Como é melhor descrito o objetivo da política de segurança da informação?

5 Pilares da Segurança da Informação

Tempo de leitura: 8 minutos

Parte indispensável da gestão de risco, a Segurança da Informação envolve a prevenção e redução da probabilidade de acesso e uso não autorizados ou inapropriados de dados, além de definir ações destinadas a reduzir os impactos adversos de tais incidentes. As informações protegidas podem ter qualquer forma (eletrônica ou física), seja ela tangível (documentos em papel) ou intangível (propriedade intelectual).

Seu foco é a proteção equilibrada da confidencialidade, integridade e disponibilidade dos dados, normalmente operando dentro de um modelo de segurança simples e amplamente aplicável, chamado de “Tríade CIA” (Confidentiality, Integrity and Availability), muito conhecido e utilizado na área de Segurança da Informação para o desenvolvimento de políticas de segurança focadas na identificação de problemas e definição de soluções.

Como é melhor descrito o objetivo da política de segurança da informação?

Sabemos que a “Tríade CIA” é um modelo muito utilizado, mas será o suficiente para enfrentar os desafios de segurança apresentados pelas novas tecnologias e o impacto causado pela aceleração de algumas delas durante a pandemia de COVID-19?

Alguns desafios extra surgiram depois da definição desta tríade, devido à enorme quantidade de dados a serem protegidos, o número de fontes que enviam dados e a variedade de formatos de dados. Da mesma forma, a Internet das Coisas (IoT) permite que objetos físicos ou “coisas” coletem e troquem dados, apresentando diferentes tipos de risco de segurança, como privacidade ou problemas de segurança. Como preparar sua operação para este cenário? Continue lendo o artigo e saiba mais.

Nesse artigo falamos sobre:

  • A importância dos pilares da Segurança da Informação
  • Principais ameaças à Segurança da Informação
  • 5 pilares da Segurança da Informação
    • 1. Confidencialidade
    • 2. Integridade
    • 3. Disponibilidade
    • 4. Autenticidade
    • 5. Irretratabilidade
  • Fortaleça seus pilares de Segurança da Informação
  • Superfície de Exposição a Ataques Cibernéticos
  • Conheça gratuitamente sua superfície de ataque
    • Inventário Digital
    • Fatores de Risco
    • Materiais Ricos

A importância dos pilares da Segurança da Informação

Os pilares da Segurança da Informação sustentam as práticas, estratégias e políticas de proteção de dados nas empresas. Basicamente, servem como parâmetros para guiar os processos de Segurança da Informação e preservar as informações mais valiosas para os negócios, especialmente no meio digital.

Ao conhecer esses princípios, você terá uma base para analisar, planejar e implementar mecanismos de segurança que visam reduzir riscos e defender a informação das mais diversas ameaças. Assim, é possível garantir a visibilidade, a centralização e a priorização de riscos e vulnerabilidades em Segurança da Informação. Então, se você quer melhorar sua gestão nessa área estratégica, entender os pilares da Segurança da Informação é um bom ponto de partida. Continue lendo e aprimore sua cultura de segurança. 

Sobre os pilares da segurança da informação está a proteção dos dados armazenados e processados pelas empresas, que estão entre seus ativos mais valiosos. Você já deve ter ouvido a expressão “dados são o novo petróleo”, e não à toa. Informação na era digital é sinônimo de poder, e as organizações precisam defender este capital informacional para manter sua vantagem competitiva.

Para isso, precisam gerenciar riscos e proteger suas informações de acessos não autorizados, vazamentos, alterações, invasões e perdas. As ameaçasà Segurança da Informação podem assumir as mais diversas formas, desde um ciberataque até desastres naturais e erros humanos.

Hoje, com as soluções em nuvem, conexão global e tecnologias como IoT, as brechas de dados estão se multiplicando — e os ataques também —, exigindo uma gestão de riscos ainda mais complexa. 

Logo, os pilares da segurança da informação formam as bases para defender os sistemas e infraestrutura da empresa, por meio de processos, políticas, senhas, softwares de criptografia, firewalls, entre outras práticas essenciais. 

Principais ameaças à Segurança da Informação

Os pilares da segurança da informação podem ser abalados por uma série de ameaças, principalmente as digitais, por exemplo:

  • Falta de visibilidade e gerenciamento da superfície de ataque, vulnerável a incidentes cibernéticos;
  • Ataques a softwares e aplicações por meio de vírus, malwares, worms, ransomwares e cavalos de Troia;
  • E-mails e websites de phishing que roubam dados confidenciais e senhas;
  • Golpes de engenharia social, que usam a manipulação para persuadir pessoas e roubar informações privadas  
  • Ações de sabotagem que bloqueiam o acesso aos dados e recursos do sistema, como os ataques de negação de serviço (ataques DoS e DDoS);
  • Invasão e roubo de dispositivos móveis que armazenam informações críticas, como smartphones, tablets e wearables
  • Vazamento de dados por falhas internas ou ataques externos;
  • Extorsão e sequestro de informações, como no caso dos ransomwares, que bloqueiam o acesso aos dados e exigem um resgate para liberá-los.

Essas ameaças e ciberataques estão cada vez mais complexos e colocado a cibersegurança no centro das questões gerenciais. De acordo com a pesquisa Global Cyber Risk Perception Survey, publicada pela Microsoft, 79% das empresas globais incluem os riscos cibernéticos em seu top 5 das preocupações atuais. 

Uma das possíveis razões é o alto custo das vulnerabilidades, com prejuízos causados por vazamento de dados custando, em média, US$ 4,55 milhões para cada empresa, de acordo com um levantamento realizado pela IBM. Ao mesmo tempo, as empresas levam mais de 9 meses para identificar uma brecha e podem arcam com seus prejuízos por mais de 3 anos após o ataque. Obviamente, as organizações estão cada vez mais focadas em identificar, mitigar e prevenir essas ameaças, fortalecendo seus pilares de Segurança da Informação.

5 pilares da Segurança da Informação

Há três pilares da segurança da informação mais populares, que formam a “Tríade CIA”: confidencialidade, integridade e disponibilidade (do inglês Confidentiality, Integrity and Availability). Porém, com o tempo, foram acrescentados outros dois elementos para reforçar as políticas de proteção de dados: autenticidade e irretratabilidade. Confira esses cinco pilares essenciais:

1. Confidencialidade

A confidencialidade é o primeiro pilar da Segurança da Informação, pois garante que os dados estejam acessíveis a determinados usuários e protegidos contra pessoas não autorizadas. É um componente essencial da privacidade, que se aplica especialmente a dados pessoais, sensíveis, financeiros, psicográficos e outras informações sigilosas.

Para garantir esse pilar nas suas políticas de segurança de TI, você deve incluir medidas de proteção como controle de acesso, criptografia, senhas fortes, entre outras estratégias. Inclusive, a confidencialidade dos dados pessoais de usuários é um dos requisitos centrais de conformidade com a GPDR (General Data Protection Regulation) e LGPD (Lei Geral de Proteção de Dados Pessoais).

2. Integridade

A integridade na segurança da informação diz respeito à preservação, precisão, consistência e confiabilidade dos dados durante todo o seu ciclo de vida. 

Para erguer esse pilar em uma empresa, é preciso implementar mecanismos de controlepara evitar que as informações sejam alteradas ou deletadas por pessoas não autorizadas. Frequentemente, a integridade dos dados é afetada por erros humanos, políticas de segurança inadequadas, processos falhos e ciberataques. 

3. Disponibilidade

Para que um sistema de informação seja útil, é fundamental que seus dados estejam disponíveis sempre que necessário. Logo, a disponibilidade é mais um pilar da segurança da informação, que garante o acesso em tempo integral (24/7) pelos usuários finais.

Para cumprir esse requisito, você precisa garantir a estabilidade e acesso permanente às informações dos sistemas, por meio de processos de manutenção rápidos, eliminação de falhas de software, atualizações constantes e planos para administração de crises.

Vale lembrar que os sistemas são vulneráveis a desastres naturais, ataques de negação de serviço, blecautes, incêndios e diversas outras ameaças que prejudicam sua disponibilidade.

4. Autenticidade

A autenticidade é o pilar que valida a autorização do usuário para acessar, transmitir e receber determinadas informações. Seus mecanismos básicos são logins e senhas, mas também podem ser utilizados recursos como a autenticação biométrica, por exemplo. Esse pilar confirma a identidade dos usuários antes de liberar o acesso aos sistemas e recursos, garantindo que não se passem por terceiros. 

5. Irretratabilidade

Também chamado de “não repúdio”, do inglês non-repudiation, esse pilar é inspirado no princípio jurídico da irretratabilidade. Esse pilar garante que uma pessoa ou entidade não possa negar a autoria da informação fornecida, como no caso do uso de certificados digitais para transações online e assinatura de documentos eletrônicos. Na gestão da segurança da informação, isso significa ser capaz de provar o que foi feito, quem fez e quando fez em um sistema, impossibilitando a negação das ações dos usuários. 

Fortaleça seus pilares de Segurança da Informação

Agora que você conhece bem os pilares da Segurança da Informação, que tal garantir que suas práticas e políticas de gestão estejam alinhadas a essas referências? Felizmente, já existem soluções que centralizam ferramentas de segurança e eliminam sistemas ultrapassados como controles manuais em planilhas, aumentando a eficiência e reduzindo riscos. A plataforma GAT Core, por exemplo, oferece uma gestão integrada de Segurança da Informação, riscos cibernéticos e conformidade, que otimiza a gestão de Segurança da Informação.

Com o GAT Core, você consegue gerenciar ameaças, priorizar as correções de acordo com os riscos e centralizar procedimentos, conformidades, checklists e prazos, com total integração às ferramentas de segurança da empresa. Assim é muito mais fácil consolidar os pilares de Segurança da Informação na sua empresa e realizar uma gestão inteligente. Conheça a solução agendando uma demonstração gratuita e comprove as vantagens de realizar os processos de controle em uma plataforma centralizadora.

Como é melhor descrito o objetivo da política de segurança da informação?

Superfície de Exposição a Ataques Cibernéticos

O gerenciamento da superfície de ataque exposta a riscos cibernéticos é o primeiro passo para a construção de um programa de segurança cibernética. Somente com visibilidade e priorização de riscos e vulnerabilidades é possível traçar um plano para alcançar este objetivo.

Trata-se da identificação, classificação, priorização e monitoramento contínuos de ativos digitais que contêm ou enviam dados vitais entre redes. Ele foca na análise contínua dos ativos e ajuda as organizações a identificar e tratar as vulnerabilidades à medida em que surgem. Ao fazer isso, as organizações podem reduzir, ativamente, sua superfície de ataque e, ao mesmo tempo, melhorar sua postura geral de segurança cibernética. Com esse método, também demonstram maior transparência, ajudando a fortalecer o relacionamento com clientes e parceiros comerciais.

Com o GAT Security Score você consegue avaliar, gratuitamente e automaticamente, o nível de segurança em seu domínio, comece agora!

Conheça gratuitamente sua superfície de ataque

O GAT Security Score coleta dados disponíveis publicamente na Internet (de forma não intrusiva) para dar uma perspectiva externa da postura de Segurança da Informação nas organizações. Os dados são dividos em 4 diferentes fatores de risco que, juntos, formam a base para o cálculo do seu Security Score (Rating ou Pontuação de Segurança).

Nosso algoritmo atribui, automaticamente, uma nota em formato de um Rating de Segurança Cibernética com base na análise da superfície de exposição dos ativos da empresa à Internet pública e, como consequência, a ataques cibernéticos. O sistema entrega uma avaliação do nível de segurança em forma de rating, contendo apontamentos de riscos da empresa, de seus fornecedores e terceiros.

Os resultados podem ser utilizados para a análise do nível de exposição cibernética, análise de risco em terceiros, benchmark e levantamentos para utilização em processos de Due Diligence, Cyber Underwriting e Seguro Cyber, entre outros.

Como é melhor descrito o objetivo da política de segurança da informação?

Inventário Digital

Por meio do domínio do endereço de email informado no momento do cadastro (por exemplo, para o email [email protected], o domínio será dominio.com), nosso algoritmo inicia uma busca por diversos tipos de ativos vinculados a esse domínio na Internet. Geralmente, as ferramentas de Security Rating limitam suas buscas somente aos IPs relacionados ao domínio. O GAT Security Score busca:

  • IPs
  • Subdomínios
  • Aplicações Web
  • E-Mails

Fatores de Risco

Após a identificação do Inventário Digital da empresa, o sistema realiza uma busca por possíveis problemas de segurança relacionados a cada um desses ativos. Os apontamentos identificados são divididos em quatro fatores de risco:

  • Risco de Imagem da Marca: problemas que podem acarretar na perda de credibilidade da marca. Por exemplo, domínio encontrado em alguma Blacklist, falta ou má configuração de DNS, dentre outros.
  • Vazamento de Dados: verificação das contas de e-mail corporativas, para checar se fazem parte de algum vazamento de dados.
  • Problemas de Websites: questões relacionadas a certificados digitais, má configuração de servidores web, tecnologias web inseguras e vulnerabilidades conhecidas (o sistema não realiza nenhuma varredura intrusiva).
  • Problemas de Rede: questões relacionadas aos IPs encontrados, tais como portas abertas, serviços expostos e tecnologias inseguras sendo utilizadas.

Materiais Ricos

Quer saber mais? Faça o download do nosso E-Book sobre gerenciamento da superfície de ataque e risco de terceiros e evite ataques antes que eles aconteçam!

Como é melhor descrito o objetivo da política de segurança da informação?

Qual a melhor maneira de descrever o objetivo da política de segurança da informação?

A Política de Segurança da Informação tem como principal objetivo documentar e proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio de uma organização, padronizando e estabelecendo requisitos mínimos de segurança.

Qual é o principal objetivo da segurança da informação?

A Segurança da Informação busca garantir a Confidencialidade, a Integridade, a Disponibilidade e a Autenticidade. Confidencialidade – garantir que a informação seja acessada somente pelos responsáveis diretos, impedindo que seja divulgado para um usuário, entidade ou processo não autorizado.

Qual é o objetivo de uma política de segurança da informação em uma organização?

Políticas de Segurança da Informação O objetivo dessas políticas de segurança é abordar as ameaças à segurança, implementar estratégias e definir diretrizes para mitigar as vulnerabilidades de segurança de TI. Além disso, as políticas fornecem orientações aos funcionários sobre o que fazer e o que não fazer.

Quais os objetivos da política de segurança?

O principal propósito de uma política de segurança é informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançado.