Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia da Gestão de
Segurança da Informação
O que é e como implantar na sua empresa
ÍNDICE
Implementação de um SGSI
Este ebook traz conceitos importantes para entender, planejar e implementar Gestão de
Segurança da Informação na sua empresa.
Segurança da informação
O que é Segurança da Informação • Política de Segurança
• Privacidade de Dados
Segurança da informação (SI) é a não violação da integridade, disponibilidade,
• Análise de Risco
confidencialidade, confiabilidade e autenticidade de documentos e dados
• LGPD
pessoais armazenados ou trafegados em meio tecnológico.
• ISO 27001
Se baseia em metodologias, normas, técnicas, ferramentas, estruturas organizacionais, • Conscientização
tecnologias e outros elementos, que suportam a ideia de proteção nas várias facetas • ...
da informação; envolve também a implementação e gestão de medidas de segurança
apropriadas, através de uma abordagem holística.
Cibersegurança
Importante ressaltar o conceito de Cibersegurança que é parte da Segurança da
Informação, mas não sinônimo. A Cibersegurança é responsável especificamente pela • Firewall
segurança digital, protegendo os ativos por meio do tratamento das ameaças potenciais • Teste de Invasão
que podem pôr em risco a informação processada, armazenada e transportada pelos
• Scan de Vulnerabilidades
sistemas interconectados.
• Antivírus
Já a Segurança da Informação tem um alcance mais amplo do que a cibersegurança.
• Controle de Acesso (AAA)
Independentemente dos limites de cada conceito, o objetivo principal é proteger a
• IDS / IPS
informação (seja de uma organização ou pessoal).
• ...
4
Quais os objetivos da Segurança da Informação
1. Integridade
2. Disponibilidade
3. Confidencialidade
4. Confiabilidade
5. Autenticidade
Esses são os principais aspectos da Segurança da Informação que precisam ser tratados com
critério com objetivo de serem protegidos para que gestores, colaboradores, parceiros e clientes
da empresa não sejam prejudicados.
Nas próximas páginas falaremos sobre as definições de cada um destes cinco aspectos e alguns
exemplos práticos de como a falta de Segurança da Informação pode ser explorada de maneira
maliciosa e causar graves consequências.
1. Integridade 2. Disponibilidade
Definição Definição
Risco Risco
Uma pessoa não autorizada obtém O seu sistema sofre um ataque e para se
acesso ao computador de seu gerente defender ou interromper o ataque seu
financeiro e altera diversos dados serviço principal fica indisponível gerando
sensíveis sem que ele perceba. grave prejuízo financeiro e de reputação.
6
3. Confidencialidade 4. Confiabilidade
Definição Definição
Risco Risco
Uma empresa concorrente têm acesso Uma planilha tem seus dados alterados
aos seus dados de produção e tecnologia de maneira fraudulenta causando
que foram deixados expostos por uma consequências negativas para a gestão e
configuração falha. planejamento da empresa.
7
5. Autenticidade
Definição
Risco
8
Minha empresa está segura?
Perfil e Motivação de Ataques *
Você pode imaginar que as ameaças digitais são um perigo
distante da sua empresa e que nunca vai acontecer com você. Mas
os crimes cibernéticos causaram prejuízos de US$ 22 bilhões ao motivação: vítim
Brasil em 2017 segundo o Norton Cyber Security Report [1]. Por
volta de 62 milhões de brasileiros foram vítimas de cibercrime,
76% 58
ganhos pequ
isso representa 61% da população adulta que possui conexão com financeiros negó
a internet.
Ao contrário do que muitos pensam, os hackers não têm como motivação: vítimas:
alvo apenas grandes corporações. Qualquer empresa ou startup 76% 58%
de pequeno ou médio porte pode estar vulnerável à invasão ganhos pequenos
da privacidade digital - e se tornam alvos ainda mais atraentes financeiros negócios
quando não tem nem mesmo preocupações mínimas com
proteção e mitigação de riscos. * De acordo com a pesquisa da Verizon Data
Breach Investigations Report [2], 58% das
Ao contrário do senso comum, não é preciso ser uma grande
vítimas em 2018 foram pequenos negócios e
empresa com milhões ou bilhões em jogo para ser um alvo: basta 76% motivadas por ganho financeiro.
estar vulnerável e oferecer um ganho financeiro.
9
Pequenas empresas estão mais vulneráveis
Infelizmente as pequenas empresas não costumam ter com segurança. O resultado de um ataque bem sucedido
qualquer preocupação com Segurança Digital. Em meio a é a exposição das bases de dados e possivelmente de
outras demandas que parecem sempre prioritárias e mais informações sensíveis dos clientes da empresa, como por
urgentes como marketing, vendas e produto, a segurança exemplo cartão de crédito, o que pode causar prejuízo
acaba passando despercebida e isso pode impactar a financeiro para os clientes além de prejuízo de reputação e
própria sobrevivência do negócio. confiança na marca.
Muitas vezes o alvo primário não é necessariamente Um outro tipo de ataque mais recente que vem se tornando
a empresa, e sim seus clientes. Mesmo que o mais comum entre pequenas e médias empresas é o
empreendimento movimente pequenos valores, seus Ransomware, que consiste no sequestro virtual e na
clientes podem representar um alto valor financeiro. criptografia dos dados da empresa. O criminoso exige o
pagamento de um resgate (normalmente em bitcoins que
Um exemplo de invasões comuns a pequenas empresas são
não são rastreáveis) para descriptografar os dados.
os ataques de SQL Injection, feitos a partir de formulários
web e que podem dar acesso direto aos servidores Uma boa postura de segurança pode evitar riscos
da empresa. Esse tipo de ataque, bastante antigo e com medidas simples e preventivas, bem como com
relativamente simples, explora falhas que poderiam ser um plano de ação claro.
facilmente corrigidas caso houvesse alguma preocupação
10
Como a falta de Segurança pode te impactar
11
Principais ameaças e riscos Software: falhas no desenvolvimento,
implementação ou configuração de
mecanismos de segurança em softwares.
Os pontos de controle de segurança da informação são
os agentes e meios pelos quais ela pode ser fragilizada ou Phishing: captura de dados de forma
ameaçada e inclui equipamentos de informática, softwares, manipulativa para exploração e fraude.
redes lógicas e pessoas. Esses pontos de controle devem ser Negação de serviço: indisponibilidade do
monitorados a fim de minimizar ou bloquear riscos. serviço causado por atividade maliciosa.
Todos os dias surgem novas ameaças e riscos, porém Malwares: invasões a computadores ou bases
podemos destacar como principais: de dados com roubo e/ou sequestro de dados.
12
Conceitos importantes para
pensar Segurança
13
Cloud: a computação em nuvem, Antivírus e antispam: esses são Certificado SSL (Secure
se bem gerenciada, pode trazer cuidados mínimos e também Socket Layer): ajuda a
grandes benefícios com constantes primordiais para a segurança digital. proteger as informações do
atualizações e menor exposição a Aumentam as chances de bloqueio seu website, criptografando
erros de código. Além da eliminação de ameaças considerando as a transmissão de dados.
de custos, é possível ter um possíveis portas de entrada dentro Isso o torna mais seguro e
ambiente de trabalho com menos de uma empresa, como navegação confiável para seus clientes.
vulnerabilidades. insegura na internet, emails,
pendrives, entre outros.
14
Backup: uma política clara de Criptografia: apesar de muitas Controle de acesso: um dos
backup traz confiabilidade ao vezes significar uma perda de fatores que apresenta maior
negócio, trazendo mais agilidade velocidade nos processos, é de vulnerabilidade justamente por
para a retomada dos serviços grande importância criptografar os não ter a devida atenção. Sem
caso algum problema ocorra. É dados sensíveis e assim impedir dúvida, o controle de acesso
aconselhável salvar os backups que sejam acessados em caso de levando em consideração os
em múltiplas mídias e fazer um ataque. Principalmente em processos inerentes e essenciais
testes periódicos de integridade empresas onde existe um fluxo a cada usuário faz toda a
para se proteger de danos à de dados sensíveis como jurídico, diferença e evita uma exposição
infraestrutura de TI. financeiro e segredos industriais, desnecessárias a riscos e
a criptografia é altamente impactos caso uma conta seja
recomendada. comprometida.
15
Conscientização de funcionários: Política de Segurança da Informação Monitoramento de
tenha regras de segurança (PSI): documento que estabelece infraestrutura de TI: saiba
estabelecidas e funcionários diretrizes para os membros da como estão suas conexões
treinados e conscientes da organização no uso de recursos de rede e sistemas internos
importância de segui-las. O quadro de tecnologia da informação como em tempo real de maneira
de funcionários é quase sempre correio eletrônico, backup, senhas, constante. Utilize soluções
o elo mais fraco de segurança em uso de internet e intranet entre outros de Firewall e de prevenção
uma empresa, por isso é essencial assuntos. Deve considerar sempre o de invasão para verificar os
a conscientização sobre temas comportamento no ambiente interno e pacotes recebidos em busca
chave como: reconhecer um e-mail externo que possa vir a expor a empresa de possíveis ameaças.
de phishing, o que fazer em caso a riscos para estabelecer regras para
de incidentes de SI, como tratar o acesso de dados. Ao explicitar as
informações importantes da responsabilidades e penalidades cabíveis
empresa, como evitar aplicativos em caso de desrespeito às práticas de
perigosos, criar e manter senhas segurança estabelecidas, a empresa
seguras, além de conscientizar traz seriedade e atenção ao tratamento
sobre outros riscos que sejam de suas informações, aumentando sua
relevantes ao negócio. segurança digital.
16
Atualização: uma das maiores Ter um manual de resposta a Redundância de sistemas:
causas de vulnerabilidades e algo incidentes: os riscos sempre vão infraestrutura replicada, física
fundamental para correção de bugs existir, mesmo que mínimos e com ou virtualizada que garante
e erros que podem causar falhas uma política de segurança forte. uma alta disponibilidade das
de segurança é manter softwares A diferença é estar pronto e ter informações. Ou seja, se um
sempre atualizados. Parece óbvio e agilidade para responder e corrigir servidor ou outro equipamento
simples de implementar, mas muitas de maneira eficiente, de maneira de TI falhar seu substituto entra
empresas acabam deixando isso em adequada e limitando o eventual em operação imediatamente
segundo plano por falta de tempo e dano que a exploração de uma permitindo a continuidade da
priorização pela equipe de TI. vulnerabilidade possa permitir. operação.
17
Dupla autenticação e política de Considerar a contratação de um Testar suas defesas: algumas
senhas: não utilizar a mesma senha seguro contra ciberataques: pode vulnerabilidades só são
em diferentes serviços, e definir ser uma boa solução para proteger e descobertas através de uma
senhas fortes assim como habilitar, cobrir conta incidentes como ativos simulação de ataque. Então além
sempre que possível, o fator de digitais danificados, extorsão, perda de realizar varreduras periódicas,
autenticação dupla 2FA (Two Factor de dados, interrupção na operação, é uma ótima prática simular
Authentication). perda financeira entre outros. um ataque cibernético a fim de
encontrar e eliminar brechas em
sua segurança.
18
O que é Gestão de SI
Um Sistema de Gestão de Segurança da Informação (SGSI)
define uma abordagem organizacional para que de acordo
com os critérios mencionados anteriormente de Integridade,
Confidencialidade, Confiabilidade, Autenticidade e Disponibilidade,
os dados e informações de uma empresa estejam protegidos.
19
Melhorando a Segurança da Informação na sua empresa
É praticamente impossível ter controle total das Em maio de 2018 passou a vigorar o Regulamento Geral
informações que circulam e estão expostas em uma de Proteção de Dados (GDPR/RGPD), lei européia que
empresa. Além disso, ameaças e os mais diversos tipos visa garantir a proteção de dados pessoais no cenário
de ataques estão em constante mudança e evolução, tecnológico de cidadões dos países da União Européia.
tornando-se cada vez mais complexos.
Dado o impacto global da GDPR, no Brasil esta mesma
Ao compreender o quanto é essencial pensar e direcionar medida vem sendo estabelecida a partir da Lei Geral
investimentos para a segurança da informação, é de Proteção de Dados Pessoais (LGPD), que estabelece
importante lembrar que os objetivos não são apenas regras relacionadas à segurança da informação e
estabelecer e implementar controles para prevenção, mas responsabiliza as empresas pela proteção de dados,
sim, incluir diretrizes e procedimentos para detecção independente do tamanho.
e resposta a incidentes relacionados à segurança e
Buscar proteger sistemas, dados e informações
privacidade.
contra o acesso indevido, ataques criminosos,
A segurança da informação e privacidade vem ganhando uso impróprio assim como prevenir a perda e
cada vez mais visibilidade com casos de vazamento de
sequestro de dados deve fazer parte do dia-a-dia
dados em grandes empresas que impactam milhares de
de todas as empresas.
pessoas que têm suas informações sensíveis expostas.
20
Implementação de um SGSI
O SGSI (Sistema de Gestão de Segurança da Informação) 3. Processos de detecção e resposta a incidentes de
se baseia em normas ISO/IEC para prover segurança segurança que assegurem o pronto restabelecimento
no uso dos ativos tecnológicos de uma empresa. Mais dos sistemas e acesso seguro a informações em caso de
especificamente centralizado nas Normas ISO/IEC 27001 incidente;
e 27002, o sistema estabelecido deve ser seguido por 4. Plano de Continuidade de Negócios para assegurar que
todos que se relacionam direta ou indiretamente com a ao se recuperar de um incidente grave, as perdas sejam
infraestrutura de TI da organização, desde os funcionários minimizadas;
até os fornecedores e parceiros. 5. Plano de Conscientização de funcionários, parceiros
e fornecedores perante a Segurança Digital e as
A implementação de um Sistema de Gestão de Segurança respectivas estratégias adotadas na empresa;
da Informação envolve, no geral:
6. Procedimentos para auditoria e melhoria contínua.
1. Análise de riscos da infraestrutura de tecnológica e
da atual posição da empresa em relação à Segurança
Digital, a fim de identificar pontos vulneráveis e as falhas Embora não exista um passo-a-passo para a
que deverão ser corrigidas; implementação de um gerenciamento padrão
2. Estruturação da Política de Segurança da Informação, considere os aspectos apresentados a seguir que
procedimentos e normas que respaldam os aspectos e contribuirão para a conquista de bons resultados.
cultura de Segurança da Informação na organização;
21
Do. A implementação do SGSI com operação da política de
Escopo segurança, controles, medidas, processos e procedimentos.
Deve conter a formulação de um plano de tratamento de
A norma ISO 27001 adota o modelo PDCA (Plan-Do-
riscos, implementar controles, programas de conscientização
Check-Act) sugerindo um ciclo de melhoria continua e treinamento. Além disso nessa fase deve começar o efetivo
do programa de gestão de forma a permitir a gerenciamento das operações e recursos de SGSI e a pronta
evolução de sua maturidade. detecção de eventos de SI e resposta a incidentes.
22
Análise de Impacto e estimativa de recursos
23
Implemente seu Programa
de Gestão de Segurança da
Informação e Privacidade
com a plataforma GAT
Implementar um Programa de Segurança da Informação
é um desafio para empresas de todos os tipos e portes.
Ter uma ferramenta adequada para auxiliar na gestão traz
grandes ganhos de produtividade, eficiência além de maior
confiabilidade por envolver menos processos manuais que
estão sempre mais suscetíveis a erros humanos. Saiba
mais sobre como começar e como a plataforma GAT pode
ajudar no sucesso do seu Programa de Segurança da
Informação e Privacidade.
24
Apoio e estrutura
25
Gap Analysis Evolua sua maturidade
Entenda de acordo com melhores práticas Gestão de Riscos
Cibernéticos
reconhecidas da indústria e critérios Gestão
Gestão de de Continuidade
estabelecidos como padrões a diferença de Negócios
Vulnerabilidades
entre sua performance de segurança atual
e a desejada. Esse diagnóstico de brechas Gestão
Conscientização sobre
ou o GAP Analysis pode ser aplicável a Segurança de Incidentes
de Segurança
qualquer normativo de adequação e é e Privacidade
da Informação da Informação
também muito útil em outras certificações e Privacidade
além da ISO/IEC 27001. de Dados
26
Ativos: defina, agrupe e classifique sua severidade
27
Visão e Agrupamento de Ativos no GAT
para responsáveis e data limites para correções. ativos de rede, uma aplicação web, dois processos e dez pessoas. Esse grupo
de ativos possui acesso à informações sensíveis, portanto você pode definir
Você pode criar dashboards com gráficos, sua severidade como Crítica ao negócio e criar uma automação que dispare
métricas e tabelas para entender rapidamente alertas a cada nova vulnerabilidade com severidade acima do nível ‘Baixo’ que
quais ativos estão mais vulneráveis ou trazem for encontrada, definindo responsável e data limite para correção. Pode disparar
maior risco de segurança à empresa e o que deve ainda um segundo alerta caso a data limite não seja atendida e realizar outras
automações que sejam interessantes para seus processos de gestão.
ser priorizado.
28
Gestão de Riscos de Segurança da Informação
Os riscos à Segurança da Informação são ameaças que Deve existir um plano de resposta aos riscos que
impedem o alcance dos objetivos de uma organização. A forem identificados com ações a serem tomadas para
gestão de riscos começa com um bom planejamento de seu gerenciamento. Devem ser atribuídos papéis e
infraestrutura, serviços, políticas e metodologias. responsabilidades sobre os perigos que forem detectados.
Entre as possíveis ações a partir da identificação de um risco
A Gestão de Riscos de TI envolve a identificação, análise
podemos citar:
e classificação por prioridade de cada risco identificado
levando em consideração o possível impacto e probabilidade Evitar: tomar ações que eliminem completamente o risco;
de que seja explorado. Tudo o que gira em torno de TI pode
Mitigar: redução da probabilidade e ou do impacto da
contribuir para aumentar ou diminuir o risco por isso essa
possível exploração do risco;
avaliação deve ocorrer de maneira contínua.
Transferir: envolver um terceiro que será responsabilizado
pelo risco;
29
Gestão de Risco tecnológico com GAT
30
Centralização dos Processos de Segurança
31
Comunicação, responsáveis e continuidade
É possível fazer o acompanhamento minucioso da
É essencial para o sucesso de qualquer Programa de
segurança de seu ambiente com a visão dos apontamentos
Segurança da Informação um plano contínuo de correção de
e interação com outros usuários (adicionando responsáveis
vulnerabilidades identificadas.
ou watchers, e mencionando-os nos comentários).
É comum empresas terem dificuldade em manter a
Os usuários podem trocar informações sobre a correção
continuidade desse plano por conta de diversos fatores,
via comentários específicos no apontamento. Isso permite
como dificuldade de comunicação entre as diversas áreas
a rastreabilidade, o princípio do não-repúdio e elimina as
envolvidas, falta de uma visão centralizada e de processos
conversas por e-mail, centralizando as informações no
de segurança bem definidos. O GAT endereça todos esses
contexto do próprio apontamento.
problemas, permitindo um fluxo de trabalho muito mais
fluido. Além disso é possível ter usuários com segregação de
acesso e visão restrita apenas ao projeto específico que é
Através do GAT é muito mais rápido e eficiente
relevante terem conhecimento.
atribuir responsáveis e data limite para tratamento de
vulnerabilidades de maneira manual ou automatizada. Tudo isso resulta em um maior controle sobre o ciclo
Com regras de automação personalizadas, é possível criar os de vida das vulnerabilidades e melhora a eficiência
mais variados tipos de notificações, bem como automatizar do tratamento diminuindo seu tempo de exposição
grande parte do fluxo de correção das vulnerabilidades às ameaças encontradas.
cadastradas no GAT.
32
Visão agrupada de apontamentos
GAT permite fazer o gerenciamento das vulnerabilidades Para isso, o GAT possui as visões agrupadas de
detectadas em seu ambiente de forma integrada e fácil. apontamentos por:
Incorporando as detecções provenientes das principais
ferramentas de scans de vulnerabilidades do mercado. • Categoria
• KB (Knowledge Base)
Você pode querer ver, por exemplo, qual a categoria de • Causa Raiz
apontamentos que mais aparece no seu ambiente; ou qual • Ativo
o apontamento mais comum; ou, ainda, quais ativos estão • Grupo de Ativo
trazendo maior risco para o seu negócio.
33
Importação de arquivos e integrações
É possível centralizar seus processos fazendo upload de A cada novo upload de dados, o GAT irá atualizar o status
planilhas tipo XLS ou CSV contendo controles manuais de cada apontamento dentro do seu ciclo de vida e você
ou scans de ferramentas como Alienvault, OpenVas entre também pode atualizar o status de cada apontamento
outras ou integrando diretamente com Tenableio e Qualys manualmente, assim como subir evidências.
para importação automática de scans.
Utilizando o GAT você pode filtrar seus apontamentos de
Dentro do GAT, os apontamentos podem ser categorizados, diversas maneiras conforme a visão que precise ter. Pode
tagueados, terem uma causa raíz atribuída, assim como também criar diferentes dashboards com tabelas e vários
um responsável e uma data limite. É possível definir um tipos de gráficos e métricas, totalmente customizáveis de
plano de correção com testes, recomendações, fazer upload acordo com as necessidades do seu programa de segurança.
de evidências, comentários, ver o histórico e o score de
É possível ainda integrar com a ferramenta de Service Desk
severidade de acordo com seu possível impacto.
Jira e abrir tickets a partir de vulnerabilidades diretamente a
partir do GAT.
34
Projetos: compliance, checklists e assessments
Considerando a complexidade, quantidade de controles Utilizando GAT é possível definir Projetos que podem ter
e processos necessários para implementar e gerir um diversos Checklists definidos e também Assessments
Programa de Segurança da Informação e Privacidade, vinculados a eles. Os assessments permitem a coleta de
é muitas vezes recomendável a organização através de informação de terceiros de acordo com um checklist pré-
Projetos e Checklists. defindo através de um formulário externo com link enviado
por email a partir do GAT o que facilita auditorias com
Isso permite ter um maior controle da implementação,
fornecedores por exemplo.
além de mostrar uma visão do progresso, execução e
distribuição de severidades de acordo com cada Projeto. O GAT oferece flexibilidade para utilizar Projetos
GAT já tem disponível Checklists padrões como ISO 27001, e Checklists da melhor maneira de acordo com o
LGPD, ISO 27701, PCI-DSS, e avaliação de segurança seu Programa de Segurança da Informação e as
de fornecedores. Além disso é possível criar Checklists características da sua organização.
customizados.
35
Processos recorrentes bem definidos e automatizados
Uma das maiores dificuldades encontradas na gestão de Por exemplo, você pode adicionar Tags aos apontamentos
Programas de Segurança e Conformidade é manter os de maneira automática de acordo com as características
processos em constante funcionamento, além de ter uma dos novos apontamentos encontrados entre muitas outras
visão clara de sua evolução e aprimoramento. possibilidades bastante flexíveis.
Além do escalonamento de responsáveis e due dates já Essas automações permitem ainda o envio de notificações
mencionado, que ajuda na melhor eficiência do tratamento customizáveis que ajudam a manter os stakeholders
das vulnerabilidades encontradas, o GAT oferece e responsáveis informados e conscientes do que está
flexibilidade para que você defina a automação de outros acontecendo ou precisa ser feito.
processos de acordo com as necessidades específicas para
É possível estabelecer e ter controle de SLA’s para
que seu Programa de SI tenha consistência e eficiência.
assim diminuir o tempo de exposição à ameaças de
acordo com seu risco para o negócio.
36
Casos de uso
37
• Visão executiva dos riscos cibernéticos e
conformidades viabiliza a tomada de decisão e
38
Evolua sua maturidade
Gestão de Riscos
Cibernéticos
Implemente seus
programas de
Gestão
Gestão de de Continuidade
Vulnerabilidades de Negócios
Atual Esperado
FONTES