Lar Finanças Pessoais Dados controles de segurança - dummies

Dados controles de segurança - dummies

Índice:

Vídeo: Segurança da Informação: Controles Físicos e Lógicos - Professor Thiago Sena 2025

Vídeo: Segurança da Informação: Controles Físicos e Lógicos - Professor Thiago Sena 2025
Anonim

Os ativos sensíveis, incluindo os dados, devem ser adequadamente protegidos ao longo de seus ciclos de vida. Como profissional de segurança, esse é o seu trabalho. O gerenciamento do ciclo de vida da informação (ILM) cobre os dados através dos cinco estágios seguintes:

  • Criação. Os dados são criados por um usuário final ou aplicativo. Os dados precisam ser classificados neste momento, com base na criticidade e sensibilidade dos dados, e um proprietário de dados (geralmente, mas não sempre, o criador) precisa ser atribuído. Os dados podem existir em muitas formas, como documentos, planilhas, e-mails e mensagens de texto, registros de banco de dados, formulários, imagens, apresentações (incluindo videoconferências) e documentos impressos.
  • Distribuição ("dados em movimento"). Os dados podem ser distribuídos (ou recuperados) internamente dentro de uma organização ou transmitidos para destinatários externos. A distribuição pode ser manual (como através de correio) ou eletrônica (geralmente em uma rede). Os dados em trânsito são vulneráveis ​​a compromissos, pelo que as salvaguardas apropriadas devem ser implementadas com base na classificação dos dados. Por exemplo, a criptografia pode ser necessária para enviar certos dados confidenciais em uma rede pública. Nesses casos, devem ser estabelecidos padrões de criptografia adequados. As tecnologias de prevenção de perda de dados (DLP) também podem ser usadas para evitar a distribuição acidental ou intencional não autorizada de dados confidenciais.
  • Usar ("dados em uso"). Esta etapa refere-se a dados acessados ​​por um usuário final ou aplicativo e está sendo ativamente usado (por exemplo, lido, analisado, modificado, atualizado ou duplicado) por esse usuário ou aplicativo. Os dados em uso devem ser acessados ​​apenas em sistemas que são autorizados para o nível de classificação dos dados e apenas por usuários e aplicativos que possuem permissões apropriadas (habilitação) e propósito (necessidade de saber).
  • Manutenção ("dados em repouso"). Qualquer momento entre a criação e disposição de dados que não está "em movimento" ou "em uso", os dados são mantidos "em repouso". A manutenção inclui o armazenamento (em mídia, como um disco rígido, unidade de memória USB removível, fita magnética de backup ou papel) e arquivamento (por exemplo, em um diretório e estrutura de arquivos) de dados. Os dados também podem ser copiados e a mídia de backup transportada para um local seguro fora do local (denominado "dados em trânsito"). Os níveis de classificação dos dados também devem ser revisados ​​rotineiramente (normalmente pelo proprietário dos dados) para determinar se um nível de classificação precisa ser atualizado (não é comum) ou pode ser rebaixado. As salvaguardas apropriadas devem ser implementadas e regularmente auditadas para garantir
    • Confidencialidade (e privacidade). Por exemplo, usando permissões de sistema, diretório e arquivo e criptografia.
    • Integridade. Por exemplo, usando linhas de base, hashes criptográficos, verificações de redundância cíclicas (CRCs) e bloqueio de arquivos (para prevenir ou controlar a modificação de dados por múltiplos usuários simultâneos).
    • Disponibilidade. Por exemplo, usando banco de dados e agrupamento de arquivos (para eliminar pontos únicos de falha), backups e replicação em tempo real (para evitar perda de dados).
  • Disposição. Finalmente, quando os dados já não têm nenhum valor ou já não são úteis para a organização, ele precisa ser devidamente destruído de acordo com as políticas de retenção e destruição corporativa, bem como quaisquer leis e regulamentos aplicáveis. Certos dados sensíveis podem exigir uma determinação final da disposição pelo proprietário dos dados, e podem exigir procedimentos específicos de destruição (como testemunhas, registro e limpeza magnética seguida de destruição física).

Os dados que foram simplesmente excluídos NÃO foram devidamente destruídos. É meramente "dados em repouso" que esperam ser escritos demais - ou descobertos inconvenientemente por um terceiro não autorizado e potencialmente mal-intencionado!

A remanência de dados refere-se a dados que ainda existem em mídia de armazenamento ou na memória depois que os dados foram "excluídos".

Linhas de base

O estabelecimento de uma linha de base é um método de negócios padrão usado para comparar uma organização com um ponto de partida ou padrão mínimo, ou para comparar o progresso dentro de uma organização ao longo do tempo. Com controles de segurança, esses métodos fornecem informações valiosas:

  • Comparando com outras organizações . As organizações podem comparar seus conjuntos de controle com outras organizações, para ver quais diferenças existem nos controles.
  • Comparando controles internos ao longo do tempo . Uma organização pode basar seu conjunto de controles, para ver quais mudanças ocorrem em seu controle definido ao longo de um período de anos.
  • Comparando a eficácia do controle ao longo do tempo . Uma organização pode comparar seu registro de eficácia de controle, para ver onde o progresso está sendo feito, e onde é necessário mais esforço para avançar.

Escopo e adaptação

Como diferentes partes de uma organização e seus sistemas de TI subjacentes armazenam e processam diferentes conjuntos de dados, não faz sentido que uma organização estabeleça um único conjunto de controles e impõe-os a todos os sistemas. Como um programa simplificado de classificação de dados e sua superproteção e subproteção de dados, as organizações geralmente se dividem em zonas lógicas e, em seguida, especificam quais controles e conjuntos de controles são aplicados nessas zonas.

Outra abordagem é adaptar controles e conjuntos de controles a diferentes sistemas de TI e partes da organização. Por exemplo, os controles sobre a força da senha podem ter categorias que são aplicadas em sistemas com níveis de segurança variáveis.

Ambas as abordagens para a aplicação de um ambiente de controle complexo em um ambiente de TI complexo são válidas - são realmente apenas formas diferentes de alcançar o mesmo objetivo: aplicar o nível certo de controle a vários sistemas e ambientes, com base nas informações que armazenam e processar ou em outros critérios.

Seleção de padrões

Várias estruturas de controle excelentes estão disponíveis para o uso de profissionais de segurança. Em nenhuma circunstância é necessário começar do zero. Em vez disso, a melhor abordagem é começar com uma das várias estruturas de controle líderes do setor e, em seguida, adicionar ou remover controles individuais para atender às necessidades da organização.

Os padrões de estrutura de controle incluem

  • ISO27002 , Código de prática para gerenciamento de segurança da informação.
  • COBIT , Objetivos de Controle de Informação e Tecnologia Relacionada.
  • NIST 800-53 , controles de segurança recomendados para sistemas e organizações de informações federais.

Cryptography

O Crypto desempenha um papel crítico na proteção de dados, quer se trate de dados em movimento através de uma rede, ou em repouso em um servidor ou estação de trabalho. A criptografia consiste em ocultar dados à vista, pois existem situações em que as pessoas podem acessar dados confidenciais; o crypto nega as pessoas que acessam a menos que estejam na posse de uma chave de criptografia e o método para descriptografá-la.

Dados controles de segurança - dummies

Escolha dos editores

A Igreja Católica nos séculos XIV e XV - manequins

A Igreja Católica nos séculos XIV e XV - manequins

Enquanto o Papa Inocêncio III (1198-1216) ) sintetizou o zênite do poder e influência papal, o Papa Bonifácio VIII (1294-1303) personificou um dos pontificados mais complicados, misteriosos e às vezes contraditórios da Igreja. O rei Filipe IV da França e Bonifácio tornaram-se inimigos amargos no começo. Seu relacionamento piorou ao longo do tempo, e em 1303, Philip enviou mercenários ...

Catolicismo All-In-One For Dummies Cheat Sheet - dummies

Catolicismo All-In-One For Dummies Cheat Sheet - dummies

Enquanto diz as orações do Rosário, os católicos meditam sobre os chamados Mistérios Alegres, luminosos, dolorosos e gloriosos do Rosário. Mas dizer que os mistérios não são realmente mistérios, porque cada chamado mistério se refere a uma passagem diferente na vida de Cristo ou Maria, sua mãe. Cada década (um Nosso ...

10 Católicos famosos - manequins

10 Católicos famosos - manequins

Aqui está uma lista de dez dos católicos mais famosos, começando com os mais famosos. Mas tome cuidado: apenas ser batizado católico não significa que uma pessoa seja uma boa católica. A Igreja Católica acredita que um bom católico é aquele que regularmente e fielmente pratica sua fé todos os dias de sua vida. Uma pessoa ...

Escolha dos editores

Como girar objetos de desenho no PowerPoint 2007 - dummies

Como girar objetos de desenho no PowerPoint 2007 - dummies

O PowerPoint rotate handle permite que você dê os desenhos seus slides são inclinados. Com a alça de rotação do PowerPoint, você pode girar um objeto para qualquer ângulo arbitrário apenas arrastando-o com o mouse. O identificador de rotação é o identificador verde que aparece quando você seleciona um objeto que pode ser girado. A rotação ...

Como executar um programa através de uma hiperligação no PowerPoint 2013 - dummies

Como executar um programa através de uma hiperligação no PowerPoint 2013 - dummies

Uma hiperligação do PowerPoint pode também executar qualquer programa dentro de uma apresentação. Por exemplo, você pode criar uma apresentação que explica como comercializar um novo programa de computador e, em seguida, criar um hiperlink para o mesmo programa para que você possa demonstrar como esse programa realmente funciona. Quando você sair desse programa, você retorna para o seu ...

Como reorganizar slides na exibição do classificador de slides do PowerPoint 2016 - dummies

Como reorganizar slides na exibição do classificador de slides do PowerPoint 2016 - dummies

Exibição normal no PowerPoint 2016 is a visão em que você normalmente trabalha para editar seus slides, mover as coisas, adicionar texto ou gráficos, e assim por diante. No entanto, a Visão Normal tem uma limitação séria: não dá uma imagem muito importante da sua apresentação. Você pode ver os detalhes de apenas um slide em um ...

Escolha dos editores

Gerentes de comunidade on-line são multitarefas - manequins

Gerentes de comunidade on-line são multitarefas - manequins

Não só você tem que usar muitos chapéus como uma comunidade on-line gerente, mas às vezes você também sente que está vestindo todos eles ao mesmo tempo. Em qualquer dia, você pode esperar ter pelo menos meia dúzia de janelas do computador abertas ao mesmo tempo. Você pode ter ...

Community Manager: como representar a marca - dummies

Community Manager: como representar a marca - dummies

Como a representação mais pública do seu A marca, você, o gerente da comunidade online, é a pessoa a quem todos estarão buscando comentários, perguntas, sugestões e até propostas de negócios. Ao atuar como porta-voz da marca, você tem muitos itens a considerar: políticas sobre divulgação, transparência e o que divulgar ao público: Às vezes ...

Gerentes de comunidade on-line devem encontrar humor em situações difíceis - manequins

Gerentes de comunidade on-line devem encontrar humor em situações difíceis - manequins

Não todas as crises que enfrenta como on-line O gerente da comunidade tem que ser silencioso ou super sério. Você encontrará que as pessoas apreciam marcas que mostram um lado humano. Se você pode tratar a negatividade com humor e não insultar a inteligência de sua comunidade, você não só controlará os danos, mas também poderá atrair uma série de novos ...