Índice
PARTE 1
1. DEFINIÇÃO DE SEGURANÇA CIBERNÉTICA
2. A IMPORTÂNCIA DA SEGURANÇA CIBERNÉTICA PARA AS ORGANIZAÇÕES
3. DOMÍNIOS DA ÁREA DE SEGURANÇA CIBERNÉTICA E SUAS FUNÇÕES
PARTE 2
4. DEFINIÇÃO DE AMEAÇA CIBERNÉTICA
5. TIPOS DE AMEAÇAS CIBERNÉTICAS
6. DESAFIOS ENFRENTADOS POR ORGANIZAÇÕES PARA IMPLEMENTAR A SEGURANÇA CIBERNÉTICA
PARTE 3
7. DEFESAS DE SEGURANÇA CIBERNÉTICA USADAS PELAS ORGANIZAÇÕES
8. PRÁTICAS RECOMENDADAS ÀS ORGANIZAÇÕES PARA CONTER ATAQUES CIBERNÉTICOS
9. CONCLUSÃO
Tempo de leitura: 7 minutes
Resumo Executivo
O objetivo deste artigo é apresentar a você uma visão geral da área de segurança cibernética e sua importância para as organizações e a sociedade nos dias de hoje. Falaremos também sobre os domínios que formam a área, as recentes ameaças cibernéticas que estão colocando em risco os ambientes corporativos, os desafios enfrentados pelas organizações para se protegerem dos ataques cibernéticos e os controles de segurança, além das melhores práticas que podem ser implementadas para mitigar tais riscos.
Mais detalhes de como esses controles e melhores práticas de proteção cibernética estão sendo implementados no ambiente corporativo serão fornecidos em outra oportunidade no portal.
Espero que você goste deste artigo e por favor sinta-se à vontade para enviar seus comentários sobre ele e sugestões de novos tópicos (em inglês ou português) para [email protected], caso desejar.
1. DEFINIÇÃO DE SEGURANÇA CIBERNÉTICA
Meu primeiro contato com segurança cibernética aconteceu em 1998, no Brasil, onde fui introduzido à tecnologia Checkpoint Firewall-1 e tive a oportunidade de utilizá-la por muitos anos. Naquela época, o termo Segurança Cibernética não era tão popular entre as organizações e profissionais de segurança como acontece nos dias de hoje. Os termos Segurança em TI, Segurança da Informação ou Segurança Eletrônica eram utilizados para se referir à área, conforme ainda são utilizados por algumas entidades, organizações e profissionais.
Apesar da mudança no nome para descrever a área, seu significado permanece o mesmo, o que, em resumo, refere-se à combinação de tecnologias, processos e melhores práticas implementadas por organizações para proteger seus colaboradores, clientes, sua infraestrutura técnica (por exemplo, redes, servidores, desktops, dispositivos móveis, sistemas eletrônicos, etc.), dados, informações e programas de ataques maliciosos ou acessos não autorizados.
2. A IMPORTÂNCIA DA SEGURANÇA CIBERNÉTICA PARA AS ORGANIZAÇÕES
A Segurança cibernética nunca foi tão importante para as organizações como atualmente. O número de ataques sofisticados direcionados aos ambientes críticos das empresas, bem como aos dados dos seus colaboradores, clientes, informações e segredos de negócios aumentou assustadoramente quando comparado a um período de cinco anos atrás. Consequentemente, grandes, médias e pequenas empresas têm sido aconselhadas por governos e algumas entidades privadas a aderirem as suas regulamentações, legislações e normas de privacidade para garantir que controles de segurança estejam implementados para proteger os sistemas, dados e informações utilizadas por essas empresas no seu dia a dia. Embora isso não impeça a tentativa de pessoas mal-intencionadas se infiltrarem nos ambientes corporativos dessas empresas, não há dúvidas de que essas ações tornarão os esforços dos criminosos mais difíceis de serem alcançados.
Criminosos cibernéticos têm “batido na porta” de organizações todos os dias, horas, minutos e segundos. A razão para isso varia, dependendo da motivação do criminoso e da indústria que ele tem como alvo. Por exemplo, criminosos cibernéticos podem acessar universidades em busca de propriedade intelectual para posteriormente negociá-la na dark web, visto que as universidades, por natureza, mantêm uma base de dados muito rica com esse tipo de informação. Outro exemplo é o caso de criminosos que visam instituições financeiras na intenção de roubar dinheiro de clientes dessas instituições para financiar atividades ilícitas, como o terrorismo, a pornografia infantil e o tráfico de drogas ou simplesmente para adquirir produtos na Internet para satisfazer seus desejos, usando as informações dos cartões de crédito das suas vítimas. Além dos exemplos citados, criminosos cibernéticos financiados por governos de seus países podem atacar governos inimigos na intenção de ter acesso a segredos militares para beneficiar os países pelos quais foram contratados.
A lista de motivações é extensa e precisa estar no radar das empresas para que elas possam entender os riscos os quais elas estão enfrentando (ou poderão enfrentar) e saber quais medidas de proteção elas deverão implementar para cumprir as regulamentações, legislações e normas de privacidade e segurança, tais como para APRA CPS 234, Privacy Act 1988, Sarbanes Oxley, HIPAA, GDPR, LGPD, PCI DSS, etc., para com isso, evitar multas financeiras onerosas, processos legais, proteger seu ambiente corporativo, sua reputação e dificultar a vida dos criminosos cibernéticos.
Medidas como essas, sem sombra de dúvidas, auxiliarão na proteção da reputação das empresas, confiança de seus parceiros de negócios, investidores e colaboradores.
3. DOMÍNIOS DA ÁREA DE SEGURANÇA CIBERNÉTICA E SUAS FUNÇÕES
A área de segurança cibernética é formada por domínios distintos e a abordagem que cada organização usará para implementá-la e posteriormente gerenciá-la será crucial para que o programa de segurança alcance o seu sucesso. De acordo com a instituição (ISC)2, os domínios que no momento formam a área são:
3.1 Segurança e Gerenciamento de Riscos
O domínio Segurança e Gerenciamento de Riscos compreende o seguinte:
- Entender, cumprir e promover a ética profissional
- Entender e aplicar conceitos de segurança
- Avaliar e aplicar princípios de governança de segurança
- Determinar requisitos de conformidade e outros
- Entender questões legais e regulatórias que se referem à segurança da informação em um contexto holístico
- Entender os requisitos para os tipos de investigação (ou seja, administrativos, penais, civis, regulatórios, padrões do setor)
- Desenvolver, documentar e implementar políticas, padrões, procedimentos e diretrizes de segurança
- Identificar, analisar e priorizar requisitos de Continuidade de Negócios (BC)
- Contribuir e reforçar políticas e procedimentos de segurança de pessoal
- Entender e aplicar conceitos de gerenciamento de riscos
- Entender e aplicar conceitos e metodologias de modelagem de ameaças
- Aplicar conceitos de gestão de risco da cadeia de abastecimentos (SCRM)
- Estabelecer e manter um programa de conscientização, educação e treinamento de segurança
3.2 Segurança de Ativos
O domínio Segurança de Ativos compreende o seguinte:
- Identificar e classificar informações e ativos
- Estabelecer requisitos de manuseio de informações e ativos
- Provisionar recursos em segurança
- Gerenciar o ciclo de vida de dados
- Garantir a retenção de ativos adequada (por exemplo, fim de vida do ativo (EOL), fim do suporte do ativo (EOS)
- Determinar controles de segurança de dados e requisitos de conformidade
3.3 Arquitetura e Engenharia de Segurança
O domínio Arquitetura e Engenharia de Segurança compreende o seguinte:
- Pesquisar, implementar e gerenciar processos de engenharia usando princípios de projeto seguros
- Entender os conceitos fundamentais de modelos de segurança (por exemplo, Biba,
- Star Model, Bell-LaPadula)
- Selecionar controles baseados em requisitos de segurança de sistemas
- Entender as capacidades de segurança dos sistemas de informação (SI) (por exemplo, proteção de memória, Módulo de
- Plataforma Confiável (TPM), criptografia/decriptar)
- Avaliar e mitigar as vulnerabilidades dos elementos de arquiteturas, projetos e soluções
- Selecionar e determinar soluções de criptografia
- Compreender os métodos de ataques criptoanalíticos
- Aplicar princípios de segurança no projeto do site e instalações
- Projetar controles de segurança do site e das instalações
3.4 Segurança da Comunicação e Rede
O domínio Segurança da Comunicação e Rede compreende o seguinte:
- Avaliar e implementar princípios de projeto seguros em arquiteturas de rede
- Componentes de rede segura
Implementar canais de comunicação seguros de acordo com o projeto
3.5 Gestão de Identidade e Acesso (IAM)
O domínio Gestão de Identidade e Acesso (IAM) compreende o seguinte:
- Controlar o acesso físico e lógico dos ativos
- Gerenciar a identificação e autenticação de pessoas, dispositivos e serviços
- Identidade federada de terceiros
- Implementar e gerenciar mecanismos de autorização
- Gerenciar o ciclo de vida de provisionamento de identidade e acesso
- Implementar sistemas de autenticação
3.6 Avaliação e Teste de Segurança
O domínio Avaliação e Teste de Segurança compreende o seguinte:
- Projetar e validar estratégias de avaliação, teste e auditoria
- Conduzir testes de controle de segurança
- Coletar dados de processo de segurança (por exemplo, técnico e administrativo)
- Analisar resultados de teste e gerar relatórios
- Conduzir ou facilitar auditorias de segurança
3.7 Operações de Segurança
O domínio Operações de Segurança compreende o seguinte:
- Entender e cooperar com as investigações
- Realizar atividades de registro e monitoramento
- Gestão de Configuração (por exemplo, provisionamento, baseline e automação)
- Aplicar conceitos fundamentais de segurança de operações
- Aplicar proteção de recursos
- Conduzir o gerenciamento de incidentes
- Operar e manter medidas de detecção e prevenção
- Implementar e apoiar o gerenciamento de patch e vulnerabilidade
- Entender e participar do processo de gerenciamento de mudança
- Implementar estratégias de recuperação
- Implementar processos de Recuperação de Desastres (DR)
- Testar Planos de Recuperação de Desastres (DR)
- Participar no planejamento e exercícios de Continuidade de Negócios (BC)
- Implementar e gerenciar segurança física
- Abordar preocupações com proteção e segurança de pessoal
3.8 Segurança no Desenvolvimento de Software
O domínio Segurança no Desenvolvimento de Software compreende o seguinte:
- Compreender e integrar a segurança no Ciclo de Vida de Desenvolvimento de Software (SDLC)
- Identificar e aplicar controles de segurança nos ambientes de desenvolvimento de software
- Avaliar a eficácia da segurança do software
- Avaliar o impacto na segurança do software adquirido
- Definir e aplicar diretrizes e padrões de codificação segura
Manter a segurança cibernética em dia tem sido uma tarefa muito desafiadora para as organizações, especialmente nos dias de hoje, uma vez que o cenário de ameaças muda constantemente. No intuito de ajudar essas organizações a se manterem atualizadas, é necessário adotar uma abordagem mais proativa e flexível. Por exemplo, o Instituto Nacional de Padrões e Tecnologia (NIST), ISO (série 27000- Padrões de Segurança de TI) e o CIS (SANS top 20 controles de segurança) recomendam que as organizações considerem um monitoramento constante e uma avaliação em tempo real como parte da estrutura de avaliação de risco para proteger seus ambientes contra ameaças cibernéticas conhecidas e desconhecidas.
A definição e detalhes de como as organizações vêm implementando esses domínios em seus ambientes de trabalho serão discutidos em outra oportunidade no portal.
Referências:
Entusiasta da área de Segurança Cibernética e fundador da plataforma WeCyberYou!.
Edson é um entusiasta da área de Segurança Cibernética e tem atuado no ramo por mais de 20 anos, prestando assistência à empresas do setor de Consultoria, Financeiro, Educação, Telecomunicação, Governo Federal e Estadual, na Austrália e Brasil.
Edson é graduado em Análise de Sistemas, pós-graduado em Segurança Cibernética e possui as certificações CISSP e CISM.
Atualmente, trabalha como Gerente Senior de Segurança Cibernética na Australia auxiliando empresas do setor privado e publico na proteção de seus ambientes corporativos e reputação, contra códigos maliciosos e criminosos digitais.
