Lar Finanças Pessoais Dados controles de segurança - dummies

Dados controles de segurança - dummies

Índice:

Vídeo: Segurança da Informação: Controles Físicos e Lógicos - Professor Thiago Sena 2025

Vídeo: Segurança da Informação: Controles Físicos e Lógicos - Professor Thiago Sena 2025
Anonim

Os ativos sensíveis, incluindo os dados, devem ser adequadamente protegidos ao longo de seus ciclos de vida. Como profissional de segurança, esse é o seu trabalho. O gerenciamento do ciclo de vida da informação (ILM) cobre os dados através dos cinco estágios seguintes:

  • Criação. Os dados são criados por um usuário final ou aplicativo. Os dados precisam ser classificados neste momento, com base na criticidade e sensibilidade dos dados, e um proprietário de dados (geralmente, mas não sempre, o criador) precisa ser atribuído. Os dados podem existir em muitas formas, como documentos, planilhas, e-mails e mensagens de texto, registros de banco de dados, formulários, imagens, apresentações (incluindo videoconferências) e documentos impressos.
  • Distribuição ("dados em movimento"). Os dados podem ser distribuídos (ou recuperados) internamente dentro de uma organização ou transmitidos para destinatários externos. A distribuição pode ser manual (como através de correio) ou eletrônica (geralmente em uma rede). Os dados em trânsito são vulneráveis ​​a compromissos, pelo que as salvaguardas apropriadas devem ser implementadas com base na classificação dos dados. Por exemplo, a criptografia pode ser necessária para enviar certos dados confidenciais em uma rede pública. Nesses casos, devem ser estabelecidos padrões de criptografia adequados. As tecnologias de prevenção de perda de dados (DLP) também podem ser usadas para evitar a distribuição acidental ou intencional não autorizada de dados confidenciais.
  • Usar ("dados em uso"). Esta etapa refere-se a dados acessados ​​por um usuário final ou aplicativo e está sendo ativamente usado (por exemplo, lido, analisado, modificado, atualizado ou duplicado) por esse usuário ou aplicativo. Os dados em uso devem ser acessados ​​apenas em sistemas que são autorizados para o nível de classificação dos dados e apenas por usuários e aplicativos que possuem permissões apropriadas (habilitação) e propósito (necessidade de saber).
  • Manutenção ("dados em repouso"). Qualquer momento entre a criação e disposição de dados que não está "em movimento" ou "em uso", os dados são mantidos "em repouso". A manutenção inclui o armazenamento (em mídia, como um disco rígido, unidade de memória USB removível, fita magnética de backup ou papel) e arquivamento (por exemplo, em um diretório e estrutura de arquivos) de dados. Os dados também podem ser copiados e a mídia de backup transportada para um local seguro fora do local (denominado "dados em trânsito"). Os níveis de classificação dos dados também devem ser revisados ​​rotineiramente (normalmente pelo proprietário dos dados) para determinar se um nível de classificação precisa ser atualizado (não é comum) ou pode ser rebaixado. As salvaguardas apropriadas devem ser implementadas e regularmente auditadas para garantir
    • Confidencialidade (e privacidade). Por exemplo, usando permissões de sistema, diretório e arquivo e criptografia.
    • Integridade. Por exemplo, usando linhas de base, hashes criptográficos, verificações de redundância cíclicas (CRCs) e bloqueio de arquivos (para prevenir ou controlar a modificação de dados por múltiplos usuários simultâneos).
    • Disponibilidade. Por exemplo, usando banco de dados e agrupamento de arquivos (para eliminar pontos únicos de falha), backups e replicação em tempo real (para evitar perda de dados).
  • Disposição. Finalmente, quando os dados já não têm nenhum valor ou já não são úteis para a organização, ele precisa ser devidamente destruído de acordo com as políticas de retenção e destruição corporativa, bem como quaisquer leis e regulamentos aplicáveis. Certos dados sensíveis podem exigir uma determinação final da disposição pelo proprietário dos dados, e podem exigir procedimentos específicos de destruição (como testemunhas, registro e limpeza magnética seguida de destruição física).

Os dados que foram simplesmente excluídos NÃO foram devidamente destruídos. É meramente "dados em repouso" que esperam ser escritos demais - ou descobertos inconvenientemente por um terceiro não autorizado e potencialmente mal-intencionado!

A remanência de dados refere-se a dados que ainda existem em mídia de armazenamento ou na memória depois que os dados foram "excluídos".

Linhas de base

O estabelecimento de uma linha de base é um método de negócios padrão usado para comparar uma organização com um ponto de partida ou padrão mínimo, ou para comparar o progresso dentro de uma organização ao longo do tempo. Com controles de segurança, esses métodos fornecem informações valiosas:

  • Comparando com outras organizações . As organizações podem comparar seus conjuntos de controle com outras organizações, para ver quais diferenças existem nos controles.
  • Comparando controles internos ao longo do tempo . Uma organização pode basar seu conjunto de controles, para ver quais mudanças ocorrem em seu controle definido ao longo de um período de anos.
  • Comparando a eficácia do controle ao longo do tempo . Uma organização pode comparar seu registro de eficácia de controle, para ver onde o progresso está sendo feito, e onde é necessário mais esforço para avançar.

Escopo e adaptação

Como diferentes partes de uma organização e seus sistemas de TI subjacentes armazenam e processam diferentes conjuntos de dados, não faz sentido que uma organização estabeleça um único conjunto de controles e impõe-os a todos os sistemas. Como um programa simplificado de classificação de dados e sua superproteção e subproteção de dados, as organizações geralmente se dividem em zonas lógicas e, em seguida, especificam quais controles e conjuntos de controles são aplicados nessas zonas.

Outra abordagem é adaptar controles e conjuntos de controles a diferentes sistemas de TI e partes da organização. Por exemplo, os controles sobre a força da senha podem ter categorias que são aplicadas em sistemas com níveis de segurança variáveis.

Ambas as abordagens para a aplicação de um ambiente de controle complexo em um ambiente de TI complexo são válidas - são realmente apenas formas diferentes de alcançar o mesmo objetivo: aplicar o nível certo de controle a vários sistemas e ambientes, com base nas informações que armazenam e processar ou em outros critérios.

Seleção de padrões

Várias estruturas de controle excelentes estão disponíveis para o uso de profissionais de segurança. Em nenhuma circunstância é necessário começar do zero. Em vez disso, a melhor abordagem é começar com uma das várias estruturas de controle líderes do setor e, em seguida, adicionar ou remover controles individuais para atender às necessidades da organização.

Os padrões de estrutura de controle incluem

  • ISO27002 , Código de prática para gerenciamento de segurança da informação.
  • COBIT , Objetivos de Controle de Informação e Tecnologia Relacionada.
  • NIST 800-53 , controles de segurança recomendados para sistemas e organizações de informações federais.

Cryptography

O Crypto desempenha um papel crítico na proteção de dados, quer se trate de dados em movimento através de uma rede, ou em repouso em um servidor ou estação de trabalho. A criptografia consiste em ocultar dados à vista, pois existem situações em que as pessoas podem acessar dados confidenciais; o crypto nega as pessoas que acessam a menos que estejam na posse de uma chave de criptografia e o método para descriptografá-la.

Dados controles de segurança - dummies

Escolha dos editores

Como criar um módulo HTML personalizado no Joomla - dummies

Como criar um módulo HTML personalizado no Joomla - dummies

Uma das grandes coisas sobre o Joomla é o quão incrivelmente flexível é. A instalação padrão do CMS inclui 23 módulos diferentes para ajudá-lo a fazer seu site funcionar sem problemas. Às vezes, no entanto, você pode querer adicionar uma função ao seu site que esses 23 módulos simplesmente não vão cobrir. Sob tais circunstâncias, você pode querer considerar ...

Como criar um item de menu no Joomla Content Management - manequins

Como criar um item de menu no Joomla Content Management - manequins

Um item de menu determina o layout dos artigos, que é um dos aspectos do Joomla para o qual você precisa se acostumar. As páginas da Web não existem fisicamente no Joomla - elas são apenas itens no seu banco de dados - até que a página seja acessada. Quando você abre um artigo, o Joomla tira os dados necessários do ...

Como criar um novo item de menu com o Joomla! 1. 6 - dummies

Como criar um novo item de menu com o Joomla! 1. 6 - dummies

Não estresse se você precisa criar um item de menu em sua página da Web interativa - é fácil ao usar o Joomla! Gerenciador de menu. Para adicionar itens de menu a um site existente, basta usar estas etapas: Escolha Menus → Gerenciador de menus para abrir o Gerenciador de menus. Clique no nome do menu que deseja adicionar um novo ...

Escolha dos editores

Obtendo Ajuda do Eclipse - dummies

Obtendo Ajuda do Eclipse - dummies

Com a complexidade do Java e a nuance do Eclipse, você não pode esperar para lembrar de tudo. Às vezes, você precisa de um pouco mais de ajuda do Eclipse para começar sua programação. Felizmente, o Eclipse oferece ajuda geral e sensível ao contexto: para ajuda sensível ao contexto: no Windows, pressione F1. No Linux, pressione Ctrl + F1. Em um Mac, pressione ...

Software gratuito: preenchimento automático de células no OpenOffice. org Calc - dummies

Software gratuito: preenchimento automático de células no OpenOffice. org Calc - dummies

OpenOffice. org - uma alternativa gratuita para o Microsoft Office - inclui Calc, uma planilha eletrônica semelhante ao Excel. O Calc fornece uma maneira fácil de criar automaticamente uma coluna ou linha de números em qualquer sequência que você especificar. Esse recurso de preenchimento automático é útil para criar listas numeradas ou preencher os cabeçalhos de colunas e linhas de tabelas, como ...

Acessos acessíveis no modo de exibição do Prezi - dummies

Acessos acessíveis no modo de exibição do Prezi - dummies

O prezi possui dois modos de operação diferentes: Modo de edição, no qual você crie sua apresentação e Show Mode, no qual você apresenta suas criações. No modo Show, use esses atalhos úteis para tornar sua apresentação ainda mais suave. Use esta como uma lista de verificação de prática antes de começar: Use esta função: Para fazer isso: Completo ...

Escolha dos editores

Elementos HTML básicos - dummies

Elementos HTML básicos - dummies

HyperText Markup Language (HTML) é o idioma da web, onde os elementos ditaram a formatação e o estilo do seu conteúdo. Os elementos HTML compõem a codificação baixada que você vê quando você acessa uma página da Web em seu navegador da Web (como Internet Explorer, Firefox ou Safari). Aqui estão alguns elementos básicos para você ...

Usando AutoCAD DesignCenter - dummies

Usando AutoCAD DesignCenter - dummies

DesignCenter é um nome tolo para uma paleta útil, se um pouco ocupada. A paleta DesignCenter é útil para dados de mineração de todos os tipos de desenhos. Enquanto a paleta Propriedades está preocupada com as propriedades do objeto, a paleta DesignCenter lida principalmente com objetos nomeados: camadas, tipos de linha, definições de bloco (isto é, símbolo), estilos de texto e outros objetos organizacionais ...

Zoom e Panning no AutoCAD - dummies

Zoom e Panning no AutoCAD - dummies

O AutoCAD facilita a panorâmica, oferecendo barras de rolagem e panning em tempo real. Na panorâmica em tempo real (em oposição à panorâmica de finalização), você pode ver objetos movendo-se na tela enquanto você arrasta o mouse para cima e para baixo ou para frente e para trás. Claro, o ponto de vista está em movimento, não os objetos. Tanto a panorâmica quanto o zoom mudam a visualização ...