E-Mails falsos, o que são?
05/04/2021Como proteger a sua empresa de um ataque ransomware
11/08/20215 Princípios da Segurança da Informação
Saber quais são os 5 pilares da Segurança da Informação pode preservar a sobrevivência de uma empresa. Toda organização precisa estar envolvida no combate a crimes cibernéticos.
São conceitos simples e que precisam estar claros no conhecimento de todos para protegermos adequadamente a empresa. Isso ocorre porque os ataques cibernéticos às organizações continuam a aumentar, estão cada vez mais sofisticados e mais obscuros.
Neste artigo, vamos falar sobre esses pilares e principalmente sua importância na gestão de segurança da informação.
Confiabilidade
Esse item está relacionado à privacidade da informação, isso acontece com a criação de níveis de acesso, ou seja, você terá acesso à informação apenas se for autorizado. Neste caso, falamos sobre as informações sensíveis, por exemplo dados financeiros, dados de RH, dados de pacientes ou qualquer informação que seja sensível dentro da sua empresa.
É possível que seja criada uma hierarquia de acesso bem estruturada e estabelecida, sendo a composição da estratégia de segurança também é muito importante para fortalecer a confidencialidade da empresa. É preciso conscientizar e treinar colaboradores com níveis de acesso mais elevados para evitar o manuseio incorreto das informações.
Existem vários mecanismos para poder garantir isso como um Active Directory, identity manager, ou mesmo a criptografia e muitas vezes a equipe de TI tem acesso a toda a informação que está no banco de dados e pode acontecer sim algum vazamento ou alguém pode ter acesso a uma informação ali que não deveria ter.
Para isso, existem tecnologias para fazer uma anonimização desses dados e mesmo quem tem acesso ao banco não consegue ver o que contém nele.
Disponibilidade
A disponibilidade cuida da proteção dos ativos intelectuais da empresa e de como esses materiais devem estar acessíveis em todos os momentos, avaliando a eficiência de uma organização, estabelecendo o acesso de seus funcionários e clientes aos dados a qualquer momento. Na implementação de medidas de segurança da informação, manter a continuidade dos processos de negócios da empresa é uma tarefa crucial para reduzir os riscos da empresa.
Os serviços fornecidos para obter disponibilidade contínua incluem, por exemplo, monitoramento contínuo e proativo, eliminação de conflitos de software, atualizações regulares do sistema e mesmo tecnologias para manter a Internet sempre ativa por meio de links temporários e redundantes.
Então seja o acesso a um site, serviço de e-mail, uma aplicação ou a soluções de comunicação, todas devem estar disponíveis para o usuário no momento que a empresa precisar deles. Imagina só um e-commerce ficar fora do ar numa data especial, uma black friday por exemplo, cabe a segurança da informação bloquear tipos de ataque que podem afetar a disponibilidade de qualquer serviço ou dados da empresa.
É necessário mitigar isso implementando diversos recursos de alta disponibilidade, implementando ambientes de disaster recovery onde se eu tiver um problema infraestrutura principal uma outra infraestrutura assume e coloca o site no ar novamente implementando serviços contingenciados por exemplo eu tenho um servidor com discos contingenciados, no caso se um disco falha, outro vai estar funcionando, ou até mesmo um serviço de proteção backbone que previne ataques como DoS (Denial of Service).
Autenticidade
O ponto central da autenticidade é garantir que você é efetivamente quem diz ser, garantindo que ninguém roubou a sua senha tentando se passou por você ou a pelo destinatário e que vai receber aquela sua correspondência.
Existe um tipo de ataque chamado “Man in the Middle”, onde o hacker pode interceptar a informação no meio do caminho se passando pelo destinatário até conseguir ter acesso à informação.
São várias tecnologias para garantir a autenticidade, por exemplo, o token ou o duplo fator de autenticação (2FA) que visa garantir a sua autenticidade então mesmo que alguém tem acesso ao seu e-mail ou senha ela ainda vai precisar de um outro código que fica disponível via aplicativo que está instalado apenas no seu celular.
Quando a sua equipe de TI faz aquela política de senha que você tem que ter uma senha robusta com vários dígitos que troca de 3 em 3 meses, isso também é uma política que garante autenticidade, como também é a biometria, seja para poder entrar em algum lugar ou para destravar o seu celular ou notebook.
Integridade
Um dos objetivos da segurança da informação é garantir que as informações armazenadas também estejam corretas, mantendo a integridade das informações. Nesse caso, a integridade também visa garantir que essas informações não sejam alteradas por outros meios fora de controle, é importante garantir que os dados não foram alterados ou comprometidos, seja propositalmente ou acidentalmente é necessário garantir que os dados estejam íntegros.
Por exemplo, sem alguém mal intencionado consegue acessar o seu sistema financeiro, pode cometer uma fraude e emitir um boleto com dados de pagamento errados, sendo papel da empresa é garantir a integridade dos dados.
Trabalhando para proteger acessos indevidos e para monitorar alterações, por exemplo garantindo que existam logs, entregando rastreabilidade de acessos no caso de uma auditoria necessária. Informações como essa são muito importantes dentro do ambiente empresarial, aqui na Strati trabalhamos com transparência com nossos clientes e parceiros, garantindo que todos tenham acesso às informações de forma íntegra. Entendemos que dessa forma, todos estarão prontos caso algum ataque ocorra
Não Repúdio ou Irretratabilidade
O Não repúdio é quando você precisa garantir efetivamente a autoria de alguma coisa. Por exemplo em uma assinatura eletrônica ou certificado digital, que possui chaves criptografadas garantido que você é realmente quem diz ser. O objetivo é garantir que o autor não negue que qualquer documento ou arquivo tenha sido criado ou assinado.
O estabelecimento de um plano de segurança da informação em uma empresa deve sempre seguir as medidas que norteiam esses princípios. Um planejamento de segurança da informação precisa ser abrangente e super alinhado às necessidades de negócio, para evitar exposições e não investir em tecnologias desnecessárias.
Quer saber mais sobre Segurança da Informação?
A Strati, como provedora de soluções em tecnologia, preparou um curso completo sobre segurança da informação, feito para desmistificar o assunto de segurança, dividido em 4 módulos completos que exploram tanto as ameaças atuais e riscos até as camadas mais complexas do ambiente de segurança.
Tudo isso para você reduzir os riscos da sua empresa sem desperdiçar dinheiro com investimento errado. Um curso 100% online e 100% gratuito! Confira!