“A chave para uma boa segurança, sem atritos, é entender as necessidades e as operações do negócio para construir controles de forma eficiente ao redor delas. A segurança deve ser incorporada, não apenas adicionada superficialmente.”
Engenheiro de Segurança Sênior - Dan Perry
O que é infosec?
Muitas vezes parte da gestão de riscos da informação, a Segurança da Informação (frequentemente abreviada como 'Infosec') é o processo de reduzir e remover o risco de acesso não autorizado, uso, divulgação, interrupção, exclusão, corrupção, modificação, inspeção ou gravação.
Para proteger as informações, e no cenário atual muitos dados pessoais, as empresas devem seguir estes princípios para lidar da melhor forma com o armazenamento de dados:
A 'Tríade CID'
Confidencialidade
O princípio da confidencialidade visa garantir que as informações privadas permaneçam privadas e que só possam ser visualizadas ou acessadas por indivíduos que precisem dessas informações para concluir suas tarefas de trabalho.
Integridade
O princípio da integridade foi projetado para garantir que os dados sejam confiáveis e precisos, e que não tenham sido modificados de forma inadequada.
Disponibilidade
Proteger a funcionalidade dos sistemas de suporte e garantir que os dados estejam totalmente disponíveis no momento (ou período exigido) em que forem necessários aos seus usuários. O objetivo da disponibilidade é garantir que os dados estejam acessíveis para uso quando necessários para a tomada de decisões.
Veja as Qualificações de Segurança da Informação da Purple no final deste blog!
“Leva-se 20 anos para construir uma reputação e apenas alguns minutos de um incidente cibernético para arruiná-la.”
Formas de violações de segurança
Man-in-the-middle (MitM)
Um ataque MitM ocorre quando um hacker retransmite secretamente e possivelmente altera as comunicações entre duas partes que acreditam estar se comunicando diretamente uma com a outra.
Um exemplo de ataque MITM é a 'interceptação' ativa (eavesdropping), na qual o invasor faz conexões independentes com as vítimas e retransmite mensagens entre elas para fazê-las acreditar que estão conversando diretamente uma com a outra por meio de uma conexão privada.
Phishing
Phishing é quando os invasores tentam enganar os usuários para que façam 'a coisa errada', como clicar em um link malicioso que fará o download de malware ou direcioná-los a um site suspeito.
O phishing pode ser realizado por mensagem de texto, redes sociais ou telefone, mas o termo 'phishing' é usado principalmente para descrever ataques que chegam por e-mail.
Negação de serviço (DoS)
Um ataque de Negação de Serviço (DoS) é um ataque destinado a derrubar uma máquina ou rede, tornando-a inacessível aos usuários pretendidos. Os ataques DoS conseguem isso inundando o alvo com tráfego ou enviando informações que provocam uma falha. Em ambos os casos, o ataque DoS priva os usuários legítimos (ou seja, funcionários, membros ou titulares de contas) do serviço ou recurso que esperavam.
As vítimas de ataques DoS geralmente são servidores web de organizações de alto perfil, como empresas bancárias, de comércio e mídia, ou organizações governamentais e comerciais. Embora os ataques DoS normalmente não resultem no roubo ou perda de informações significativas ou outros ativos, eles podem custar à vítima muito tempo e dinheiro para serem resolvidos.
“Segurança não é algo que você compra, é algo que você faz, e são necessárias pessoas talentosas para fazê-lo da maneira certa.”
Consequências de uma violação de segurança
Perda de Receita
Essa consequência pode ser fortemente influenciada pelo tipo de ataque cibernético que um hacker escolheu usar, no entanto, vazamentos de dados resultarão em custos adicionais de segurança, perda de valor de mercado, bem como custos para compensar os clientes afetados.
Reputação
Embora um impacto de curto prazo na receita de uma empresa possa não parecer tão prejudicial, o custo real vem com o tempo. Assim que a notícia de uma violação de segurança se espalha, parceiros e clientes atuais ou em potencial podem não pensar duas vezes antes de “abandonar o barco”, tirando uma fatia ainda maior da receita de uma empresa.
Ação Legal
Multas, multas e mais multas.
Existem inúmeras regulamentações em todo o mundo que as empresas devem seguir, por exemplo:
- Europa - GDPR (A GDPR é um Regulamento da UE e não se aplica mais ao Reino Unido )
- Reino Unido - Lei de Proteção de Dados (Data Protection Act)
- China - Lei de Proteção de Informações Pessoais
Sob a GDPR e a DPA do Reino Unido, a multa máxima aplicável é de £ 17,5 milhões ou 4% do faturamento global anual - o que for maior. No entanto, empresas que operam sob a GDPR e a DPA da UE podem ser cobradas com uma multa máxima de € 20 milhões (£ 18 milhões).
Interrupção das Operações
Com qualquer tentativa ou violação bem-sucedida, todas as empresas enfrentarão um impacto nas operações devido a extensas investigações para relatar os danos, a causa e encontrar a origem.
Em alguns casos, as empresas param completamente para controle de danos e elaboração de um plano de recuperação, e durante esse período todos os pontos acima pioram.
Maior Violação de Dados do Século XXI
Em 20 13, a Adobe foi hackeada e mais de 153 milhões de registros de usuários foram obtidos, incluindo IDs criptografados, senhas e informações de cartões de débito e crédito.
A Adobe teve que pagar US$ 1,1 milhão em honorários advocatícios e, em novembro de 2016, o valor pago aos clientes foi relatado em US$ 1 milhão.
https://www.youtube.com/watch?v=zYfx4cdFCVA
“Se você não pode pagar por segurança, não pode pagar por uma violação.”
Certificação infosec da Purple
ISO/IEC 27001
A Purple está em conformidade com a ISO/IEC 27001 para o design e desenvolvimento de software WiFi baseado em nuvem para o manuseio e armazenamento de dados pessoais. Nossa certificação ISO é algo que mantemos há vários anos e garantiu que tivéssemos os processos, as pessoas e a tecnologia corretos em vigor para garantir a entrega segura de nosso produto, em linha com nossas obrigações para com nossos clientes e seus titulares de dados. A ISO 27001 designou uma estrutura de controles que abrange todo o negócio, desde como gerenciamos nossos recursos humanos até a criptografia.
Ao adotar essa linha de base e expandi-la para alimentar nossos objetivos de negócios (requisitos internos) e as expectativas de nossos clientes (requisitos externos), construímos uma maneira segura e repetível de operar que é adequada à finalidade.
CyberEssentials+
O esquema Cyber Essentials é um programa relativamente novo apoiado pelo governo do Reino Unido e pelo NCSC, que visa capacitar as PMEs (pequenas e médias empresas) como uma forma de garantir uma linha de base de segurança para seus clientes e permitir que elas se candidatem a processos de compras governamentais.
A certificação Cyber Essentials é uma ferramenta de autoavaliação, no entanto, devido à confiança em nossos controles, especialmente por já termos implementado a estrutura mais robusta da ISO 27001, demos um passo adiante e alcançamos a Certificação Cyber Essentials Plus ao ter nossos controles validados por um parceiro de segurança CE+ credenciado e independente.
Ansioso para saber mais? Descubra Como manter sua empresa segura online - Leia aqui
