Skip to content
Aiqon Blog
Segurança de dados

O Básico da Segurança de Dados e o Essencial da Proteção de Dados

Publicado

Os dados são o ativo mais valioso de qualquer corporação. Não importa a indústria que você está, é crítico tomar conta dos seus dados, sejam eles relatórios financeiros, registros médicos ou planos de start-up de negócio. A segurança de dados precisa estar presente.

Neste artigo, nós voltaremos para os princípios básicos mais importantes da segurança de dados que estão se perdendo em todo o alvoroço no mercado de segurança cibernética. Nós discutiremos o porquê, em razão do crescente foco em segurança cibernética, a taxa de vazamento de dados continua aumentando e como isso afeto os processos de segurança de dados. Discutiremos quais passos você deve tomar para fortalecer a segurança dos seus dados sensíveis sem usar tecnologias de segurança complexas ou gastar boa parte do seu orçamento.

Nesse Artigo

Introdução a segurança de dados

O que é a segurança de dados? É uma parte importante da estratégia de segurança compreensível. Ela inclui métodos para identificar e avaliar ameaças de segurança e reduzir riscos relacionados a proteção de informação sensível e sistemas de computação subjacentes.

Os dados podem fluir livremente por todo lugar, e o objetivo é construir uma estratégia de segurança central dos dados para controlar esse fluxo. Logo, a segurança dos dados envolve um conjunto de medidas de protetivas amplas e complexas contra vários problemas de segurança, como acesso não autorizado intencional ou acidental, alterações que podem levar a perda ou corrupção de dados. A proteção de dados moderna requer o desenvolvimento de uma rede de segurança compreensiva, configuração e firewalls, segurança na web e nos navegadores, construir políticas de segurança, gerenciamento de risco e até uma introdução aos princípios criptográficos.

Grande parte do problema é que as organizações normalmente tem problemas em entender o que a “segurança dos dados” realmente significa para eles e o que bons padrões de segurança de dados são e como atingi-los. As faturas precisam de backup? Os usuários devem colocar marcações em todos os arquivos que eles criam para indicar o tipo de dado dentro dele? O acesso remoto deve ser restrito para a produção de banco de dados?

Sem um bom entendimento do básico da segurança de dados, há risco em tentar proteger todos os arquivos, até versões desatualizadas do guia do produto e restringir acesso a todas as pastas, não importando se ela contém propriedade intelectual ou fotos do piquenique da companha.

Por que a segurança de dados está mais importante do que nunca?

Há diversos motivos do porque a proteção de dados e a segurança requerem tempo e dinheiro. Construir estratégias de segurança, as companhias modernas estão ocupadas lidando com os seguintes desafios:

Ataques cibernéticos: De um lado vemos crimes cibernéticos sendo realizados usando ransomware, malware-as-a-service, ameaças persistentes avançadas, ameaças internas, entre outras. Os criminosos cibernéticos tiveram bastante sucesso.

Enquanto os crimes cibernéticos evoluem, as soluções que ajudam a proteger essa informação acompanham o ritmo. É igualmente importante implementar medidas preventivas como configurações de firewall para restringir o acesso de entrada e saída de tráfego suspeito, assim como implementar soluções e procedimentos para eventos infortúnios de brechas de segurança que podem acontecer. A melhor pratica hoje é assumir que você já sofreu a brecha e tenha certeza que você tenha as ferramentas e procedimentos apropriados para detectar e investigar os ataques, assim como a redundância, soluções de recuperação de desastre, e outras soluções que possam te ajudar a se recuperar rapidamente. Tome ações para descobrir e classificar todos os dados críticos, proteger os dados com criptografia, realizar o backup deles e implementar o máximo de controle sobre os seus armazenamentos de dados que for possível.

Problemas de conformidade: Há uma grande pressão nas companhias criada por uma variedade de leis e regulações globais focadas em proteção de dados.  Já que as companhias estão coletando informação sensível, elas se tornam responsáveis por garantir a segurança dos processos de operação e introdução dos controles e medidas de segurança.

Essas organizações lidando com dados pessoais estão sujeitas a regulações de conformidade, dependendo do tipo de informação de ativo que a companhia se encontra. Os escopos da regulação também incluem controles sobre a postura de segurança de terceiros como provedores de serviço ou fornecedores.

Tais regulações incluem informação pessoal identificável (PII), Informação de cuidado a saúde protegida (PHI, HIPAA), ou informação de cartão de crédito. Elas incluem também padrões como a General Data Protection Regulation (GDPR) na união Europeia, a Lei Geral de proteção de dados (LGPD) no Brasil, a Industria de padrões de segurança de dados de cartões de pagamentos (PCI DSS), A lei de portabilidade e responsabilidade de convênio médico (HIPAA). Manter a conformidade com regulações é essencial para a reputação e o bem-estar financeiro.

As regulações legais são severas. Os requisitos da GDPR/LGPD por exemplo demandam a divulgação de um evento de vazamento de dados. O apontamento de um oficial de proteção de dados (DPO) também é requerido. Tudo isso limitando as companhias de coletar os dados pessoais sem o consentimento das pessoas. Perdas financeiras, multas, ações legais, dano a reputação, perda de dados e perturbação às operações estão entre as consequências mais devastadoras de um vazamento de dados ou segurança para uma empresa, sem contar a queda de confiança de clientes e investidores. Além das multas, as autoridades de proteção podem enviar alertas e advertir e, em casos extremos, restringir a organização de processar dados pessoais.

Conteúdo Relacionado: Atendendo artigos da LGPD – Artigo 43 / Atendendo artigos da LGPD – Artigo 46Atendendo artigos da LGPD – Artigo 48

A boa notícia é que mais e mais organizações estão fazendo da segurança de dados uma prioridade, para proteger melhor os dados que eles processam e armazenam, mesmo que eles estejam sendo levados pelo medo de grandes multas. Além do mais, os requisitos regulatórios podem se tornar um caminho para a construção de um programa de segurança de dados sólida.

Leia também:  Principais elementos para política de segurança de dados dos clientes

Os três grandes desafios da segurança de dados

Toda a empolgação com segurança cibernética faz as organizações pensarem que a segurança da informação é muita complicada para eles lidarem, mas se eles compram todas as soluções do momento, eles serão capazes de proteger os dados das últimas ameaças de segurança cibernética. Isso também os leva a acreditar no conceito errado de que existe uma solução mágica para todos os problemas e que orçamentos incrementais são necessários para essas soluções. Entretanto, os três principais desafios que podem prejudicar a segurança dos seus dados não estão relacionadas a ausência de IA no seu portfólio.

Desafio #1

Equipes de TI com poucos membros. Um dos maiores problemas é que a maioria das equipes de segurança de TI tem poucas pessoas. Em pequenas empresas, os administradores de TI tem diversas funções, muitas vezes há apenas um especialista de TI que é responsável por tudo, desde resolver as quedas nos serviços a resolver os problemas do usuário em proteger dados sensíveis. Mesmo em grandes organizações, a equipe te TI tem tanta coisa para fazer que eles não tem tempo para ver quais tipos de dados sensíveis eles armazenam e desenvolver um plano para isso.

Desafio #2.

Orçamento limitado. Diversas organizações não estão prontas para alocar grande parte de seus orçamentos para contratar novos funcionários para a segurança da TI ou educar os profissionais atuais em como atingir a segurança de dados. Logo, parece muito mais barato comprar algumas ferramentas de fabricantes de segurança cibernética que dizem proteger os dados de diversas ameaças de segurança de dados, o que resulta no próximo problema:

Desafio #3

Gastando em ferramentas não eficientes. As companhias normalmente não sabem quais tipos de dados sensíveis eles tem, onde eles estão, e se eles estão expostos. Mas eles compram vários softwares para “protege-los”. Depois eles descobrem que as tecnologias que eles adquiriram com presa não estão entregando as promessas do fabricante ou não estão atingindo suas expectativas. De acordo com a Cybersecurity Ventures, o gasto global com produtos de segurança cibernética em 2018 chegou a 120 Bilhões de dólares.

Conceitos básicos de segurança de dados

A segurança da informação é baseada em três conceitos fundamentais: Confidencialidade, integridade e disponibilidade.

Confidencialidade é baseada no princípio de privilégio mínimo. É sobre prevenir acesso não autorizado a dados sensíveis para prevenir que ele chegue nas pessoas erradas. Para proteger a confidencialidade, as organizações devem oferecer medidas de segurança adequadas, que incluem listas de controle de acesso (ACLs), criptografia, autenticação de dois fatores e senhas fortes, gerenciamento de configuração monitoramento e software de alerta.

Integridade é sobre proteger dados de deleção ou modificação impropria. Uma forma de garantir a integridade é usar assinatura digital para verificar o conteúdo ou assegurar transições, é bastante utilizada por organizações governamentais e de saúde.

Disponibilidade é um elemento básico da segurança de dados. Controles de segurança, sistemas de computadores e softwares todos devem funcionar corretamente para garantir que os serviços e sistemas de informação estejam disponíveis quando necessários. Por exemplo, se o seu banco de dados financeiro está off-line, seus contadores não serão capazes de enviar ou pagar as faturas a tempo, o que pode levar a perturbação de processos críticos do negócio.

Segurança de dados vs Segurança da informação

Explorando o tópico de básicos da segurança de dados você pode ver que muitos profissionais usam o termo segurança de dados e segurança da informação com significados diferentes. Então qual é a diferença entre a segurança de dados e a segurança da informação?

Primeiro vamos falar sobre as definições de dados e informação. Separar peças brutas de fatos e detalhes normalmente são chamados de dados, tabelas de dados brutos são um exemplo. Para se tornar informação digerível os dados precisam ser colocados em contexto pois sozinhos eles não tem significado e não podem ser usados para tomada de decisão. Logo, a informação tem um significado mais amplo. Tipos de informação incluem todos os tipos de dados processados como comunicações de e-mail de negócio.

A comparação da proteção de dados vs a segurança dos dados também precisa ser discutida pois esses dois termos são confundidos frequentemente.

A proteção de dados lida com as práticas de segurança ativas. Ela precisa de ferramentas e procedimentos que asseguram os dados de acesso eletrônico não autorizado, modificações, divulgação acidental, perturbação ou destruição. Envolve a utilização de estratégias físicas e lógicas para proteger a informação de vazamentos de dados, ataques cibernéticos e perda acidental ou intencional de dados.

Já a segurança de dados lida com as medidas administrativas passivas como cobrir aspectos legais (políticas de privacidade, termos e condições). Essas políticas definem como as organizações gerenciam e manuseiam os dados, especialmente os sensíveis, como PII, dados de cartão de crédito, registros de saúde ou educacionais, etc.

Top 5 do básico da segurança de dados

Então o que são esses conceitos básicos de segurança de dados que estamos falando?

#1. Avalie e mitigue os riscos da sua TI

Antes de voltar suas atenções aos dados que você armazena, você precisa limpar a casa. Comece analisando e medindo os riscos de segurança relacionados há como seus sistemas de TI processam e permitem acesso a informação sensível e crucial para o negócio. Em particular:

  • Identifique contas de usuário obsoletos no seu diretório. Você deve identificar quaisquer contas na sua estrutura de diretório que estão obsoletas e veja com seus colegas de negócio se elas podem ser eliminadas. Então veja quais dessas contas ainda estão ativas e conserte os processos subjacentes. Por exemplo, a equipe de TI está sendo notificada quando os funcionários deixam a companhia ou quando os projetos dos contratantes são completados? Se não, as contas associadas podem permanecer inativas, mesmo elas retendo as permissões de acesso a dados e sistemas. É relativamente fácil para um hacker encontrar contas inativas para alvejar, uma pequena busca no Linkedin ou no Twitter pode revelar quem saiu da empresa recentemente. Se apossar de uma conta obsoleta é uma grande forma de um intruso invadir silenciosamente a sua rede sem disparar um alerta.
  • Encontre usuários com privilégios de administrador desnecessários. Por exemplo, usuários com acesso administrativo aos seus computadores podem, intencionalmente ou não, baixar e executar um programa malicioso que pode infectar vários computadores na sua rede.
    Conteúdo Relacionado: Gerenciamento de Acesso Privilegiado (PAM) Melhores Práticas
  • Varra o seu ambiente em busca de potenciais arquivos perigosos. Você deve scanear executáveis, instaladores e scripts regularmente e remover esses arquivos para que ninguém abra esses arquivos caso eles contenham um ransomware ou algum outro malware.
Leia também:  Planejamento de segurança para pequenas e médias empresas

Seu objetivo em fazer avaliações da configuração é bloquear as coisas, eliminar quaisquer confusão e manter tudo no mínimo necessário sem deixar configurações soltas.

auditoria TI - checklist Riscos

#2. Conduza um inventário de ativos

Após isso, tenha certeza de ter uma lista de todos os servidores que você tem e o propósito de cada um. Em particular você deve:

  • Checar seus sistemas operacionais. Checar se os seus servidores estão executando um sistema operacional que não tem mais suporte do fabricante. Já que sistemas operacionais desatualizados não recebem atualizações de segurança eles se tornam um alvo atrativo para hackers que são rápidos em explorar vulnerabilidades do sistema.
  • Garanta que um antivírus esteja instalado e atualizado. O antivírus é o policial no portão de um sistema de TI. Nem todo tipo de ataque cibernético pode ser bloqueado por um software de antivírus, mas é uma primeira linha de defesa critica.
  • Reveja outros programas e serviços. Você deve ter programas no seu disco rígido que você não precisa mais. Aplicativos não necessários fazem mais do que apenas tomar espaço, eles são um risco a segurança pois eles não tem permissões o suficiente para manipular os seus dados sensíveis.

Realizar esse inventário te permitirá identificar pontos fracos e buracos na segurança que precisam ser eliminados, assim como outras áreas que você terá de endereçar, lembre-se que isso não é algo único, é uma atividade recorrente. De qualquer forma, você fortalecerá a segurança dos seus sistemas e reduzirá o risco de vazamento de dados significativamente.

Conteúdo Relacionado: Gerenciar a infraestrutura de TI não precisa ser um pesadelo

#3. Conheça os seus dados

Você procurar em cada canto do seu ambiente e saber exatamente onde cada dado sensível está localizado, tanto na nuvem quanto on-premises. Note que:

  • Dados podem ser espalhados entre sistemas. Não se esqueça que os dados são seu ativo mais importante. As organizações normalmente tentam proteger todos os dados que ela tem. Mas a verdade é que você não precisa proteger todos os dados igualmente. O mais sensato é que você se concentre nos dados realmente importantes. Para isso, você precisa localizar os dados sensíveis que você armazena e classifica-los para que você saiba por que eles são sensíveis e o quão importantes eles são. Por exemplo, você precisa saber quais dados estão sujeitos aos mandatos de conformidade que você está sujeito para que você possa protege-los de acordo.
  • Dados podem ser estruturados ou não estruturados. Dados sensíveis não estão limitados a documento do Word e planilhas. Diversas organizações armazenam informação critica em bancos de dados e diversos negócios dependem deles. Logo, você precisa ver bem a sensibilidade dos dados estruturados e dos não estruturados
  • Dados estão sujeitos a alterações constantes. Dados são dinâmicos. Arquivos são criados, copiados, movidos e deletados todos os dias. Logo, a classificação de dados deve ser um processo constante.

segurança de dados

#4. Encontre quem pode acessar o que

O próximo passo envolve você dar atenção as permissões de acesso:

  • Determine o nível de acesso de cada individuo. Tenha certeza de que seja o nível de acesso que eles precisam. Você não quer que um representante de vendas tenha acesso a documentos financeiros. Tenha certeza de checar todos, incluindo administradores, usuários, contratantes, parceiros, entre outros.
  • Reveja os direitos de acesso regularmente. De novo, esse não é um processo que só se faz uma vez. Você precisa rever os acessos regularmente por tanto as condições internas quanto ao panorama de ameaças mudarão com o tempo. Um gerenciador de contas que tinha acesso a informação de pagamentos do cliente deve ter o acesso revogado.
  • Estabeleça e mantenha um modelo de privilégio mínimo. Isso limita o dano que um usuário pode causar deliberadamente ou acidentalmente, assim como limita a superfície de ataque que o atacante tem ao ter controle de uma conta de usuário

 

#5. Veja o que está acontecendo

Meramente classificar e saber quem está acessando o que, não é o suficiente para garantir a confidencialidade, a integridade e a disponibilidade. Você também precisa saber de todas as tentativas de leitura, modificação ou deleção de dados sensíveis, tiveram elas sucesso ou não, para que você responda rapidamente.

Aqui estão alguns exemplos de sinais de que alguém está tentando roubar informação sensível:

  • Procure por picos na atividade de usuário. Por exemplo, se alguém está removendo uma grande quantidade de dados sensíveis, a equipe de segurança cibernética deve receber um alerta e investigar de imediato. Pode ser um ataque de ransomware em andamento ou um funcionário desapontado que está planejando em deixar a organização.
  • Cheque a atividade fora do horário de expediente. Você precisa estar a par de quaisquer ações realizadas pelo usuário fora do horário de expediente, quando eles pensam que ninguém está vendo.
  • Controle o acesso suspeito a VPN. É essencial manter ciência de cada tentativa de logon na VPN. Por exemplo, se você sabe com certeza que os usuários do departamento de finanças nunca usam a VPN, seria altamente suspeito se algum deles decidisse usa-la para ver as faturas de uma rede diferente.

Netwrix Auditor - Monitoramento de usuarios segurança de dados

Seguir as melhores práticas de proteção de dados aprimorará drasticamente sua segurança de dados. Entretanto, a maioria das organizações não tem tempo de implementar essas mudanças. Felizmente, elas não precisam. Há soluções e ferramentas que podem te ajudar a automatizar boa parte desses processos e oferecer a informação exata que você precisa para garantir a segurança dos seus dados.

 

Conheça o Netwrix – Solução para proteção de dados não intrusiva

Artigos recomendados

Comente o que achou do artigo