Por segurança da informação entende-se um estado da mesma, no qual exclui a possibilidade de visualizar, alterar ou destruir informações por pessoas que não têm o direito de fazê-lo, bem como vazamento de informações devido a radiação e interferência eletromagnética colateral, dispositivos especiais de interceptação (destruição) ao transferir entre objetos de tecnologia de computador ... A segurança da informação também inclui a proteção das informações contra a destruição não intencional (falhas técnicas).
A proteção da informação é um conjunto de medidas que visa garantir a confidencialidade e integridade das informações processadas, bem como a disponibilização das informações aos utilizadores.
Confidencialidade - manter em segredo informações sensíveis, cujo acesso é limitado a um círculo restrito de usuários (indivíduos ou organizações).
Integridade é uma propriedade na presença da qual a informação retém uma forma e qualidade predeterminadas.
Acessibilidade é o estado da informação quando ela está na forma, no local e na hora que o usuário precisa e na hora em que ele precisa.
O objetivo da proteção da informação é minimizar a perda na gestão causada pela violação da integridade dos dados, confidencialidade ou inacessibilidade das informações aos consumidores.
A parte oficial (o procedimento de copiar e colar da Internet) acabou. Agora não oficial. Da prática.
Este artigo foi escrito para dirigentes de empresas para as quais as regras do Banco Nacional da República do Cazaquistão (o regulador) não são aplicáveis.
Como a maioria dos gerentes (e nem tanto) entende "segurança da informação"?
O que os empregadores (empresas) querem dizer quando publicam vagas com a menção da frase “Segurança da Informação”?
Na prática, a maioria associa a segurança da informação a algum tipo de meio técnico, por exemplo, um dispositivo de proteção de rede (firewall) ou software de monitoramento de funcionários (o chamado DLP - prevenção contra perda de dados) ou antivírus.
Os referidos meios referem-se à segurança da informação, mas de forma alguma garantem a segurança do objeto protegido (informação), sua integridade e disponibilidade. Por quê?
Por um motivo muito simples - garantir a segurança da informação é um processo, não qualquer dispositivo, software, que, como a maioria dos gerentes (e não apenas), pensa que é uma panacéia e proteção.
Considere, por exemplo, uma pequena empresa comercial com 50 usuários. Por utilizador entende-se todos os colaboradores que têm acesso ao sistema de informação (SI) da empresa através de qualquer dispositivo (computador, portátil, tablet, telemóvel). Acesso ao IP significa qualquer acesso - ao e-mail, à Internet, a bancos de dados, arquivos, etc.
A mentalidade dos líderes em nossas empresas (incluindo nosso exemplo) é fundamentalmente diferente da dos ocidentais - eu sou o chefe, posso fazer qualquer coisa. Incluindo acesso ilimitado à Internet ou a capacidade de instalar qualquer software em um computador. Do ponto de vista da segurança da informação, esse líder é a principal ameaça à própria segurança da informação. Por quê? Porque ele é incompetente na questão da segurança da informação e pensa, como mencionado acima - que se houver um administrador do sistema, ou algum dispositivo caro que ele comprou recentemente por recomendação do mesmo administrador do sistema - tudo isso DEVE fornecer a mesma segurança da informação. Posso dizer que nenhum especialista e nenhum dispositivo caro o salvará de enviar deliberadamente sua correspondência (por exemplo.ru - tão querido por todos), o invasor irá enviar qualquer software malicioso que não será um vírus, mas por exemplo será algum tipo de script que permitirá que você obtenha acesso ao seu IP através do seu computador. Você baixa o arquivo de sua caixa de correio mail.ru (por exemplo, é chamado de "Requisitos para o fornecedor.doc" - o script é iniciado (naturalmente sem o seu conhecimento).
Assim, um invasor obtém acesso à sua rede, posteriormente expande silenciosamente suas atividades e voila! Um dia "bom", você de repente descobre (sublinhe o necessário):
- todos os seus bancos de dados são criptografados. Você recebeu uma carta de resgate em seu correio;
- todos os seus arquivos são destruídos. Um smiley chegou ao seu e-mail :);
- sua rede simplesmente não está funcionando;
- os dados de seus clientes foram postados em qualquer site;
- seus concorrentes aprenderam sobre sua real situação;
- seu desempenho financeiro real tornou-se publicamente disponível;
- o fornecedor apresenta-lhe quaisquer reclamações ao abrigo do contrato que assinou recentemente (violação da integridade da informação). O contrato foi alterado pelo atacante na véspera da assinatura (seus advogados, contadores, diretor comercial e demais funcionários já o verificaram) e o salvou em uma pasta no servidor.
- a gravação de vídeo de sua festa corporativa a partir de câmeras de vigilância, onde você e sua secretária estavam dançando na mesa com calcinhas feitas de clipes de papel de alguma forma atingiram sua esposa;
- etc.
Que perdas serão incorridas pela trading company pelo fato da rede não funcionar ou devido ao vazamento de dados? Grandes. As perdas são calculadas não apenas pelo custo dos produtos não expedidos aos clientes, mas também pelo custo de manutenção de pessoal durante o período de inatividade do SI, o custo da eletricidade, aluguel, perdas de reputação, etc. Manteremos silêncio sobre as gravações das câmeras de vigilância (é difícil prever as consequências :).
Muitos ficarão indignados - todas essas são histórias de terror. Os argumentos geralmente são os seguintes:
- temos backups;
- temos um firewall do último modelo que foi montado pela empresa de segurança da informação mais bacana do país;
- temos o antivírus mais caro;
- temos...
Normalmente existem inúmeros desses argumentos, que no caso acima não garantem nada.
Backups
O backup é uma das formas mais básicas de proteger as informações - sua integridade, disponibilidade e segurança.
Mas:
- você tem um agendamento de backup?
- tem certeza de que seus backups estão funcionando?
- O (s) seu (s) backup (s) foram testados (houve uma restauração de teste) pelo administrador do sistema?
- Com que frequência o backup foi testado?
- existe um backup?
Na prática, quase toda a lista fornecida acima está ausente ou geralmente é executada após um incêndio (e mesmo assim, não por muito tempo).
Dispositivo de segurança (firewall)
A principal ameaça à informação - sua confidencialidade, integridade e disponibilidade (CIA) - geralmente vem de dentro. Funcionários insatisfeitos, os chefes mencionados, contadores (com seus drives flash infectados que estiveram no canteiro de vírus - o fiscal), funcionários comuns. Muitas vezes, à pergunta “você tem procedimentos documentados para acessar IP”, muitas pessoas respondem com um olhar em branco - “o que é isso?”. Ou a pergunta “o perímetro externo (e interno) da rede foi verificado por pessoas qualificadas quanto à segurança” - por quê? Isso porque tudo se refere à mesma segurança da informação. Na prática, a maioria das empresas não tem nem um nem outro, nem o terceiro, nunca fizeram ou não sabem por que é necessário (mas mesmo assim escrevem nas vagas “segurança da informação”). O firewall não é uma panacéia.Esta é uma ferramenta técnica projetada para proteger o perímetro externo e interno do seu IP. E apesar do custo, ele não fornecerá proteção se instalado por um amador. Isso pode ser comparado a disparar uma arma - pode ser caro, mas não garante que o atirador inepto (péssimo dançarino) acertará o alvo.
Antivírus
Quantas pessoas - tantos antivírus. O antivírus, como mencionado acima, não é uma panacéia. Este é apenas um dos meios de segurança da informação, que não exclui ou substitui a configuração adequada de sistemas operacionais, políticas de grupo, direitos de acesso, procedimentos de backup regulamentados, treinamento e informação aos usuários sobre os fundamentos da segurança da informação e outras medidas que podem fortalecer o bastião da segurança da informação.
Você precisa contratar um funcionário com foco especial em segurança da informação ou sair correndo e comprar máscaras para dispositivos de segurança (firewalls) e antivírus para garantir a segurança da informação?
Não. No primeiro estágio, você não precisa comprar nada, contratar ninguém e fazer outras ações precipitadas.
Abaixo está um algoritmo simplificado de ações que devem ser executadas para construir um sistema de segurança da informação.
0. Decida como você vai construir um sistema de segurança da informação - como de costume (como tudo é feito em todo o espaço do CIS - através da bunda e para exibição, conversamos, fizemos gente inteligente nas reuniões e esquecemos), ou de acordo com os padrões geralmente aceitos.
Se a resposta à pergunta 0 for "como de costume", você não pode mais desperdiçar seu precioso tempo e parar de ler.
1. Decida o que e por que proteger. O documento que descreve isso geralmente é denominado "Política de Segurança da Informação". O documento não descreve quaisquer medidas específicas, dispositivos técnicos, configurações e outras ações necessárias para garantir a proteção das informações.
2. Faça uma lista dos recursos (hardware e software) que estão disponíveis na empresa. Muitas vezes, nos requisitos para candidatos, é mencionada uma lista de softwares e equipamentos "Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense", etc. Você realmente acha que tudo o que você tem em estoque irá protegê-lo? Muito pelo contrário.
3. Criar e discutir matrizes de acesso de usuários (clientes, parceiros, etc.) ao sistema de informação. O que é uma matriz de acesso: é quando existe um documento claro quem, onde e em que nível tem acesso ao sistema de SI.
4. Crie um documento que rege o procedimento de backup.
5. Crie um documento que descreva todos os meios de segurança da informação - físico, técnico, software, administrativo.
6. Preparar e conduzir sessões de treinamento sobre segurança da informação para funcionários da empresa. Faça-os trimestralmente.
7. Pergunte ao funcionário responsável se ele será capaz de fornecer todo o processo por conta própria ou se requer o envolvimento de um terceiro (ou a contratação de um funcionário adicional)
8. Teste seu IP para penetração (o chamado teste de penetração).
9. Crie ou corrija os seguintes documentos:
- restauração de SI (sistema de informação) em caso de falha (equipamento, catástrofes naturais e artificiais, outros danos);
- regulamentos de proteção antivírus;
- um documento que regulamenta o procedimento de backup e teste de backups;
- um documento regulando o controle e restauração de bancos de dados (se houver);
- , ;
- , ;
- , ( );
- ( );
- , (WiFi) ;
- , ;
- ( );
- , ;
- ( ).
10. Acompanhar e ajustar mensalmente procedimentos e regulamentos de acordo com a conjuntura externa e interna.
11. Sorria. O diabo não é tão mau quanto é retratado se você tiver um sistema de informações bem estruturado, transparente, compreensível e gerenciável. Compreensível para você (o gerente), para seus usuários (funcionários) e, com sorte, para o administrador do sistema.
Se cuida.