Lar Finanças Pessoais Dados controles de segurança - dummies

Dados controles de segurança - dummies

Índice:

Vídeo: Segurança da Informação: Controles Físicos e Lógicos - Professor Thiago Sena 2024

Vídeo: Segurança da Informação: Controles Físicos e Lógicos - Professor Thiago Sena 2024
Anonim

Os ativos sensíveis, incluindo os dados, devem ser adequadamente protegidos ao longo de seus ciclos de vida. Como profissional de segurança, esse é o seu trabalho. O gerenciamento do ciclo de vida da informação (ILM) cobre os dados através dos cinco estágios seguintes:

  • Criação. Os dados são criados por um usuário final ou aplicativo. Os dados precisam ser classificados neste momento, com base na criticidade e sensibilidade dos dados, e um proprietário de dados (geralmente, mas não sempre, o criador) precisa ser atribuído. Os dados podem existir em muitas formas, como documentos, planilhas, e-mails e mensagens de texto, registros de banco de dados, formulários, imagens, apresentações (incluindo videoconferências) e documentos impressos.
  • Distribuição ("dados em movimento"). Os dados podem ser distribuídos (ou recuperados) internamente dentro de uma organização ou transmitidos para destinatários externos. A distribuição pode ser manual (como através de correio) ou eletrônica (geralmente em uma rede). Os dados em trânsito são vulneráveis ​​a compromissos, pelo que as salvaguardas apropriadas devem ser implementadas com base na classificação dos dados. Por exemplo, a criptografia pode ser necessária para enviar certos dados confidenciais em uma rede pública. Nesses casos, devem ser estabelecidos padrões de criptografia adequados. As tecnologias de prevenção de perda de dados (DLP) também podem ser usadas para evitar a distribuição acidental ou intencional não autorizada de dados confidenciais.
  • Usar ("dados em uso"). Esta etapa refere-se a dados acessados ​​por um usuário final ou aplicativo e está sendo ativamente usado (por exemplo, lido, analisado, modificado, atualizado ou duplicado) por esse usuário ou aplicativo. Os dados em uso devem ser acessados ​​apenas em sistemas que são autorizados para o nível de classificação dos dados e apenas por usuários e aplicativos que possuem permissões apropriadas (habilitação) e propósito (necessidade de saber).
  • Manutenção ("dados em repouso"). Qualquer momento entre a criação e disposição de dados que não está "em movimento" ou "em uso", os dados são mantidos "em repouso". A manutenção inclui o armazenamento (em mídia, como um disco rígido, unidade de memória USB removível, fita magnética de backup ou papel) e arquivamento (por exemplo, em um diretório e estrutura de arquivos) de dados. Os dados também podem ser copiados e a mídia de backup transportada para um local seguro fora do local (denominado "dados em trânsito"). Os níveis de classificação dos dados também devem ser revisados ​​rotineiramente (normalmente pelo proprietário dos dados) para determinar se um nível de classificação precisa ser atualizado (não é comum) ou pode ser rebaixado. As salvaguardas apropriadas devem ser implementadas e regularmente auditadas para garantir
    • Confidencialidade (e privacidade). Por exemplo, usando permissões de sistema, diretório e arquivo e criptografia.
    • Integridade. Por exemplo, usando linhas de base, hashes criptográficos, verificações de redundância cíclicas (CRCs) e bloqueio de arquivos (para prevenir ou controlar a modificação de dados por múltiplos usuários simultâneos).
    • Disponibilidade. Por exemplo, usando banco de dados e agrupamento de arquivos (para eliminar pontos únicos de falha), backups e replicação em tempo real (para evitar perda de dados).
  • Disposição. Finalmente, quando os dados já não têm nenhum valor ou já não são úteis para a organização, ele precisa ser devidamente destruído de acordo com as políticas de retenção e destruição corporativa, bem como quaisquer leis e regulamentos aplicáveis. Certos dados sensíveis podem exigir uma determinação final da disposição pelo proprietário dos dados, e podem exigir procedimentos específicos de destruição (como testemunhas, registro e limpeza magnética seguida de destruição física).

Os dados que foram simplesmente excluídos NÃO foram devidamente destruídos. É meramente "dados em repouso" que esperam ser escritos demais - ou descobertos inconvenientemente por um terceiro não autorizado e potencialmente mal-intencionado!

A remanência de dados refere-se a dados que ainda existem em mídia de armazenamento ou na memória depois que os dados foram "excluídos".

Linhas de base

O estabelecimento de uma linha de base é um método de negócios padrão usado para comparar uma organização com um ponto de partida ou padrão mínimo, ou para comparar o progresso dentro de uma organização ao longo do tempo. Com controles de segurança, esses métodos fornecem informações valiosas:

  • Comparando com outras organizações . As organizações podem comparar seus conjuntos de controle com outras organizações, para ver quais diferenças existem nos controles.
  • Comparando controles internos ao longo do tempo . Uma organização pode basar seu conjunto de controles, para ver quais mudanças ocorrem em seu controle definido ao longo de um período de anos.
  • Comparando a eficácia do controle ao longo do tempo . Uma organização pode comparar seu registro de eficácia de controle, para ver onde o progresso está sendo feito, e onde é necessário mais esforço para avançar.

Escopo e adaptação

Como diferentes partes de uma organização e seus sistemas de TI subjacentes armazenam e processam diferentes conjuntos de dados, não faz sentido que uma organização estabeleça um único conjunto de controles e impõe-os a todos os sistemas. Como um programa simplificado de classificação de dados e sua superproteção e subproteção de dados, as organizações geralmente se dividem em zonas lógicas e, em seguida, especificam quais controles e conjuntos de controles são aplicados nessas zonas.

Outra abordagem é adaptar controles e conjuntos de controles a diferentes sistemas de TI e partes da organização. Por exemplo, os controles sobre a força da senha podem ter categorias que são aplicadas em sistemas com níveis de segurança variáveis.

Ambas as abordagens para a aplicação de um ambiente de controle complexo em um ambiente de TI complexo são válidas - são realmente apenas formas diferentes de alcançar o mesmo objetivo: aplicar o nível certo de controle a vários sistemas e ambientes, com base nas informações que armazenam e processar ou em outros critérios.

Seleção de padrões

Várias estruturas de controle excelentes estão disponíveis para o uso de profissionais de segurança. Em nenhuma circunstância é necessário começar do zero. Em vez disso, a melhor abordagem é começar com uma das várias estruturas de controle líderes do setor e, em seguida, adicionar ou remover controles individuais para atender às necessidades da organização.

Os padrões de estrutura de controle incluem

  • ISO27002 , Código de prática para gerenciamento de segurança da informação.
  • COBIT , Objetivos de Controle de Informação e Tecnologia Relacionada.
  • NIST 800-53 , controles de segurança recomendados para sistemas e organizações de informações federais.

Cryptography

O Crypto desempenha um papel crítico na proteção de dados, quer se trate de dados em movimento através de uma rede, ou em repouso em um servidor ou estação de trabalho. A criptografia consiste em ocultar dados à vista, pois existem situações em que as pessoas podem acessar dados confidenciais; o crypto nega as pessoas que acessam a menos que estejam na posse de uma chave de criptografia e o método para descriptografá-la.

Dados controles de segurança - dummies

Escolha dos editores

Escolha dos editores

ASVAB Paragraph Comprehension Practice - dummies

ASVAB Paragraph Comprehension Practice - dummies

Mídia social

Um dos subtestes que você verá no ASVAB é o teste de compreensão de parágrafos. Esta parte do ASVAB está voltada para ver se você entende o que você lê. Exemplo de perguntas Parágrafo Tempo de compreensão: 13 minutos para 15 perguntas Instruções: A compreensão de parágrafo é o quarto subtesto no ASVAB. As perguntas são projetadas para ...

ASVAB Preparação: Números positivos e negativos - manequins

ASVAB Preparação: Números positivos e negativos - manequins

Mídia social

Certifique-se de que esteja familiarizado com o trabalho positivo e negativo números para o ASVAB. Os números podem ser positivos ou negativos. Um número positivo é qualquer número maior que zero. Então, 4; 3. 2; 793; 3/4; 1/2; e 430, 932, 843, 784 são todos números positivos. Números inferiores a zero são números negativos. Cada número positivo tem um negativo ...

ASVAB Dicas de compreensão de leitura - manequins

ASVAB Dicas de compreensão de leitura - manequins

Mídia social

As abordagens de compreensão de parágrafo no ASVAB geralmente são bastante curtas. Essas dicas podem ajudá-lo a compreender melhor as passagens de leitura ASVAB e as perguntas que as seguem: Compreenda o que a questão quer de você. Solicita o ponto principal, informações específicas ou uma conclusão baseada na informação apresentada? Releia o parágrafo ...

Escolha dos editores

A diferença entre análises analógicas e digitais - manequins

A diferença entre análises analógicas e digitais - manequins

Finanças Pessoais

Toda a eletrônica pode ser dividida em duas grandes categorias: analógico e digital. Um dos exemplos mais comuns da diferença entre dispositivos analógicos e digitais é um relógio. No relógio analógico, o tempo é representado por mãos que giram ao redor de um disco e apontam para uma localização no mostrador que representa ...

O papel dos átomos na eletrônica - dummies

O papel dos átomos na eletrônica - dummies

Finanças Pessoais

Os átomos são os blocos de construção básicos de tudo no universo, seja natural ou manmade. Eles são tão pequenos que você encontraria milhões deles em uma única partícula de poeira. A corrente elétrica, às vezes conhecida como eletricidade, é o movimento na mesma direção de partículas microscópicamente pequenas e eletricamente carregadas, chamadas elétrons. Cada átomo contém o ...

Roles de prótons e elétrons - dummies

Roles de prótons e elétrons - dummies

Finanças Pessoais

É Uma propriedade de certas partículas, como elétrons, prótons , e quarks (sim, quarks) que descreve como eles interagem uns com os outros. Existem dois tipos diferentes de carga elétrica, um pouco arbitrariamente chamada positiva e negativa (bem como as quatro direções cardinais são chamadas norte, sul, leste e oeste). Em geral, partículas que carregam ...

Escolha dos editores

Acesso 2007 All-In-One For Dummies Cheat Sheet - dummies

Acesso 2007 All-In-One For Dummies Cheat Sheet - dummies

Mídia social

Trabalhando no Access 2007 é mais fácil uma vez que você entenda executar a janela do Access 2007 e usar ferramentas para ajudar a gerenciar seus dados e responder suas perguntas.

Arrumando suas mensagens com o Lotus Notes 6 - manequins

Arrumando suas mensagens com o Lotus Notes 6 - manequins

Mídia social

Antes de enviar uma mensagem de e-mail no Lotus Notes 6, você pode definir Opções de entrega, Opções de segurança e Selos de humor. Use essas dicas de notas para informar o destinatário sobre o quão quente é sua mensagem ou qual é o seu humor; ou solicitar confirmação de entrega, definir o tempo de entrega e muito mais. Depois de terminar de compor o corpo ...

10 Ofícios de teclado do Office 2016 - dummies

10 Ofícios de teclado do Office 2016 - dummies

Mídia social

Um tema comum do Office 2016 é que todos os programas se parecem e funcionam. Depois de aprender a usar o Word, você achará que não é muito mais difícil aprender o Excel ou o PowerPoint porque as guias do Ribbon funcionam de maneiras semelhantes. Ainda melhor, os mesmos comandos de teclas funcionam de forma semelhante em todos os programas do Office 2016. Por ...

Escolha dos editores

Escolha dos editores

Categorias populares

© Copyright por.blender3dtutorials.com, 2024 Novembro | Sobre o site | Contatos | Política de Privacidade.