Dicas para manter dados protegidos e seguros na nuvem

Artigo de Virgínia Araújo, Coordenadora Científica da Pós-Graduação Cyber Security & Data Protection na Rumos

 

As dúvidas acerca da segurança e da confidencialidade dos dados, levam muitos CIOs à decisão de não seguirem uma estratégia de Cloud Computing, sendo a dificuldade de controlar as quebras de segurança a principal razão entre adotar ou não serviços na nuvem.

O desafio está na definição de uma estrutura de segurança das suas organizações com políticas, controlos e tecnologias de segurança.

Que controlos devemos ter para proteger os dados de uma organização? Veja aqui algumas sugestões.

 

1. Institua uma cultura de segurança na organização

Crie um conjunto de políticas para a segurança da informação, aprovado pela gestão, publicado e comunicado aos colaboradores e terceiras partes relevantes. Para garantir a sua atualização contínua, estas devem ser revistas em intervalos planeados ou quando ocorrerem alterações significativas.

Defina papéis e responsabilidades de segurança da informação controlando conflitos através de segregação de funções.

Garanta que os funcionários e contratados compreendem as suas responsabilidades de segurança de informação, e que estas são adequadas para as funções para as quais são considerados, através da inclusão dos requisitos de segurança de informação nos acordos contratuais com empregados e contratados.

Assegure que todos os tipos de informação recebem um nível adequado de proteção de acordo com a sua importância para a organização, definindo categorias de classificação em termos de valor para a organização, requisitos legais, criticidade e sensibilidade à divulgação ou modificação não autorizada.

Implemente procedimentos para o manuseamento de ativos de acordo com o esquema de classificação de informação adotado pela organização.

 

2. Proteja a sua ligação à Internet

Assegure o uso adequado e eficaz de criptografia para proteger a confidencialidade, autenticidade e/ou integridade da informação, gerindo e controlando as redes de comunicações para proteger informações em sistemas e aplicações de software. Sistemas de segurança, níveis de serviço e requisitos de gestão de todos os serviços de rede devem ser identificados e incluídos nos acordos de serviços de rede, independentemente de estes serem internos ou outsourced. Serviços de informação, utilizadores e sistemas de informação devem ser segregados em redes.

Mantenha a segura a transferência da informação dentro da sua organização e entre esta e qualquer entidade externa, através de políticas, procedimentos e controles de transferência física, e também a transmissão de mensagens eletrónicas.

Implemente acordos de confidencialidade e de não divulgação que reflitam as necessidades da organização para a proteção da informação.

 

3. Proteja seus dispositivos e software

Mantenha os seus equipamentos e software atualizados. O equipamento deve ser protegido contra falhas de energia e outras perturbações causadas por falhas nos utilitários de suporte, assegurando a proteção dos cabos de alimentação e telecomunicações que transportam dados ou serviços de informação. O equipamento deve ser mantido corretamente para garantir sua disponibilidade e integridade contínuas, com particular realce à eliminação e reutilização segura dos equipamentos. Todos os equipamentos contendo meios de armazenamento devem ser verificados para garantir que qualquer dado sensível e software licenciado foi removido ou sobrescrito com segurança antes da eliminação ou reutilização.

Garanta que a segurança da informação é parte integrante dos sistemas de informação ao longo de todo o ciclo de vida, incluindo os sistemas de informação que fornecem serviços através da nuvem. A informação envolvida em serviços aplicacionais transmitida da nuvem deve ser protegida contra atividades fraudulentas, disputas contratuais, divulgação e modificação não autorizadas.

Garanta o acesso restrito ao código-fonte do software, através da implementação de regras para o desenvolvimento de software e sistemas, aplicadas aos desenvolvimentos dentro da organização e controladas pelo uso de procedimentos formais de controle de alterações. Os organismos de controle devem estabelecer e proteger adequadamente os ambientes de desenvolvimento seguro para o desenvolvimento do sistema e os esforços de integração que abrangem todo o ciclo de vida do desenvolvimento do sistema, incluindo desenvolvimento de sistemas outsourced. Os dados de controle de dados devem ser cuidadosamente selecionados, protegidos e controlados.

 

4. Controle o acesso aos seus dados e serviços

Implemente uma política de controle de acesso com base nos requisitos de segurança de informação da organização. Os utilizadores só devem ter acesso à rede e serviços de rede que tenham sido especificamente autorizados a usar, através da implementação de sistema para atribuir ou revogar direitos de acesso para todos os tipos de utilizadores a todos os sistemas e serviços.

Garanta a atribuição e uso de direitos de acesso privilegiado que devem ser restritos e controlados. Os utilizadores devem seguir as práticas da organização no uso de informações de autenticação secretas, controlados por um procedimento seguro de login.

Os sistemas de gestão de password devem ser interativos, garantindo passwords de qualidade.

 

5. Proteja contra vírus e outros malwares

Garanta que as informações são protegidas contra malware, através da implementação de controlos para deteção, prevenção e recuperação de ataques de vírus e malware, combinadas com a consciencialização do utilizador.

Garanta o backup de informações, software e imagens de sistema de acordo com uma política de backup acordada.

Implemente controlos de gestão de vulnerabilidades técnicas dos sistemas de informação utilizados, que devem incluir medidas de gestão do risco de exposição da organização a tais vulnerabilidades.

Garanta a implementação de regras que regem a instalação de software pelos utilizadores através de controlos automáticos.

 


» Aprenda a implementar estas e outras estratégias de segurança de informação na Pós-Graduação Cyber Security and Data Protection.