Nenhum sistema está seguro...

O objetivo deste site é o de gerar conhecimento na área Forense, Jurídica e tecnologica.

quinta-feira, 22 de julho de 2021

Cinco funções básicas de segurança da informação que toda empresa precisa ter para atender às exigências da LGPD.

 

BASELINE MÍNIMO PARA SEGURANÇA DA INFORMAÇÃO

Premissa: Minimização dos dados, o único dado que não pode ser hackeado é o dado que você não tem.

Abre-se aqui um parêntese, não é nenhuma novidade e todos sabem, a segurança da informação é negligenciada pelas empresas por padrão e muitas empresas ou órgãos públicos só estão se preocupando agora por uma imposição da legislação, a  Lei Geral de Proteção de dados Pessoais (LGPD). Agora, com a LGPD é previsto multas, sanções administrativas e proibição de uso dos dados. Dito isto, não há uma bruxaria ou uma receita mágica que irá colocar uma empresa, seja ela de pequeno, médio ou de grande porte, em conformidade com a Legislação. 

Para isto é necessário de mão de obra especializada envolvendo algumas áreas do conhecimento, vejamos: Jurídicas, Compliance, TI e Cibersegurança. 

Para quem é este artigo? Este artigo é para profissionais de tecnologia e de segurança da informação que queiram entender a sinergia de um Framework de Segurança da Informação, algumas ponderações básicas norteadoras. 

Maturidade dos Controles: Procure criar políticas de gestão para GOVERNANÇA DE DADOS dentro da empresa. Há três aspectos essenciais neste quesito: 

a) a segurança física das instalações e dos espaços operacionais; 

b) a segurança relativa ao pessoal que trabalha e manipula a informação classificada ou sensível; e 

c) finalmente, a segurança do material que suporta a informação. 

Nestes aspectos supracitados, as empresas ou organizações precisam desenvolver uma capacidade própria de defesas das suas redes informatizada, através de prevenção, capacidade de detecção, resiliência e recuperação. Estas dicas abaixo podem ser norteadoras para iniciar os trabalhos. 

Framework de Segurança Básico: 

Figura 1 - Cyber Security Framework Nist 1800-26A


1 - A capacidade de Identificar um Risco:

Desenvolva uma compreensão organizacional para gerenciar o risco de segurança cibernética para sistemas, pessoas, ativos, dados e recursos.

Qual a principal premissa neste ponto? Simples, a empresa precisa identificar quais os seus pontos fracos e para isto é necessário entender a sua maturidade sobre todos os ativos tecnológicos e físicos. 

A empresa realiza algum tipo de Pentest? 

Contrate uma empresa ou profissional para mapeamento de suas vulnerabilidades, se possível, crie um time de Redteam. 

           Outro ponto, empresas de pequeno porte podem buscar adequar-se neste item da seguinte 

           forma: 

    1. Antivírus;
    2. Habilitar criptografia em desktop (Bitlocker);
    3. Criptografia do Smartphone;
    4. Backup em Nuvens (OneDriver) e Google Fotos, por exemplo;
    5. Treinamento.          

Sugestão: adote também um software para fazer uma varredura das suas vulnerabilidades, um bom software para isso e totalmente gratuito é o openvas, tem curso dele ensinando a utilizar na Udemy por menos de 30 reais, https://www.udemy.com/share/104t3Y2@PW5gaFpYS1IHck54O0hO/

2 - A capacidade de proteger a Informação: 

Desenvolver e implementar salvaguardas adequadas para garantir a entrega de Serviços.

Sob o conjunto de soluções para proteger a informação ainda é possível pontuar sobre as Políticas de Segurança da Informação, Campanhas de conscientização e várias tecnologias que juntas, podem contribuir contra esta guerra cibernética. 

Para uma pequena ou média empresa, é possível iniciar com uma solução de antivírus, porém, atualmente ele sozinho já não atende às novas incursões criminosas dos hackeres, por este motivo o mercado oferece algo denominado como Endpoint, um conjunto de ferramentas que faz uma gestão aperfeiçoada de cada máquina. Em outras palavras, é um software de antivírus com uma plataforma que gerencia todas as estações de trabalho fazendo a análise  de todos os programas instalados considerados vulneráveis, sites vulneráveis, e-mails com spam e arquivos maliciosos; entre outras ações.  

Resumindo, uma empresa precisa de investimento em firewall, um pfSense (ele é gratuíto), por exemplo; uma boa solução de antivírus (Endpoint); um NOC (Network Operation Center), capaz de monitorar eventos envolvendo todo parque tecnológico. Por fim, em pessoal com o gabarito necessário para atender estas demandas.  

  

3 - A capacidade de detectar um risco iminente;

Desenvolver e implementar atividades adequadas para IDENTIFICAR UMA OCORRÊNCIA de um evento de cibersegurança.

A capacidade de detectar um risco iminente está totalmente relacionada a um bom monitoramento em tempo real e para este tipo de ação, há algumas plataformas que atende estes requisitos:

    • AlienVault; 
    • Graylog, PiDense (Detecção de ataques wifi: Pineapple Activety, Karma Attacks, Eviroment threats, Deauth Attacks, Other Fake AP Tactics);
    • Defesas em aplicações Web: implementação de proteções de firewalls a nível de aplicação (WAF - Web Application Firewall) Cloudflare e o Wazuh, são exemplos de soluções possíveis.

4 - A capacidade de responder ao incidente;

Desenvolver e implementar atividades adequadas para AGIR EM RELAÇÃO A UM INCIDENTE de segurança cibernética detectada.

Um incidente é um evento que pode levar à perda ou interrupção das operações, serviços ou funções de uma organização

Este é um assunto muito denso, entretanto, como a intenção é a de criar um norte, não iremos aprofundar. 

Esta maturidade para responder a um incidente cibernético é avaliado sob a capacidade de uma empresa ou organização de manter a proteção dos seus sistemas informatizados de vários tipos de ameaças garantindo a continuidade do negócio, minimizando os riscos.  

Um incidente passar por algumas fazes,  i) Identificação do incidente; ii) Reposição dos serviços afetados (mitigação); iii) Documentação; e, iv) Lições aprendidas; v) Comunicação entre às partes envolvidas. 

Alinhado ao parque tecnológico da empresa e consoante a capacidade de detectar as ameaças, visto que se uma empresa não tem capacidade de detectar, possivelmente ela não terá capacidade de responder ao incidente, pelo menos em tempo hábil.  

Segundo o Framework Information Technology infrastructure Library (ITIL v3), a  gestão de incidentes é um processo que integra a operação de serviços, a gestão de eventos, gestão de problemas e gestão de acessos.  Assim sendo, é importante que a área que define o Compliance e a área responsável por sua execução sejam distintas, separadas. 

Dentro desta capacidade de resposta ao incidente, é importante pensar em um plano de ação (Incident Handling), um plano de ação para tratar o incidente. Neste preceito, quando ocorrer um incidente fica mais fácil agir.  Algumas regulamentações internacionais exigem um Incident Handing's, regulamentação PCI. Desta forma é necessário que este plano contenha:

  1. Preparação - manter o time prontos para lidar com incidente;
  2. Identificação - capacidade de obter eventos online-real-time, analisar e então determinar se foi um incidente;
  3. Contenção - parar o dano e fazer as imagens forense, evitando assim, que o dano se agrave; 
    • Contenção de curto prazo;
    • Backup do sistema;
    • Contenção de longo prazo;
    • Erradicação - Limpar e remover os artefatos deixados pelos atacantes;
  4. Investigação forense - é necessário investigar a causa raíz do incidente, caso contrário a empresa poderá responder por destruição de provas, Artigo 305 CP. O simples ato de desligar o computador de forma incorreta, pode configurar este crime já que a memória RAM não guarda mais as informações quando o computador é desligado. Este pode ser uns dos exemplos.   
  5. Recuperação - Voltar aos negócios de forma gradativa;
  6. Lições Aprendidas - Documentar todos eventos e planos de ações adotadas,
  7. Comunicação [sugestão], as empresas passam a ter que divulgar os incidentes. 

 

5 - A capacidade de recuperar de um incidente;

Desenvolver e implementar atividades adequadas para MANTER OS PLANOS DE RESILIÊNCIA e para restaurar quaisquer recursos ou serviços que foram prejudicados devido a um incidente de Cibersegurança

Esta capacidade pode ser um divisor de águas para determinar se uma empresa ainda permanecerá no mercado ou deixará de existir. Há empresas que acabam deixando de existir por não conseguirem os seus dados, a exemplo: os ataques de sequestro denominados de ransomwares. Para esta ação, é necessário sempre buscar uma harmonia entre todos os demais passos, ter politicas bem definidas de Desastre Recovery. Temos o Zerto como plataforma desenhada para esta finalidade, que nos traz uma maior resiliência e o Yara para como ferramenta para ajudar a identificar e classificar amostras de malwares, assim como o Alien Vault (SIEM - Gerenciamento e Correlação de Eventos de Segurança).

 

Por fim, é recomendado ainda que tudo seja documentado, cada tipo de ação para provar que a empresa não quebre o pilar responsabilidade civil: negligente, imperita ou imprudente no tratamento dos dados.

Neste último parágrafo, é importante fazer um adendo, exemplificar os pilares da responsabilidade civil ao que tange a interpretação da LGPD: 

IMPRUDÊNCIA - A Empresa ou Organização deixa de respeitar alguma norma, procedimento que gere e/ou ofereça um risco de vazamento de dados; 

NEGLIGÊNCIA - O Controlador age com desleixo e não se importa com o resultado sobre um incidente de segurança; 

IMPERÍCIA - A Empresa ou Organização não  foi capaz tecnicamente de forma comprovada, de tratar os dados do titular;


Fonte: 

http://ws2.din.uem.br/~ademir/sbpo/sbpo2009/artigos/55438.pdf

https://revista.enap.gov.br/index.php/RSP/article/download/3210/2763/16465

https://fenix.tecnico.ulisboa.pt/downloadFile/1126295043834849/MestradoSIDC(PNeves).pdf

https://bitwarden.com/

https://csrc.nist.gov/glossary/term/computer_security_incident


Recomendações de leitura: 

Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-26.pdf


Nist Privacy Framework: A Tool For Improving Privacy Through Enterprise | PT -BR

https://www.nist.gov/system/files/documents/2021/09/02/NIST.CSWP_.01162020pt.pdf


Framework for Improving Critital Infrastructure Cybersecurity

1 - https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

2 - https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018pt.pdf

Estrutura de gerenciamento de risco para sistemas de informação e organizações

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r2.pdf


Protegendo Informações Não Classificadas Controladas em Sistemas e Organizações de Informação Não Federais

https://csrc.nist.gov/CSRC/media/Publications/sp/800-171/rev-1/archive/2016-12-20/documents/sp800-171r1-20161220.pdf


Postado por: at

Nenhum comentário:

Postar um comentário

Observação: somente um membro deste blog pode postar um comentário.

Assinar: Postar comentários (Atom)

Análise da Vulnerabilidade CVE-2024-23113 no FortiGate

  Relatório Técnico: Análise da Vulnerabilidade CVE-2024-23113 no FortiGate e Medidas de Mitigação Introdução Nos últimos anos, as vulnerabi...