SEGURANÇA

DE DADOS:
UM GUIA SOBRE
AS MELHORES
PRÁTICAS
Introdução 03

Acompanhar a evolução tecnológica 05

Política de segurança da informação 07

Gestão de ativos e vulnerabilidade 10

Controle de acesso 13

Sistemas de detecção de incidentes (SOC) 16

Conclusão 19

Sobre a Strong Security Brasil 21

 STRO
3 SECUR

Introdução Os dados coletados e acumulados

dentro de uma empresa são um dos
ativos mais valiosos que se pode
imaginar. É um verdadeiro banco de
informações e conhecimento que
permite à organização progredir
gradualmente. Seria um infortúnio
real se conteúdos importantes
desaparecessem, fossem alterados
ou divulgados por pessoas
mal-intencionadas.
 STRO
4 SECUR

Por isso, é de grande importância

ter o controle e a gestão de dados
de maneira efetiva e alinhada com
as melhores práticas do mercado.
Com todos os avanços tecnológicos
voltados cada vez mais para a
interação em rede, a quantidade
de ataques direcionados ao roubo
de informações aumenta e evolui
paralelamente. Para obter sucesso
na proteção dos dados, é preciso
ter seriedade e investimento.

Pensando nisso, abordamos neste

e-book as melhores práticas para a
segurança de dados. Boa leitura!

INTRODUÇÃO
 STRO
5 SECUR

No mercado atual, as novas tecnologias

surgem em curto espaço de tempo,
muitas vezes como resposta a
vulnerabilidades identificadas em
processos e sistemas. Por esse
motivo, todo gestor empresarial,
principalmente do setor de TI, deve
Acompanhar estar atento às novas tendências
que estão emergindo no mercado de
a evolução segurança e proteção de dados.

tecnológica De acordo com a empresa de pesquisa Gartner,

os orçamentos das empresas para investimentos
na iniciativa digital, como internet das coisas,
sistemas de análise de dados em Big Data e
inteligência artificial, serão de aproximadamente
3,7 trilhões de dólares, correspondendo a 4,5% de
acréscimo em 2018. Vale ressaltar que a área de
software como serviço (SaaS) é a que apresentará
maior crescimento, com um índice de 9,5%.
 STRO
6 SECUR

Um exemplo do avanço e da migração Sendo assim, novas tecnologias demandam

tecnológica foi o modelo de tecnologia em
nuvem. Inicialmente, o receio era relacionado
à segurança dos dados a serem armazenados
em um modelo que até então era visto com
preocupação. Entretanto, com o tempo, as
empresas fornecedoras desse serviço se
empenharam em transparecer junto aos
clientes as medidas de proteção e sua eficácia.
Atualmente, o segmento vem aumentando e
evoluindo de maneira consistente no mercado.
um desdobramento que implica novas práticas
de segurança que estejam adequadas às novas
ameaças, à medida que elas surgem.
Sendo assim, é fundamental manter uma
mentalidade de constante renovação com relação
à proteção de dados dentro da organização.

Não basta apenas adquirir tecnologia de última

geração. É preciso focar a reciclagem e o
treinamento profissional de todos os envolvidos.
Afinal, os dados e informações são recursos
críticos que, mesmo protegidos por recursos
tecnológicos de ponta, podem ser corrompidos,
perdidos ou expostos pela falta de preparo dos
usuários que vão manipulá-los.

ACOMPANHAR A EVOLUÇÃO TECNOLÓGICA

 STRO
7 SECUR

Com a crescente demanda tecnológica

para otimização de processos,
armazenamento e processamento de
dados, as empresas precisam lidar
com a proteção de todos os ativos.
Para isso, é necessário a elaboração da
política de segurança da informação
Política de (PSI). Ela consiste em um conjunto
de técnicas, ações e boas práticas
segurança da referentes ao uso seguro de dados.

informação A política de segurança da informação deve ser

considerada vital para o sucesso. Ela formaliza
os procedimentos internos que garantem
a proteção dos dados, principalmente de
pessoas não autorizadas, sendo uma forma de
manter os ativos estratégicos longe do risco
de vazamentos. Uma PSI promove orientação
organizada e padronizada a todos os envolvidos
na organização.
 STRO
8 SECUR

A segurança da informação se apoia em

três pilares:

CONFIABILIDADE

Determina que os dados sejam apenas

acessados por pessoas devidamente
autorizadas.

INTEGRIDADE

Consiste em manter os dados

preservados mediante a permissão
prévia para modificação das informações.

DISPONIBILIDADE

Estabelece que as informações estejam

disponíveis sempre que solicitadas
pelos autorizados.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

 STRO
9 SECUR

Além do mais, a política de segurança da

informação também está relacionada a um
plano de contingência que deve abranger
contramedidas como resposta a incidentes
que possam ocasionar danos de maiores
proporções. É importante que haja um
levantamento prévio de quais são os ativos de
informação da empresa, de maneira que todos
os colaboradores participem da elaboração.

Dessa forma, é possível compreender quais as

necessidades e entender os padrões de atuação,
aumentando as possibilidades de abranger
todas as demandas de segurança interna.
Quanto mais transparentes e claras forem as
diretrizes, mais dinâmicas e otimizadas serão a
implantação e a aplicação dos procedimentos
nas rotinas da empresa.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

 STRO
10 SECUR

Gestão de ativos
e vulnerabilidade
De acordo com a norma técnica
ISO 55000, um ativo é definido como
algo que tem potencial ou valor real
para uma organização. A gestão de
ativos está estritamente ligada à
segurança de dados e informações.
Ela compreende um conjunto dirigido
de práticas orientadas para extrair
valor dos ativos da empresa.
 STRO
11 SECUR

Isso engloba oportunidades, balanceamento de custos e riscos frente ao desempenho esperado desses
ativos para o alcance dos objetivos da organização. Essa gestão é muito importante porque, antes mesmo de a
empresa adquirir um ativo, o trabalho já tem início.

Logo, há um planejamento prévio do processo de deliberação a respeito da necessidade desse tipo de

investimento, passando por todas as fases que compreendem o seu ciclo de vida até o descarte. Isso é essencial
para a utilização apropriada e a adequação às normas e procedimentos técnicos com padronização internacional.

GESTÃO DE ATIVOS E VULNERABILIDADE


12
Também nesse contexto entra a gestão de
vulnerabilidade que contempla uma rotina de
processos e práticas com o objetivo de diminuir
falhas. A verificação dos possíveis riscos a que
os ativos estão expostos se dá pelo processo
que deve incluir ferramentas automatizadas
de escaneamento periódico na rede e logs, por
exemplo. Pode-se destacar outras formas de
aplicações como:
• realizar testes de invasão;
• corrigir todas as vulnerabilidades
listadas;
• manter o controle constante;
• aplicar os patches disponíveis.
STRO
SECUR
O gerenciamento de vulnerabilidades é de
extrema importância para se ter um panorama
dos riscos por meio da verificação e identificação
de cada um deles. Isso inclui a classificação de
severidade e o grau de ameaça que esses riscos
representam para a organização. Além do mais,
essas informações são cruciais para saber como
se prevenir dessas fragilidades.
GESTÃO DE ATIVOS E VULNERABILIDADE
 STRO
13 SECUR

Controle
de acesso É impossível manter os ativos seguros
sem ter um controle de acesso bem
definido, o que diminui drasticamente
a incidência de falhas de segurança
que comprometem a continuidade dos
processos de negócio. Todo usuário
precisa ser devidamente autorizado
pelo gestor da área antes de ser
registrado para acesso ao sistema ou
área a fim de exercer suas atividades.

14
Após isso, o usuário terá um perfil de acesso
compatível com as necessidades atribuídas à
sua função. As suas responsabilidades devem
ser bem definidas, incluindo sanções caso
as regras não sejam cumpridas. O registro é
feito por meio de um identificador único e
intransferível para facilitar o monitoramento
das ações praticadas. Em caso de afastamento,
mudança de cargo ou desligamento da empresa,
esse acesso será removido.
Outro fator importante é o acesso à rede.
Quando bem administrado, evita os acessos não
autorizados. Dessa maneira, convém que haja
um gerenciamento adequado definindo quais
os serviços e sub-redes podem ter acessos
internos e externos, tendo bem definidos os
meios para que essas conexões se realizem.
Isso impacta significativamente na política de
proteção de dados.
STRO
SECUR
Vale destacar que todas as informações e dados
importantes referentes aos identificadores
de usuário, horários de entrada e saída, e
tentativas de ingresso no sistema necessitam
ser gravados e padronizados nos registros de
log. Dessa forma, é possível fazer avaliações
futuras que possam extrair falhas do sistema de
autenticação e até mesmo ajudar a solucionar
incidentes de segurança de dados.
Dentre as medidas que podem ser tomadas
destacam-se, por exemplo, barrar conexões
executadas por equipamentos não permitidos
mediante o estabelecimento de controles de
certificação. Além do mais, pode-se implantar
uma gerência de roteamento que impossibilite o
fluxo de informações e acessos não autorizados,
mediante gateways que façam a validação dos
endereços de destino e origem.
CONTROLE DE ACESSO
 STRO
15 SECUR

A adoção de um VPN (rede privada virtual) também é interessante, por fazer uso de protocolos de criptografia
para constituir uma rede segura. Todas as configurações devem ser feitas corretamente para as medidas utilizadas
na empresa. Essas medidas incluem implantação e implementação da política de proteção de dados, que deve ir
além da formalização documental, tendo em vista a aplicação das melhores práticas de segurança de dados.

CONTROLE DE ACESSO
 STRO
16 SECUR

O sistema de detecção de incidentes

é uma ferramenta que busca garantir
a preservação da informação e ajudar
na proteção das atividades efetuadas
dentro da organização.

Sistemas de
detecção de
incidentes (SOC)

17
O SOC centraliza as
operações voltadas à
segurança de dados,
abrangendo desde
projetos específicos aos
procedimentos de conduta
de pessoas a tecnologias
e processos adotados pela
empresa. As atividades
realizadas envolvem:
DETECÇÃO
Reconhecimento de falhas
de segurança em processos.
PREVENÇÃO
Boas condutas para auxiliar
na precaução de incidentes.
STRO
SECUR
AVALIAÇÃO DE
VULNERABILIDADE
Análise e monitoramento dos processos
de acordo com o risco de segurança.
RESPOSTA A INCIDENTES
Solução adequada às vulnerabilidades
encontradas.
Por meio de uma estruturação correta
dos processos, a resposta a malwares
que comprometem os sistemas é muito
mais precisa e veloz. Por meio do SOC, é
possível recuperar dados e interromper
investidas maliciosas como o DDoS
(ataque distribuído de negação de serviço)
ou outras ameaças que coloquem em
risco a continuação do negócio.
CONTROLE DE ACESSO
 STRO
18 SECUR

O SOC otimiza a tomada de decisão dos gestores e as ações da equipe mediante suas ferramentas
fundamentais que proporcionam análises mais objetivas de dados e processos. Quando o assunto é proteção
de informações, todos os pontos cruciais devem ser avaliados para a adoção de critérios cuidadosos, como o
acompanhamento de segurança da informação das parcerias de negócio.

Os contratos de confidencialidade,
treinamento contínuo das equipes
de TI e demais colaboradores
também são fundamentais
para a continuidade das
operações. Dessa forma, há
um monitoramento constante
dos softwares, infraestrutura e
tecnologia de segurança de dados
da empresa, proporcionando
mitigação de vulnerabilidades
e respostas aos incidentes de
maneira precisa.

CONTROLE DE ACESSO
 STRO
19 SECUR

Inúmeros casos de incidentes de

segurança da informação são registrados
e divulgados todos os anos e devem
ser usados como base para análise de
caso e elaboração de novas práticas de
proteção. O Cert (Centro de Estudos,
Resposta e Tratamento de Incidentes de
Segurança no Brasil) é uma excelente
fonte para isso, pois atua como um
Conclusão ponto central para notificações de
incidentes de segurança, tendo diversas
estatísticas e estudos.

Mediante isso, busque sempre manter a sua

empresa atualizada com as melhores práticas
de segurança de dados. Você pode se prevenir
da perda de clientes por causa de ataques bem-
sucedidos. Além disso, pode haver prejuízos
financeiros, da imagem da organização e divulgação
de estratégias de negócios aos concorrentes.
 STRO
20 SECUR

Assim, todas as facetas da segurança da informação — jurídica, tecnológica, físicas, humanas e virtuais — devem
ser alvo de medidas protetoras, como as encontradas na ISO/EC 27002, que constitui um código de melhores
práticas para auxiliar na implantação do sistema de gestão de segurança da informação (SGI) nas empresas.

CONCLUSÃO
 rockcontent.com

Sobre a Strong Security Brasil

A Strong Security Brasil (SSBr) tem como missão

STRONG oferecer soluções de alta qualidade para as suas

SECURITY
parceiras e clientes. Devido à grande tendência
de ataques cibernéticos e vazamento de dados,
a SSBr utiliza metodologias com a finalidade
de otimização constante dos investimentos em
segurança da informação.

A SSBr concentra-se nas soluções de

segurança da informação, tendo elevada base
de conhecimento e ampla experiência em
suporte, implementação de serviços gerenciados
e consultoria. Além do mais, por meio da
especialização em GRC (governança,risco
e compliance), atende às necessidades de
empresas de todos os portes, com segurança
da informação na medida certa.

Pode-se destacar a linha de produtos de
segurança da informação como:
• antivírus, firewall, filtro ativo de
conteúdo, anti-spam, IDS/IPS,
autenticação forte, segurança
para aplicações web, DLP (Data
Loss Prevension), QoS, VPN,
criptografia, backup, SIEM,
gestão de identidades,
entre outros;
• serviços profissionais;
• plano de continuidade
de negócios, análise de
vulnerabilidades, testes de
invasão, política de segurança,
GRC, GAP, análise para ISO
27001 e PCI;
rockcontent.com
• serviços gerenciados de
segurança e soluções em cloud;
• implementação, suporte
técnico, alocação de mão
de obra.
A Strong Security Brasil está preparada
para atender às demandas de segurança
dos clientes que buscam um serviço
econômico, confiável e que agregue
valor para o seu negócio, sendo
detentora de um portfólio extenso e
integrado com as melhores práticas de
segurança para a preservação de dados
e informações sensíveis.