Segurança da Informação: Como usar as informações de forma inteligente e consciente para se manter em conformidade - Planus

Segurança da Informação: Como usar as informações de forma inteligente e consciente para se manter em conformidade

10/07/2019

Segurança da Informação: Como usar as informações de forma inteligente e consciente para se manter em conformidade

Apesar dos benefícios que os padrões de segurança adotados em diferentes segmentos do mercado, um número crescente de empresas está falhando nas avaliações de conformidade ou não mantendo a conformidade total com os diversos requisitos e legislações atuais referente a segurança, proteção e privacidade de dados.

Para se ter uma ideia, desde a implantação da conformidade com o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia, o número de arquivos de dados expostos on-line sem proteção adequada aumentou mais de 50% devido a controles de segurança mal configurados, segundo relatório que avalia a escala da exposição global a dados digitais da Digital Shadows.

A exposição representa um aumento de mais de 750 milhões de arquivos desde que o mesmo estudo foi realizado pela Digital Shadows em 2018.

Isso representa um aumento de mais de 50%, apesar do fato de que consumidores em todo o mundo têm mais poder do que nunca para agir contra organizações que não protegem dados pessoais devido ao GDPR e a um número crescente de outras leis de proteção de dados.

Alcançar a conformidade em segurança da informação requer estratégia e inteligência

A conformidade com os padrões de segurança, a exemplo da ISO / IEC 27001 e PCI DSS, não torna necessariamente os controles de segurança de uma empresa eficazes e econômicos.

Simplesmente seguir longas listas de verificação e implementar controles básicos para atender aos requisitos de um padrão não criará automaticamente uma estratégia coerente que construa um ambiente operacional resiliente capaz de lidar com ameaças atuais e futuras. É preciso estratégia e inteligência para alcançar seus objetivos de conformidade.

Uma abordagem de segurança baseada em uma estratégia correta e implementada de forma inteligente, identifica os verdadeiros riscos para os ativos mais valiosos de uma organização e prioriza os gastos para reduzir esses riscos a um nível aceitável.

Uma estratégia de segurança moldada por decisões baseadas em riscos permite, por exemplo, que uma organização desenvolva metas de segurança mais práticas e realistas e gaste seus recursos de maneira mais eficiente.

Ele também oferece conformidade, não como um fim em si, mas como consequência natural de uma postura de segurança robusta e otimizada.

Saiba como implementar a segurança com base em informações e de forma inteligente

Embora uma estratégia de segurança baseada em conformidade exige um planejamento cuidadoso e monitoramento e avaliação contínuos, ela não precisa ser um processo excessivamente complexo.

Há pelo menos cinco etapas principais para implementar a segurança baseada em informações e riscos. Elas alinham a segurança com as metas da organização.

Etapa 1: avalie os ativos

Determine quais são os principais ativos de informações da organização, onde eles estão e quem os gerencia. Olhe além dos termos materiais para determinar seu valor.

Inclua qualquer impacto nos negócios e custos associados à confidencialidade, integridade ou disponibilidade de um recurso comprometido em uma avaliação, como perda de receita de um sistema de entrada de pedidos ou danos à reputação causados ​​por um site sendo invadido.

A avaliação de ativos dessa forma garante que os mais importantes para a continuidade diária da organização recebam a maior prioridade quando se trata de segurança.

Etapa 2: identifique as ameaças

O próximo passo é identificar quem pode querer roubar ou danificar esses ativos, por que e como eles podem fazê-lo. Isso inclui concorrentes, nações hostis, funcionários ou clientes descontentes, terroristas e ativistas, bem como ameaças não hostis, como um funcionário não treinado.

Considere a ameaça de desastres naturais, como enchentes e incêndios. Cada ameaça identificada precisa receber um nível de ameaça baseado na probabilidade de ocorrer.

A probabilidade de um determinado cenário ocorrer exige que os gestores de negócios forneçam conhecimento específico do setor para adicionar às próprias avaliações de inteligência de ameaças da equipe de segurança.

Etapa 3: identifique vulnerabilidades

Uma vulnerabilidade é uma fraqueza que uma ameaça pode explorar para violar a segurança e roubar ou danificar ativos importantes.

Testes de penetração e ferramentas automatizadas de varredura de vulnerabilidades podem ajudar a identificar vulnerabilidades de software e de rede, mas as vulnerabilidades físicas também precisam ser levadas em conta.

Há também vulnerabilidades associadas a funcionários, contratados e fornecedores, como ser suscetível a ataques baseados em engenharia social.

Etapa 4: crie um perfil de risco

Uma vez que os ativos, ameaças e vulnerabilidades de uma organização tenham sido identificados, o processo de criação de perfil de risco pode começar. O risco pode ser considerado como a probabilidade de uma ameaça explorar uma vulnerabilidade, resultando em um impacto comercial.

O perfil de risco avalia os controles e salvaguardas existentes e mede o risco para cada vulnerabilidade de ameaça de ativo e, em seguida, atribui a ele uma pontuação de risco. Essas pontuações são baseadas em uma combinação do nível de ameaça e do impacto na organização, caso o risco realmente ocorra.

Etapa 5: faça o tratamento do risco

Os riscos variam daqueles que são baixos o suficiente para que uma organização os aceites sem impacto adverso, para aqueles tão severos que devem ser evitados a todo custo.

Uma vez que cada risco tenha sido avaliado, uma decisão é tomada para tratar, transferir, tolerar ou finalizá-lo. Cada decisão deve ser documentada junto com as razões que levaram à decisão. Repita o processo para cada cenário de ameaça para que os recursos possam ser aplicados aos riscos que provavelmente terão o efeito mais significativo nos negócios.

Por fim, depois que essas decisões forem implementadas, realize testes para simular as principais ameaças, a fim de garantir que os novos controles de segurança realmente diminuam os riscos mais perigosos.

Como uma abordagem baseada em informações ajuda sua empresa a lidar com ameaças e manter a conformidade?

Se responder a essa pergunta ainda é um desafio para sua empresa, entre em contato com os especialistas da Planus, eles estão à disposição para tirar suas dúvidas e ajudar no desenvolvimento dos seus projetos de segurança e objetivos de conformidade.

Há 30 anos se transformando através da Tecnologia, a Planus integra soluções de TI para entregar soluções de negócios, se destacando pelo abrangente modelo de negócios na oferta de Infraestrutura com capacidade para atender das mais simples às mais complexas soluções, das soluções “On Premises” às soluções “As a Service”,  da TI Híbrida a Cloud”, do atendimento às empresas SMB até as maiores do país.

 

Entre em contato com um de nossos especialistas de vendas:
(11) 2102-5400 - 0800-7222-7332

© 2017 – Planus. Todos os direitos reservados.