Dicas para manter dados protegidos e seguros na nuvem

Artigo de Virgínia Araújo, Coordenadora Científica da Pós-Graduação Cyber Security & Data Protection na Rumos

As dúvidas acerca da segurança e da confidencialidade dos dados, levam muitos CIOs à decisão de não seguirem uma estratégia de Cloud Computing, sendo a dificuldade de controlar as quebras de segurança a principal razão entre adotar ou não serviços na nuvem.

O desafio está na definição de uma estrutura de segurança das suas organizações com políticas, controlos e tecnologias de segurança.

Que controlos devemos ter para proteger os dados de uma organização? Veja aqui algumas sugestões.

1. Institua uma cultura de segurança na organização

Crie um conjunto de políticas para a segurança da informação, aprovado pela gestão, publicado e comunicado aos colaboradores e terceiras partes relevantes. Para garantir a sua atualização contínua, estas devem ser revistas em intervalos planeados ou quando ocorrerem alterações significativas.

Defina papéis e responsabilidades de segurança da informação controlando conflitos através de segregação de funções.

Garanta que os funcionários e contratados compreendem as suas responsabilidades de segurança de informação, e que estas são adequadas para as funções para as quais são considerados, através da inclusão dos requisitos de segurança de informação nos acordos contratuais com empregados e contratados.

Assegure que todos os tipos de informação recebem um nível adequado de proteção de acordo com a sua importância para a organização, definindo categorias de classificação em termos de valor para a organização, requisitos legais, criticidade e sensibilidade à divulgação ou modificação não autorizada.

Implemente procedimentos para o manuseamento de ativos de acordo com o esquema de classificação de informação adotado pela organização.

2. Proteja a sua ligação à Internet

Assegure o uso adequado e eficaz de criptografia para proteger a confidencialidade, autenticidade e/ou integridade da informação, gerindo e controlando as redes de comunicações para proteger informações em sistemas e aplicações de software. Sistemas de segurança, níveis de serviço e requisitos de gestão de todos os serviços de rede devem ser identificados e incluídos nos acordos de serviços de rede, independentemente de estes serem internos ou outsourced. Serviços de informação, utilizadores e sistemas de informação devem ser segregados em redes.

Mantenha a segura a transferência da informação dentro da sua organização e entre esta e qualquer entidade externa, através de políticas, procedimentos e controles de transferência física, e também a transmissão de mensagens eletrónicas.

Implemente acordos de confidencialidade e de não divulgação que reflitam as necessidades da organização para a proteção da informação.

3. Proteja seus dispositivos e software

Mantenha os seus equipamentos e software atualizados. O equipamento deve ser protegido contra falhas de energia e outras perturbações causadas por falhas nos utilitários de suporte, assegurando a proteção dos cabos de alimentação e telecomunicações que transportam dados ou serviços de informação. O equipamento deve ser mantido corretamente para garantir sua disponibilidade e integridade contínuas, com particular realce à eliminação e reutilização segura dos equipamentos. Todos os equipamentos contendo meios de armazenamento devem ser verificados para garantir que qualquer dado sensível e software licenciado foi removido ou sobrescrito com segurança antes da eliminação ou reutilização.

Garanta que a segurança da informação é parte integrante dos sistemas de informação ao longo de todo o ciclo de vida, incluindo os sistemas de informação que fornecem serviços através da nuvem. A informação envolvida em serviços aplicacionais transmitida da nuvem deve ser protegida contra atividades fraudulentas, disputas contratuais, divulgação e modificação não autorizadas.

Garanta o acesso restrito ao código-fonte do software, através da implementação de regras para o desenvolvimento de software e sistemas, aplicadas aos desenvolvimentos dentro da organização e controladas pelo uso de procedimentos formais de controle de alterações. Os organismos de controle devem estabelecer e proteger adequadamente os ambientes de desenvolvimento seguro para o desenvolvimento do sistema e os esforços de integração que abrangem todo o ciclo de vida do desenvolvimento do sistema, incluindo desenvolvimento de sistemas outsourced. Os dados de controle de dados devem ser cuidadosamente selecionados, protegidos e controlados.

4. Controle o acesso aos seus dados e serviços

Implemente uma política de controle de acesso com base nos requisitos de segurança de informação da organização. Os utilizadores só devem ter acesso à rede e serviços de rede que tenham sido especificamente autorizados a usar, através da implementação de sistema para atribuir ou revogar direitos de acesso para todos os tipos de utilizadores a todos os sistemas e serviços.

Garanta a atribuição e uso de direitos de acesso privilegiado que devem ser restritos e controlados. Os utilizadores devem seguir as práticas da organização no uso de informações de autenticação secretas, controlados por um procedimento seguro de login.

Os sistemas de gestão de password devem ser interativos, garantindo passwords de qualidade.

5. Proteja contra vírus e outros malwares

Garanta que as informações são protegidas contra malware, através da implementação de controlos para deteção, prevenção e recuperação de ataques de vírus e malware, combinadas com a consciencialização do utilizador.

Garanta o backup de informações, software e imagens de sistema de acordo com uma política de backup acordada.

Implemente controlos de gestão de vulnerabilidades técnicas dos sistemas de informação utilizados, que devem incluir medidas de gestão do risco de exposição da organização a tais vulnerabilidades.

Garanta a implementação de regras que regem a instalação de software pelos utilizadores através de controlos automáticos.

» Aprenda a implementar estas e outras estratégias de segurança de informação na Pós-Graduação Cyber Security and Data Protection.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Analíticos".
cookielawinfo-checkbox-functional	11 meses	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do utilizador para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são utilizados para armazenar o consentimento do utilizador para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do utilizador para os cookies na categoria "Outros".
cookielawinfo-checkbox-performance	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do utilizador para os cookies na categoria "Performance".
PHPSESSID	session	Este cookie é nativo para aplicativos PHP. O cookie é usado para armazenar e identificar o ID de sessão exclusivo de um utilizador com a finalidade de gerir a sessão do utilizador no site. O cookie é um cookie de sessão e é excluído quando todas as janelas do navegador são fechadas.
viewed_cookie_policy	11 meses	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o utilizador consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Cookie	Duração	Descrição
__atuvc	1 ano e 1 mês	Este cookie é definido pelo Addthis para garantir que veja a contagem atualizada se o utilizador partilhar uma página e retornar para ela antes que o cache de contagem de compartilhamento seja atualizado.
__atuvs	30 minutos	Este cookie é definido pelo Addthis para garantir que o utilizador veja a contagem atualizada se partilhar uma página e retornar para ela antes que o cache de contagem de compartilhamento seja atualizado.

Cookie	Duração	Descrição
_ga	2 anos	Este cookie é instalado pelo Google Analytics. O cookie é usado para calcular o visitante, a sessão, os dados da campanha e controlar o uso do site para o relatório de análise do site. Os cookies armazenam informações anonimamente e atribuem um número gerado aleatoriamente para identificar visitantes únicos.
_gat_gtag_UA_3913954_1	1 minuto	Este cookie é definido pelo Google e é usado para distinguir os utilizadores.
_gcl_au	3 meses	Este cookie é usado pelo Google Analytics para entender a interação do utilizador com o site.
_gid	1 dia	Este cookie é instalado pelo Google Analytics. O cookie é usado para armazenar informações de como os visitantes usam um site e ajuda na criação de um relatório analítico de como é que o site se está a sair. Os dados coletados incluem o número de visitantes, a fonte de onde vieram e as páginas visitadas de forma anônima.
uvc	1 ano e 1 mês	O cookie é definido por addthis.com para determinar o uso do serviço Addthis.com.

Cookie	Duração	Descrição
loc	1 ano e 1 mês	Este cookie é definido pelo Addthis. Este é um cookie de geolocalização para entender onde os utilizadores que compartilham as informações estão localizados.
test_cookie	15 minutos	Este cookie é definido por doubleclick.net. O objetivo do cookie é determinar se o navegador do utilizador oferece suporte a cookies.

Lisboa

Porto

Institucional

Formação

Serviços

Carreiras

Nas férias da Páscoa, jovens adultos poderão ficar um passo à frente com as Spring Fast Tracks

Red Hat: Cursos Oficiais em B-learning