Saber os requisitos de segurança da informação permitirá que você saiba como achar a melhor ferramenta e como adequá-la às necessidades da sua empresa.
Os riscos de ataques cibercriminosos e ameaças virtuais crescem a cada dia. Sendo necessário que as empresas estejam sempre em busca de soluções e ferramentas de segurança da informação.
Inicialmente, estes ataques podem ocasionar perda ou vazamento de dados confidenciais e de extrema importância na sua infraestrutura.
A relação entre LGPD (Lei Geral de Proteção de Dados Pessoais) e segurança da informação faz referência à privacidade e à proteção de dados pessoais.
A lei também traz diversos benefícios para a empresa quanto à prática de segurança por prever a utilização de medidas administrativas e técnicas que aprimoram a cibersegurança.
Segundo o levantamento da Veronis, somente 5% dos arquivos de uma empresa estão protegidos de forma devida.
Neste artigo abordaremos os seguintes tópicos:
- O que são requisitos?
- O que é segurança da informação?
- Requisitos de segurança da informação
- Como impulsionar seu negócio com requisitos de segurança da informação?
- Monitora é a sua aliada em requisitos de segurança da informação
O que são requisitos?
Requisitos é um termo utilizado em todas as áreas, e que de uma forma geral descreve uma necessidade ou desejo, às vezes pessoal, às vezes de uma organização.
Tais desejos nem sempre são explícitos, documentados ou até mesmo claros para quem o deseja.
Entretanto, trazendo o termo a área de tecnologia, requisito é algo que um sistema ou componente precisa ter para poder satisfazer um padrão, especificação ou contrato.
O que é segurança da informação?
É possível dividir o conceito de segurança da informação em dois
Informação: Conteúdo de valor para uma pessoa física ou jurídica;
Segurança: Percepção contra perigos, incertezas e ameaças;
Portanto, segurança da informação é um conjunto de ferramentas e estratégias para gerenciar políticas e processos que são necessários para a detecção, combate e prevenção de ameaças às informações.
E o que faz parte da segurança da informação são os softwares, computadores, redes, colaboradores e hardwares.
Algumas das metodologias mais utilizadas na investigação dos requisitos de segurança são a:
- Classificação de dados.
- Modelagem de caso de abuso e uso.
- Matriz de objeto-sujeito.
- Pesquisas de opinião (como questionários e entrevistas).
- Decomposição da política.
- Brainstorming.
Em outras palavras, a proteção de dados contra ameaças externas e internas requer a garantia de alguns princípios básicos da segurança da informação. Em resumo, alguns exemplos seriam, a Integridade, Confidencialidade e Disponibilidade (CID).
Portanto, saiba mais sobre estes três principais princípios, também chamados de trinca sagrada e sobre outros três princípios muito importantes, que são a Irretratabilidade, Conformidade e a Autenticidade.
Princípio da Integridade
O princípio da integridade está ligada à confiabilidade dos dados. Nessa perspectiva, seu maior objetivo é garantir que a empresa possa utilizar as informações de forma eficiente, mantendo-as sempre exatas e sem qualquer alteração.
Sendo assim, este princípio é muito importante para o cenário empresarial atual e qualquer interferência externa pode ocasionar na adulteração de informações, levando profissionais a tomada de decisões incorretas e que podem acarretar perda de competitividade, por exemplo.
As ferramentas que sustentam o princípio da Integridade são o Backup e a Assinatura Digital.
Backup: Quando uma informação é corrompida por algum motivo, ela se torna indisponível. E a recuperação desta informação é feita por meio do Backup, que garante a completude da informação.
Assinatura Digital: Quando um documento é assinado digitalmente, qualquer alteração que for realizada nele acarretará em uma violação dessa assinatura. Por isso, sempre que houver uma alteração em uma documentação, será necessário uma nova assinatura, garantindo assim o controle dessas alterações no documento.
Portanto, veja alguns exemplos:
- Para permitir que o interessado possa validar a precisão e a completude do software a ser publicado, é necessário oferecer juntamente com ele o checksum e a função hash usada para computar o checksum.
- Todos os formulários de entrada e query strings necessitam ser validados frente a um conjunto de entradas aceitáveis, antes do software aceitá-los para processamento.
- Sendo assim, todos os indivíduos não humanos como, por exemplo, um sistema ou processos batch precisam ser especificados, monitorados e vedados de alterar os dados, à proporção que ele passa no sistema que eles rodam, a menos que estejam autorizados para tal.
Princípio da Confidencialidade
O princípio da confidencialidade ou privacidade garante que pessoas não autorizadas tenham acesso limitado às informações, permitindo o acesso somente a pessoas, sistemas, processos, máquinas e outros legitimamente autorizados a acessá-las.
Portanto, a ferramenta que sustenta o princípio da confidencialidade é a Criptografia.
Criptografia: Técnica que faz a informação ser embaralhada através de algoritmos, a Criptografia faz com que os dados se transformem em algo indecifrável.
Princípio da Disponibilidade
O Princípio da Disponibilidade garante a acessibilidade das informações e sistemas da instituição, permitindo que os funcionários da empresa possam consultá-los a qualquer momento.
Por isso, quando as informações da empresa se tornam indisponíveis, ela pode ter vários danos graves, como interrupção de atividades que dependem deles e perda de vendas por não se ter acesso aos dados comerciais.
Também pode acontecer uma pausa na produção por falta de sistemas operantes e nas comunicações internas e externas.
Em resumo, podemos usar como exemplo, a importância da segurança nas transações bancárias. Existem situações onde é preciso que a transferência dos valores aconteça de maneira imediata, podendo destacar também o PIX.
Conheça as ferramentas que sustentam o princípio da disponibilidade:
Firewall: Barreira de proteção contra possíveis ataques que tem a finalidade de tirar os serviços de funcionamento, o Firewall impede que o ambiente seja invadido.
Backup: Quando uma informação é corrompida por algum motivo, ela se torna indisponível. E a recuperação desta informação é feita por meio do Backup.
Nobreak: é um dispositivo que é alimentado por baterias, com capacidade de fornecer energia elétrica a um sistema no decorrer de um determinado período, como em situações de emergências, como a interrupção do fornecimento de energia, por exemplo. Isto é, o Nobreak impossibilita que o sistema venha a ser desligado e é uma ferramenta do princípio da disponibilidade.
Por fim, veja alguns exemplos:
- O software deve oferecer alta disponibilidade de oito (8) noves (9), como definido pelo SLA.
- O software e seus dados devem ser replicados por todos os centros de dados para prover balanceamento de carga e redundância.
- A funcionalidade de missão crítica no software deve ser restaurada a operação normal no prazo de 1 hora de descontinuidade; funcionalidade de missão essencial no software deve ser restaurada a operação normal no prazo de 4 horas da interrupção, e funcionalidade de missão suporte no software deve ser restaurada a operação normal no prazo de vinte e quatro horas.
- O software deve estar preparado para atender capacidade máxima de trezentos usuários síncronos.
Princípio da Irretratabilidade (Não-Repúdio)
O Princípio da Irretratabilidade, mais conhecido como princípio do não repúdio, é a junção dos princípios da autenticidade e da integridade, e garante a autenticidade de algum documento quando usado por determinadas ferramentas, como no caso do Certificado Digital.
Isto é, uma pessoa ou entidade não pode negar a autoria da informação fornecida. Quando assinamos digitalmente algum documento, nós garantimos dois dos princípios básicos da segurança da informação: a autenticidade e a integridade.
Este princípio já é bastante usado na área criminal, principalmente nos crimes praticados digitalmente, como homofobia, discurso de ódio, intolerância religiosa e outros em redes sociais, por exemplo.
Princípio da Conformidade
O Princípio da Conformidade foi estabelecido para que houvesse a garantia que todos os devidos protocolos, como as leis e normas regulamentadas, dentro do setor, fossem seguidos.
Princípio da Autenticidade
O Princípio da Autenticidade garante que os dados são de fato provenientes de determinada fonte, assegurando que foram expedidos, destruídos, criados ou alterados por certo órgão, sistema ou entidade.
As ferramentas que sustentam o princípio da Autenticidade são:
Certificado Digital: Os Certificados Digitais sustentam a veracidade da autoria dos sites. Por exemplo, quando um usuário acessa um site de comércio eletrônico, normalmente existe um cadeado no canto da tela, que mostra o certificado digital do site, confirmando que aquele site de fato pertence àquela empresa.
Assinatura Digital: O objetivo da Assinatura Digital é garantir a autenticidade, identificando de forma única o autor da informação.
Biometria: ferramenta que tem a finalidade de verificar algumas características físicas da pessoa para que consiga certificar que aquela característica identifica o indivíduo unicamente, a Biometria pode ser encontrada em várias áreas e até mesmo em smartphones, sendo também muito usada em bancos.
Todo o conceito de segurança da Informação foi padronizado pela norma ISO/IEC 17799:2005.
Requisitos de segurança da informação
Os sistemas de informação incluem processos operacionais, serviços e aplicações, infraestrutura, produtos prontos e sistemas operacionais que foram desenvolvidas para os usuários.
Sendo assim, a criação e implementação do sistema de informação que suporta o processo operacional pode ser uma causa que determina a forma como a segurança será configurada.
Portanto, antes do desenvolvimento e da implementação dos sistemas de informação, os requisitos de segurança precisam ser acordados e documentados.
Quando os requisitos de segurança são documentados durante a análise de risco e especificação dos requisitos para o projeto, eles são justificados, acordados e documentados como parte de um “business case” para um sistema de informação.
Normas da LGPD
Inspirada nas diretrizes impostas pela GDPR (General Data Protection Regulation) na Europa, a entrada da Lei Geral de Proteção de Dados no final de 2020 trouxe mudanças para profissionais que trabalham com tecnologia e manuseio de dados como um todo.
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, foi decretada para a proteção dos direitos fundamentais de liberdade e de privacidade e também a livre formação da personalidade de cada indivíduo.
Lei n° 13.709/2018- ela tem como finalidade organizar o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”
As normas da LGPD também possui princípios que a estruturam, são elas:
- Prestação de contas e responsabilização;
- Necessidade;
- Não discriminação;
- Transparência;
- Prevenção;
- Livre acesso;
- Finalidade;
- Segurança;
- Qualidade de dados;
- Adequação;
Como impulsionar seu negócio com requisitos de segurança da informação?
Uma empresa que não investe em uma boa segurança da informação está exposta e vulnerável a falhas, exposição de dados e erros de sistemas. Por isso, entenda qual as sua importância por meio das suas cinco principais funções:
Proteção de dados
O controle adequado de acesso aos dados, criptografia e gerenciamento de ameaças são indispensáveis para que as informações críticas ou confidenciais estejam sempre protegidas contra invasões e vazamentos.
Segurança do consumidor/ usuário
É incluída aqui a conscientização de segurança do usuário final e o treinamento para que seja limitado a exploração dos usuários finais.
Inovação
A empresa precisa dispor de uma estratégia que ofereça e implemente suporte aos processos inovadores e permita a liberdade de utilizar novas tecnologias em Segurança da Informação.
Gestão da segurança da informação
A gestão da segurança da informação se relaciona com a adoção de táticas que consolidam a segurança da informação. A Gestão da segurança da informação abrange o uso de controles:
Físicos:
- sistemas de registro de pessoas ou veículos que se logam em uma determinada área restrita.
- blindagens;
- profissionais da segurança;
- CFTV (Circuito Fechado de TV);
Lógicos:
- hashing: o uso de algoritmos em função hashing possibilita verificar a integridade das informações;
- protocolos: os protocolos são parâmetros de comunicação em uma rede ou entre redes, como, por exemplo, o HTTPS;
- registros de eventos (logs): sistemas operacionais e softwares fazem o registro dos eventos através do que é conhecido como logs.
- firewalls: atestam que apenas conexões habilitadas podem ter acesso a uma rede ou computador;
- honeypot: recurso usado para enganar invasores, o honeypot simula falhas de segurança que não existem com a finalidade de fazer a coleta de dados dos invasores;
- criptografia: informações que estão em uma configuração ilegível para quem não possui sua chave para acessar;
Administrativos:
- políticas;
- práticas;
- recomendações e procedimentos adotados pela empresa para que haja proteção das informações.
Conscientização de segurança
É importante traçar uma estratégia que tenha o objetivo de aumentar a conscientização geral da organização sobre a segurança da informação, para que seja garantido que os problemas de privacidade e segurança sejam amenizados.
Gestão de risco
Por outro lado, a segurança da informação precisa, também, estar apoiada em estratégias de prevenção, definição e quantificação, antecipação de riscos e gerenciamento da maneira que afete minimamente o sistema.
Por este motivo, também é bastante indicado que a empresa trabalhe com uma gestão de riscos e gestão de infraestrutura de TI.
Gestão de riscos de TI: A gestão de riscos de TI é uma junção de processos e meios que são instalados pelas empresas com o objetivo de buscar uma estabilidade entre os riscos e os custos das operações, identificando, avaliando e fiscalizando ameaças que se relacionam com a tecnologia da informação.
Assim sendo, além de mapear os possíveis riscos e definir um plano de ação para reduzir estes possíveis perigos, é necessária uma capacidade lógica para poder realizar cálculos e mensurar as reais ameaças.
Gestão de infraestrutura de TI: A gestão da infraestrutura de tecnologia da informação se refere a uma atividade que tem relação com a administração de recursos de TI usados por uma empresa ou instituição.
Portanto, a gestão de infraestrutura de TI tem a disposição várias ferramentas e recursos e tem como objetivo otimizar o fluxo de dados de uma empresa, estabelecer um conjunto de políticas e boas práticas do setor de tecnologia da informação, assegurar eficiência nos trabalhos do setor, facilitar a adaptação de diferentes ferramentas e eliminar processos duplicados.
Ele também é o responsável por estabelecer os indicadores de infraestrutura de TI. Sendo fundamentais para a verificação da eficiência do setor, afinal, através dessas métricas, é possível verificar se o segmento está trabalhando de forma que favoreça o alcance dos objetivos organizacionais. E para que seja possível otimizar a infraestrutura de TI é importante e indispensável contar com as ferramentas apropriadas.
Monitora é a sua aliada em requisitos de segurança da informação
Por fim, a Monitora é especialista em fornecer times e processo de desenvolvimento para empresas líderes em seus segmentos e que investem em evolução digital para entregar resultados e permanecerem no topo.
Ademais, investir em segurança da informação exige um olhar novo sobre a importância e valor dos dados e para o uso das tecnologias.
Mostramos no decorrer deste artigo muitas razões para que a segurança da informação seja uma estratégia para o seu negócio.
A Monitora alia inovação, confiabilidade e mantém sua empresa focada nos objetivos, enquanto a formação de equipes, o processo de desenvolvimento, a gestão do time e a criação de resultados fica com a gente. Entre em contato com a Monitora.
