O desafio com a segurança é manter-se atualizado sobre os tipos de ameaças e vulnerabilidades que existem para os diferentes tipos de sistemas e ativos que sua organização possui.
Claro, tal conhecimento ajudará você a verificar se uma empresa e suas partes interessadas estão prontas para se proteger contra ameaças atuais e emergentes.
No entanto, a clara falta de responsabilidade de segurança cibernética coloca essas organizações, seus funcionários e clientes em perigo. Você pode usar vários recursos para se manter atualizado sobre ameaças e vulnerabilidades que podem afetar sua empresa!
Leia aqui sobre Princípios e Termos Essenciais para a Segurança da Informação.
Análise das funções e responsabilidades de Segurança Cibernética
Primeiramente, a segurança é uma preocupação para todos na organização e cada pessoa irá desempenhar um papel diferente no enredo de segurança.
Logo, é importante identificar as diferentes funções que os indivíduos terão dentro de uma organização, como proprietário de dados, custodiante, usuário e responsável pela segurança.
Proprietário do sistema e proprietário dos dados
Então, um termo importante quando se trata de segurança da informação é “proprietário”. O proprietário – seja do sistema, seja de dados – é a pessoa que decide o valor do ativo e quais tipos de controles de segurança deve-se implementar para proteger o ativo.
Aliás, o proprietário também decide a confidencialidade das informações. O proprietário do ativo é o gerente de nível superior e detém a responsabilidade final de proteger o ativo e a segurança dentro da organização.
Controlador de dados e processador de dados
Na Europa, o Regulamento Geral de Proteção de Dados (GDPR) rege a proteção e a privacidade dos dados pessoais.
Dentro do GDPR estão os controladores e processadores de dados. Um controlador de dados é uma entidade que determina como e por que os dados pessoais são processados.
Já o processador de dados é a entidade que efetivamente efetua o tratamento dos dados pessoais, de acordo com as diretrizes que o responsável pelo tratamento deve estabelecer.
Administrador do sistema
Por outro lado, o administrador de sistema é a pessoa responsável pela configuração de um sistema ou rede.
Esse indivíduo recebe as metas de configuração dos designers ou dos profissionais de segurança da organização e configura os sistemas de maneira a atender essas metas.
Inclusive, é importante o profissional de segurança ser alguém que não seja o administrador do sistema, para que o profissional de segurança possa auditar as tarefas de configuração do administrador do sistema a fim de garantir que a configuração deixe o sistema em um estado seguro.
Usuário
O usuário é qualquer pessoa que acessa e usa os recursos dentro da organização. Um usuário é afetado pelos controles de segurança que o proprietário determina, e que o administrador/guardião implementa.
Usuário privilegiado
A seguir, temos o usuário privilegiado, que recebe privilégios extras para realizar tarefas administrativas. É essencial que você limite quantos usuários são usuários privilegiados, por alguns motivos.
Por exemplo, um usuário privilegiado pode cometer um erro ao usar o sistema e, como possui privilégios adicionais, pode excluir algo acidentalmente ou tornar o sistema inseguro.
Além disso, um usuário privilegiado pode executar acidentalmente um programa ou código em um site da web que pode realizar alterações maliciosas no sistema sem seu conhecimento.
Usuário executivo
Em contrapartida, o usuário executivo é aquele executivo de negócios de alto nível, como o presidente da empresa, o vice-presidente ou o CEO.
O desafio de segurança ao lidar com esses tipos de usuários é que eles normalmente exigem acesso a mais recursos da empresa do que um usuário comum ou mesmo gerenciamento.
É essencial que medidas sejam tomadas para proteger suas contas com contramedidas, como senhas fortes, expiração de senha e autenticação de dois fatores.
Confira a leitura: Por que todo mundo precisa estudar Segurança de TI.
Funções e responsabilidade de dados
Várias funções diferentes interagem com os dados de uma organização.
Por isso, você precisa se familiarizar com as seguintes funções de dados:
Proprietário dos dados
Geralmente, o proprietário dos dados é o proprietário da empresa, a equipe executiva ou o chefe de departamento que decide quais dados deve-se considerar como ativos, e como deve-se proteger esses dados.
Guardião/administrador de dados
O custodiante (que também conhecemos como administrador) é a pessoa que implementa o controle de segurança com base no valor do ativo que o proprietário determina.
Dessa forma, o custodiante é o administrador de TI que executa tarefas comuns, como backups, configurações de permissões e de firewalls, além de proteção de sistemas.
Ou seja, o proprietário determina os controles necessários, enquanto que o custodiante realmente protege o ativo, implementando tais controles.
Diretor de privacidade de dados
Esse indivíduo é o responsável pelo desenvolvimento de políticas que abordam dados pessoais de funcionários e dados pessoais de clientes.
A política de privacidade deve especificar como tratar e armazenar os dados pessoais dentro da organização.
Oficial de segurança
Por fim, temos o oficial de segurança, que possui um papel importante, sendo o elo de ligação entre a gestão (o proprietário) e a equipe de TI (custodiante).
O oficial de segurança é responsável por garantir que as políticas estejam sendo seguidas, educando todos sobre sua função dentro da organização. Esse responsável tem o desafio de ajudar a gerência a entender o valor dos controles de segurança implementados, garantindo que eles entendam suas responsabilidades legais e os benefícios financeiros da implementação dos controles.
Portanto, a segurança cibernética é fundamental para empresas de todos os tamanhos e de todos os setores. A pesquisa contínua é a chave! Tenha sempre isso em mente!
Por isso, é tão necessário investir na educação continuada dos profissionais.
Enfim, leia os outros textos do blog e tire dúvidas nos comentários, caso tenha!
Artigos Relacionados