arquivo. Por exemplo, um instalador de arquivo que foi baixado de um site externo.
- Os sistemas de controle de versão (VCSs) ajudam os usuários a acompanhar os históricos de seus arquivos, incluindo quais alterações foram feitas em seus arquivos e quando essas alterações foram feitas.
- O Git é um exemplo de um VCS e o GitHub é um site que hospeda projetos usando o Git.
- Backups de dados frequentes ajudam a garantir que seus dados sejam restaurados de seu estado mais recente.
- Coincidir com backups de dados e estabelecer objetivos de tempo de recuperação (RTO) e objetivos de ponto de recuperação (RPO) ajuda a garantir que, se ocorrer uma interrupção, o processo de recuperação de desastres será muito mais simplificado.
- Um cofre cibernético ajuda a proteger seus dados críticos contra ameaças cibernéticas maliciosas. Os cofres cibernéticos funcionam como um cofre isolado e rico em segurança de armazenamento imutável com varreduras analíticas monitorando seus dados e detectando ameaças potenciais, acesso não autorizado ou problemas semelhantes. Uma solução de recuperação cibernética, os cofres cibernéticos ajudam a garantir que seus dados estejam limpos, protegidos e acessíveis quando você precisar restaurá-los.
A SecurityScorecard afirma que, ao manter a integridade, você garante “o não repúdio e a autenticidade das informações dos seus dados”.5 A CSO compartilha um ponto semelhante e expande o que é não repúdio, definindo-o como “ser capaz de provar que você manteve a integridade dos seus dados, especialmente em contextos legais”.7
O que é disponibilidade?
Embora a integridade compartilhe muitas semelhanças com a confidencialidade, a disponibilidade é um reflexo quase perfeito da confidencialidade. A principal diferença é que o conceito de integridade aborda quais dados os usuários não autorizados não devem acessar. O conceito de disponibilidade aborda quais dados os usuários autorizados podem acessar.
Estabelecer permissões adequadas é uma maneira de garantir a acessibilidade dos seus dados. A CSO afirma que você pode garantir a disponibilidade dos dados “combinando os recursos de rede e de computação com o volume de acesso de dados que você espera e implementando uma boa política de backup para fins de recuperação de desastres”.7
Garantir que seus dados sejam confidenciais e disponíveis é um ato de equilíbrio que muitas organizações têm dificuldade em manter. Assim como na integridade, estabeleça um cronograma regular para replicar e fazer backup dos seus arquivos. Esses processos ajudam a aperfeiçoar o processo de recuperação de desastres e a garantir uma recuperação rápida. Além de fazer backups frequentes dos seus arquivos, a CSO afirma que, para garantir a disponibilidade dos dados, você deve “combinar os recursos de rede e de computação com o volume de acesso de dados que você espera”.7
O que é recuperação de desastres como serviço?
A recuperação de desastres como serviço (DRaaS) é um componente importante da disponibilidade, garantindo que você sempre tenha acesso aos seus dados, ativos de TI e aplicações ou, se não estiverem disponíveis imediatamente, ficarão disponíveis rapidamente.
Em seu Guia de mercado para recuperação de desastres como serviço, a Gartner observa que “a DRaaS é uma ótima opção para líderes de infraestrutura e operações que desejam melhorar a resiliência de TI de maneira econômica, atender aos requisitos de conformidade ou regulamentares e solucionar deficiências de recursos”.9
A Techopedia define DRaaS como “um modelo de serviço de backup e computação em nuvem que usa recursos de nuvem para proteger aplicações e dados, funcionando como uma segunda infraestrutura que dá a uma organização um backup total do sistema que permite a continuidade dos negócios em caso de falha do sistema”.10
A IBM destaca que a DRaaS “fornece replicação contínua de aplicativos e infraestrutura críticos, dados e sistemas para recuperação rápida após uma indisponibilidade de TI e inclui os seguintes recursos:
- RTOs confiáveis, verificáveis e consistentes em minutos e RPOs em segundos
- Arquiteturas de soluções personalizadas, incluindo combinações de nuvem privada, pública e híbrida, disco e fita"11
A IBM também observa que a DRaaS ajuda a “dar suporte à resiliência dos negócios”10 e “fornece serviços abrangentes de recuperação de desastres, incluindo processos de orquestração de recuperação de desastres, monitoramento de integridade de recuperação de desastres e replicação contínua de aplicações, infraestrutura, dados e sistemas em nuvem”.12
“A DRaaS geralmente é combinada com um plano de recuperação de desastres (DRP) ou um plano de continuidade de negócios (BCP)”.10 Se a DRaaS funcionar corretamente, as organizações poderão continuar com seus processos diários, apesar de qualquer interrupção ou reparos necessários, executando-os em máquinas virtuais (VMs).
A Gartner observa que o provedor de DRaaS “pode fornecer o serviço como uma oferta totalmente gerenciada, uma oferta de recuperação assistida ou um modelo de software como serviço (SaaS)”.9 O serviço DRaaS deve ser “comercializado e vendido como uma oferta independente e industrializada” e inclui, no mínimo, os seguintes recursos:
- Nuvem de recuperação sob demanda para exercícios planejados e declarações
- Imagem de servidor e replicação de dados de produção para a nuvem
- Failover e failback automatizados entre local e nuvem
- Acordos de nível de serviço (SLAs) de tempo de recuperação9
Fontes
- Cinco tecnologias-chave para ativar uma estrutura de resiliência cibernética (em inglês), ITC. Outubro de 2020.
- Segurança da Informação (SI) (em inglês), Techopedia.
- Recursos de segurança da informação (em inglês), SANS.
- Glossário de informações-chave e termos de segurança (em inglês), NIST, Maio de 2013.
- Segurança cibernética (em inglês), Techopedia.
- A diferença entre segurança cibernética e segurança da informação (em inglês), SecurityScorecard, 04 de maio de 2020.
- O que é segurança da informação? Definição, princípios e trabalhos (em inglês), CSO, 17 de janeiro de 2020.
- Ferramentas e técnicas de auditoria de pós-processamento (em inglês), U.S. Department of Commerce, National Bureau of Standards, outubro de 1977.
- Guia de mercado para recuperação de desastres como serviço (em inglês), Gartner, 25 de junho de 2020.
- Recuperação de desastres como serviço (DRaaS), Techopedia.
- Recuperação de desastres (em inglês), IBM.
- Recuperação de plataforma híbrida de DRaaS, Kyndryl.