O que é segurança da informação?
A segurança da informação, frequentemente chamada de InfoSec, se refere aos processos e às ferramentas projetados e implantados para proteger informações corporativas confidenciais contra modificações, interrupções, destruições e inspeções.
Qual a diferença entre a segurança digital e a segurança da informação?
Frequentemente, a confusão entre a segurança da informação e a segurança digital. A InfoSec é uma parte essencial da segurança digital, mas se refere exclusivamente aos processos projetados para a segurança de dados. A segurança digital é um termo geral que inclui a InfoSec.
O que é um sistema de gerenciamento de segurança da informação (ISMS)?
Um ISMS é um conjunto de diretrizes e processos criados para ajudar as empresas no cenário de uma violação de dados. Com um conjunto formal de diretrizes, as empresas podem diminuir o risco e garantir a continuidade do trabalho no caso de uma mudança de equipe. O ISO 27001 é uma especificação reconhecida do ISMS de uma empresa.
O que é o regulamento geral de proteção de dados (GDPR)?
Em 2016, o Parlamento e o Conselho Europeu concordaram sobre o Regulamento geral de proteção de dados. Na primavera de 2018, o GDPR começou a exigir que as empresas:
- fornecessem notificações sobre violações de dados
- apontassem um diretor de proteção de dados
- exigissem o consentimento do usuário para o processamento de dados
- tornassem os dados anônimos para privacidade
Todas as empresas que operam na UE devem seguir esses padrões.
Quais certificações são necessárias para cargos de segurança digital?
As certificações para cargos de segurança digital podem variar. Em algumas empresa, o diretor de segurança da informação (CISO) ou o gerente de segurança da informação certificado (CISM) pode exigir treinamento específico ao fornecedor.
De forma geral, organizações sem fins lucrativos, como a Information Systems Security Certification Consortium fornecem certificações amplamente aceitas. As certificações podem variar de CompTIA Security+ até Certified Information Systems Security Professional (CISSP).
No Brasil a GDPR é chamada de LGPD, Lei Geral de Proteção de Dados. A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020 que em geral tem o mesmo teor da lei européia preconizando a responsabilidade sobre o tratamento de dados.
Tipos de InfoSec
Segurança de aplicações
A Segurança de aplicações é um tópico amplo que abrange as vulnerabilidades de software em aplicações da Web e móveis, bem como interfaces de programação de aplicações (APIs). Essas vulnerabilidades podem ser encontradas na autenticação ou na autorização de usuários, na integridade e configurações do código e em políticas e processos consolidados. As vulnerabilidades de aplicação podem criar pontos de entrada para violações de InfoSec significativas. A segurança de aplicação é uma parte importante da defesa de perímetro da InfoSec.
Segurança na nuvem
A segurança da nuvem se concentra em criar e hospedar aplicações seguras em ambientes de nuvem, além de consumir de forma segura as aplicações em nuvem de terceiros. “Nuvem” significa apenas que a aplicação está em execução em um ambiente compartilhado. As empresas devem se certificar que haja um isolamento adequado entre diferentes processos nos ambientes compartilhados.
Criptografia
Criptografar dados em trânsito e em repouso ajuda a garantir a confidencialidade e a integridade dos dados. As assinaturas digitais são frequentemente usadas na criptografia para validar a autenticidade dos dados. A criptografia tem se tornado cada vez mais importante. Um bom exemplo do uso de criptografia é o Advanced Encryption Standard (AES). O AES é um algorítimo chave simétrico usado para proteger informações governamentais confidenciais.
Segurança de infraestrutura
A segurança de infraestrutura lida com a proteção de redes internas e extranet, laboratórios, data centers, servidores, desktops e dispositivos móveis.
Resposta a incidentes
A resposta a incidentes é a função que monitora e investiga possíveis comportamentos mal-intencionados.
Ao se preparar para violações, a equipe de TI deve ter um plano de resposta a incidentes que contenha a ameaça e restaure a rede. Além disso, o plano deve criar um sistema para preservar a evidência para uma possível análise forense e processo criminal. Esses dados podem ajudar a impedir violações e fazer com que a equipe a localize o invasor.
Gerenciamento de vulnerabilidades
O gerenciamento de vulnerabilidade é o processo de examinar um ambiente por pontos fracos (como software não corrigido) e priorizar a remediação com base no risco.
Em muitas redes, as empresas adicionam com frequência aplicações, usuários, infraestrutura, entre outros recursos. Por esse motivo, é importante examinar constantemente a rede por possíveis vulnerabilidades. Localizar uma vulnerabilidade com antecedência pode salvar as empresas dos altos custos de uma violação.