quarta-feira, 5 de julho de 2023

Políticas de Segurança e Negócios

Uma política de segurança abrangente tem uma série de benefícios, incluindo os seguintes:

  • Demonstra o compromisso de uma organização com a segurança
  • Define as regras para o comportamento esperado
  • Garante a consistência nas operações do sistema, aquisição e uso de software e hardware e manutenção
  • Define as consequências legais das violações
  • Dá ao pessoal de segurança o apoio da gestão

As políticas de segurança são usadas para informar os usuários, funcionários e gerentes sobre os requisitos de uma organização para proteger os ativos de tecnologia e informação. Uma política de segurança também especifica os mecanismos necessários para atender aos requisitos de segurança e fornece uma linha de base a partir da qual adquirir, configurar e auditar sistemas e redes de computadores para conformidade.

Diretivas que podem ser incluídas em uma diretiva de segurança:

  • Política de identificação e autenticação: Especifica pessoas autorizadas que podem ter acesso a recursos de rede e procedimentos de verificação de identidade.
  • Políticas de senha: Garante que as senhas atendam aos requisitos mínimos e sejam alteradas regularmente.
  • Acceptable Use Policy (AUP): Identifica os aplicativos e usos de rede que são aceitáveis para a organização. Também podem identificar as ramificações, se esta política for violada.
  • Política de acesso remoto: Identifica como os usuários remotos podem acessar uma rede e o que é acessível por meio de conectividade remota.
  • Políticas de Manutenção de Rede: Especifica procedimentos de atualização de sistemas operacionais dos dispositivos de rede e de aplicativos de usuário final.
  • Procedimentos de tratamento de incidentes: Descreve como os incidentes de segurança são tratados.

Um dos componentes de política de segurança mais comuns é um AUP. Isso também pode ser referido como uma política de uso apropriada. Este componente define o que os usuários têm ou não permissão para fazer nos vários componentes do sistema. Isso inclui o tipo de tráfego permitido na rede. A AUP deve ser a mais explícita possível, para evitar mal-entendidos. Por exemplo, um AUP pode listar sites específicos, grupos de notícias ou aplicativos de uso intensivo de largura de banda que são proibidos de serem acessados por computadores da empresa ou da rede da empresa. Cada funcionário deve ser obrigado a assinar uma AUP, e as AUPs assinadas devem ser mantidas durante a duração do emprego.

Políticas BYOD: Muitas organizações agora também devem oferecer suporte ao BYOD (Traga seu próprio dispositivo). Isso permite que os funcionários usem seus próprios dispositivos móveis para acessar sistemas, software, redes ou informações da empresa. O BYOD oferece vários benefícios importantes para as empresas, incluindo aumento da produtividade, redução dos custos operacionais e de TI, melhor mobilidade para os funcionários e maior atração quando se trata de contratar e reter funcionários.

No entanto, esses benefícios também trazem um maior risco de segurança das informações, pois o BYOD pode levar a violações de dados e maior responsabilidade para a organização. Uma política de segurança BYOD deve ser desenvolvida para realizar o seguinte:

  • Especificar os objetivos do programa BYOD.
  • Identificar quais funcionários podem trazer seus próprios dispositivos.
  • Identificar quais dispositivos serão suportados.
  • Identificar o nível de acesso que os funcionários são concedidos ao usar dispositivos pessoais.
  • Descrever os direitos de acesso e as atividades permitidas ao pessoal de segurança no dispositivo.
  • Identificar quais regulamentos devem ser cumpridos ao usar dispositivos de funcionários.
  • Identificar as salvaguardas a serem implementadas se um dispositivo for comprometido.

As práticas recomendadas de segurança BYOD para ajudar a mitigar vulnerabilidades:

  • Acesso protegido por senha: Use senhas exclusivas para cada dispositivo e conta.
  • Controle manualmente a conectividade sem fio: Desative a conectividade Wi-Fi e Bluetooth quando não estiver em uso. Conecte-se apenas a redes confiáveis.
  • Mantenha-se atualizado: Mantenha sempre o sistema operacional do dispositivo e outros softwares atualizados. O software atualizado geralmente contém patches de segurança para mitigar contra as ameaças ou explorações mais recentes.
  • Dados de backup: Ative o backup do dispositivo caso ele seja perdido ou roubado.
  • Ativar “Localizar meu dispositivo”: Assine um serviço de localizador de dispositivos com o recurso de apagamento remoto.
  • Fornecer software antivírus: Fornecer software antivírus para dispositivos BYOD aprovados.
  • Use um software gerenciamento de dispositivos móveis (MDM): O software MDM permite que as equipes de TI implementem configurações de segurança e configurações de software em todos os dispositivos que se conectam às redes da empresa.

Conformidade com regulamentações e padrões: Há também regulamentos externos em relação à segurança da rede. Os profissionais de segurança de rede devem estar familiarizados com as leis e códigos de ética que são vinculativos para os profissionais de Segurança de Sistemas de Informação (INFOSEC). Muitas organizações são obrigadas a desenvolver e implementar políticas de segurança. Os regulamentos de conformidade definem o que as organizações são responsáveis pelo fornecimento e a responsabilidade caso não cumpram. Os regulamentos de conformidade que uma organização é obrigada a seguir dependem do tipo de organização e dos dados que a organização manipula. Regulamentos específicos de conformidade serão discutidos mais tarde no curso.

Domínios de Segurança de Rede: É vital que os profissionais de segurança de rede compreendam as razões para a segurança da rede. Eles também devem estar familiarizados com os requisitos organizacionais de segurança de rede, como incorporados pelos 14 domínios de segurança de rede. Os domínios fornecem uma estrutura para discutir a segurança da rede e compreender as necessidades operacionais que devem ser abordadas por cada organização.

Existem 14 domínios de segurança de rede especificados pela International Organization for Standardization (ISO) /International Electrotechnical Commission (IEC). Descritos pela ISO/IEC 27001, esses 14 domínios servem para organizar, em alto nível, o vasto reino de informações e atividades sob o guarda-chuva da segurança da rede. Esses domínios têm alguns paralelos significativos com domínios definidos pela certificação Certified Information Systems Security Professional (CISSP).

Os 14 domínios têm como objetivo servir como uma base comum para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gerenciamento de segurança. Também ajudam a facilitar a comunicação entre as empresas. Estes 14 domínios fornecem uma separação conveniente dos elementos de segurança da rede. Embora não seja importante memorizar esses 14 domínios, é importante estar ciente de sua existência e declaração formal pela ISO. Na norma ISO 27001 estes são conhecidos como os 14 conjuntos de controle do Anexo A. Eles servirão como uma referência útil em seu trabalho como um profissional de segurança de rede.

  1. Políticas de Segurança da Informação: Este anexo foi concebido para garantir que as políticas de segurança sejam criadas, revisadas e mantidas.
  2. Organização da segurança da informação: Este é o modelo de governança estabelecido por uma empresa para a segurança da informação. Ele atribui responsabilidades para tarefas de segurança da informação dentro de uma organização.
  3. Segurança de recursos humanos: Isso aborda as responsabilidades de segurança relacionadas a funcionários ingressando, movendo-se dentro e deixando uma organização.
  4. Gerenciamento de ativos: Isso diz respeito à maneira como as organizações criam um inventário e esquema de classificação para ativos de informação.
  5. Controle de acesso: Descreve a restrição dos direitos de acesso a redes, sistemas, aplicativos, funções e dados.
  6. Criptografia: Isso diz respeito à criptografia de dados e ao gerenciamento de informações confidenciais para proteger a confidencialidade, a integridade e a disponibilidade dos dados.
  7. Segurança física e ambiental: Isso descreve a proteção das instalações e equipamentos de computadores físicos dentro de uma organização.
  8. Segurança de Operações: Isso descreve o gerenciamento de controles técnicos de segurança em sistemas e redes, incluindo defesas de malware, backup de dados, registro e monitoramento, gerenciamento de vulnerabilidades e considerações de auditoria. Este domínio também está preocupado com a integridade do software que é usado em operações comerciais.
  9. Segurança de Comunicações: Isso diz respeito à segurança dos dados, uma vez que são comunicados em redes, tanto dentro de uma organização como entre e organização e terceiros, como clientes ou fornecedores.
  10. Aquisição, Desenvolvimento e Manutenção do Sistema: Isso garante que a segurança das informações permaneça uma preocupação central nos processos de uma organização em todo o ciclo de vida, tanto em redes privadas quanto públicas.
  11. Relacionamentos com fornecedores: Isso diz respeito à especificação de acordos contratuais que protegem os ativos de informação e tecnologia de uma organização que são acessíveis por terceiros que fornecem suprimentos e serviços à organização.
  12. Gerenciamento de incidentes de segurança da informação: Descreve como antecipar e responder a violações de segurança da informação.
  13. Gerenciamento de continuidade de negócios: Descreve a proteção, manutenção e recuperação de sistemas e processos essenciais para os negócios.
  14. Conformidade: Descreve o processo de assegurar a conformidade com as políticas, normas e regulamentos de segurança da informação.
Políticas de Negócios: Políticas de negócios são as diretrizes que são desenvolvidas por uma organização para governar suas ações. As políticas definem padrões de comportamento correto para a empresa e seus funcionários. Na rede, as políticas definem as atividades permitidas na rede. Isso define uma linha de base de uso aceitável. Se um comportamento que viola a política de negócios for detectado na rede, é possível que tenha ocorrido uma violação de segurança. Uma organização pode ter várias diretivas orientadoras, conforme listado abaixo:

Políticas da empresa:
  • Estas políticas estabelecem as regras de conduta e as responsabilidades dos trabalhadores e dos empregadores.
  • As políticas protegem os direitos dos trabalhadores, bem como os interesses comerciais dos empregadores.
  • Dependendo das necessidades da organização, várias políticas e procedimentos estabelecem regras relativas à conduta dos funcionários, assiduidade, código de vestimenta, privacidade e outras áreas relacionadas com os termos e condições de emprego.
Políticas de funcionários:
  • Essas políticas são criadas e mantidas pela equipe de recursos humanos para identificar o salário dos funcionários, o cronograma de pagamento, os benefícios dos funcionários, o horário de trabalho, as férias e muito mais.
  • Muitas vezes, eles são fornecidos a novos funcionários para revisar e assinar.
Políticas de segurança:
  • Essas políticas identificam um conjunto de objetivos de segurança para uma empresa, definem as regras de comportamento para usuários e administradores e especificam os requisitos do sistema.
  • Esses objetivos, regras e requisitos garantem coletivamente a segurança de uma rede e dos sistemas de computador em uma organização.
  • Assim como um plano de continuidade, uma política de segurança é um documento em constante evolução com base em mudanças no cenário de ameaças, vulnerabilidades e requisitos de negócios e funcionários.
By at
Labels: , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)

Postagens mais visitadas

Postagem em destaque

Algumas comunidades de Cibersegurança

BSides San Francisco CCC – Confidential Computing Consortium CForum CIS – Center for Internet Security CompTIA CREST CSA – Cloud Security Al...