“A chave para uma boa segurança, sem atritos, é compreender as necessidades e as operações da empresa para criar controlos de forma eficiente em torno das mesmas. A segurança deve ser integrada e não apenas adicionada superficialmente.”
Engenheiro de Segurança Sénior - Dan Perry
O que é a segurança da informação (infosec)?
Muitas vezes parte da gestão de risco da informação, a Segurança da Informação (frequentemente abreviada para 'Infosec') é o processo de redução e eliminação do risco de acesso, utilização, divulgação, interrupção, eliminação, corrupção, modificação, inspeção ou gravação não autorizados.
Para proteger a informação e, no clima atual, muitos dados pessoais, as empresas devem seguir estes princípios para gerir da melhor forma o armazenamento dos seus dados:
A 'Tríade CID'
Confidencialidade
O princípio da confidencialidade visa garantir que a informação privada permanece privada e que apenas pode ser visualizada ou acedida por indivíduos que necessitam dessa informação para o desempenho das suas funções.
Integridade
O princípio da integridade foi concebido para garantir que os dados são fiáveis e precisos, e que não foram modificados de forma inadequada.
Disponibilidade
Proteger a funcionalidade dos sistemas de suporte e garantir que os dados estão totalmente disponíveis no momento (ou período exigido) em que são necessários pelos seus utilizadores. O objetivo da disponibilidade é garantir que os dados estão disponíveis para serem utilizados quando são necessários para a tomada de decisões.
Consulte as Qualificações de Segurança da Informação da Purple no final deste blogue!
“São precisos 20 anos para construir uma reputação e apenas alguns minutos de um incidente cibernético para a arruinar.”
Formas de violação de segurança
Man-in-the-middle (MitM)
Um ataque MitM ocorre quando um hacker retransmite secretamente e possivelmente altera as comunicações entre duas partes que acreditam estar a comunicar diretamente uma com a outra.
Um exemplo de um ataque MitM é a 'escuta' ativa (eavesdropping), na qual o atacante estabelece ligações independentes com as vítimas e retransmite mensagens entre elas para as fazer crer que estão a falar diretamente uma com a outra através de uma ligação privada.
Phishing
O Phishing ocorre quando os atacantes tentam enganar os utilizadores para que façam 'a coisa errada', como clicar num link malicioso que irá descarregar malware, ou direcioná-los para um website duvidoso.
O phishing pode ser realizado através de uma mensagem de texto, redes sociais ou por telefone, mas o termo 'phishing' é utilizado principalmente para descrever ataques que chegam por e-mail.
Negação de Serviço (DoS)
Um ataque de Negação de Serviço (DoS) é um ataque destinado a encerrar uma máquina ou rede, tornando-a inacessível aos seus utilizadores previstos. Os ataques DoS conseguem isto inundando o alvo com tráfego ou enviando-lhe informações que desencadeiam uma falha. Em ambos os casos, o ataque DoS priva os utilizadores legítimos (ou seja, funcionários, membros ou titulares de contas) do serviço ou recurso que esperavam.
As vítimas de ataques DoS são frequentemente servidores web de organizações de alto perfil, como empresas bancárias, de comércio e de media, ou organizações governamentais e comerciais. Embora os ataques DoS não resultem tipicamente no roubo ou perda de informações significativas ou outros ativos, podem custar à vítima muito tempo e dinheiro para serem resolvidos.
“A segurança não é algo que se compra, é algo que se faz, e são precisas pessoas talentosas para o fazer bem.”
Consequências de uma violação de segurança
Perda de Receitas
Esta consequência pode ser fortemente influenciada pelo tipo de ataque cibernético que um hacker escolheu utilizar; no entanto, as fugas de dados resultarão em custos de segurança adicionais, perda de valor de quota de mercado, bem como custos para compensar os clientes afetados.
Reputação
Embora um impacto a curto prazo nas receitas de uma empresa possa não parecer muito prejudicial, o verdadeiro custo surge ao longo do tempo. Assim que a notícia de uma violação de segurança se espalha, os parceiros e os clientes potenciais/existentes podem não pensar duas vezes antes de “abandonar o barco”, retirando uma fatia ainda maior dos rendimentos de uma empresa.
Ação Legal
Multas, multas e mais multas.
Existem inúmeros regulamentos em todo o mundo que as empresas devem seguir, por exemplo:
- Europa - GDPR (O GDPR é um Regulamento da UE e já não se aplica ao Reino Unido )
- Reino Unido - Lei de Proteção de Dados
- China - Lei de Proteção de Informações Pessoais
Ao abrigo do GDPR do Reino Unido e da DPA, a coima máxima aplicável é de 17,5 milhões de libras ou 4% do volume de negócios global anual - o que for maior. No entanto, as empresas que operam ao abrigo do GDPR da UE e da DPA podem ser alvo de uma coima máxima de 20 milhões de euros (18 milhões de libras).
Interrupção das Operações
Com qualquer tentativa ou violação bem-sucedida, todas as empresas enfrentarão um impacto nas operações devido a investigações extensivas para reportar os danos, a causa e encontrar a origem.
Em alguns casos, as empresas param completamente para controlo de danos e elaboração de um plano de recuperação, e durante este tempo todos os pontos acima pioram.
A Maior Violação de Dados do Século XXI
Em 20 13, a Adobe foi pirateada e mais de 153 milhões de registos de utilizadores foram obtidos, incluindo IDs encriptados, palavras-passe e informações de cartões de débito e crédito.
A Adobe teve de pagar 1,1 milhões de dólares em honorários advocatícios e, em novembro de 2016, o montante pago aos clientes foi reportado em 1 milhão de dólares.
https://www.youtube.com/watch?v=zYfx4cdFCVA
“Se não pode pagar pela segurança, não pode pagar por uma violação.”
Certificação infosec da Purple
ISO/IEC 27001
A Purple está em conformidade com a norma ISO/IEC 27001 para a conceção e desenvolvimento de software WiFi baseado na cloud para o tratamento e armazenamento de dados pessoais. A nossa certificação ISO é algo que mantemos há vários anos e tem garantido que temos os processos, as pessoas e a tecnologia corretos em vigor para assegurar a entrega segura do nosso produto, em conformidade com as nossas obrigações para com os nossos clientes e os respetivos titulares de dados. A ISO 27001 designou uma estrutura de controlos que abrange toda a empresa, desde a forma como gerimos os nossos recursos humanos até à criptografia.
Ao adotar esta linha de base e expandi-la para alimentar os nossos objetivos de negócio (requisitos internos) e as expectativas dos nossos clientes (requisitos externos), construímos uma forma de operar segura e repetível que é adequada à sua finalidade.
CyberEssentials+
O esquema Cyber Essentials é um esquema relativamente novo apoiado pelo governo do Reino Unido e pelo NCSC, que visa capacitar as PME (pequenas e médias empresas) como forma de garantir uma linha de base de segurança aos seus clientes e permitir-lhes candidatar-se a processos de contratação pública.
A certificação Cyber Essentials é uma ferramenta de autoavaliação; no entanto, devido à confiança nos nossos controlos, especialmente por já termos implementado a estrutura mais robusta da ISO 27001, fomos um passo mais além e alcançámos a Certificação Cyber Essentials Plus ao ter os nossos controlos validados por um parceiro de segurança CE+ independente e acreditado.
Deseja saber mais? Descubra Como manter a sua empresa segura online - Leia aqui
