Estratégia de Segurança da Informação para LGPD
Neste post irei detalhar um pouco mais sobre Estratégia de Segurança da Informação para LGPD e como atender às necessidades de proteção e prevenção que a LGPD traz para as empresas.
A Segurança da Informação é um assunto bastante amplo e que merece bastante atenção durante o processo de implantação da LGPD. Existem diversas possibilidades de garantir a segurança da informação, e que serão diferentes em cada empresa em função dos dados que possui, das ferramentas que utiliza e dos fornecedores selecionados para armazenar e processar dados.
Uma questão importante a ser feito paralelamente ou até mesmo antes de iniciar o processo da Segurança da Informação é o inventário de Dados Pessoais e Dados Sensíveis que a empresa detém. Afinal, é imprescindível que a empresa saiba exatamente onde estão os seus dados tanto em sistemas estruturados como em sistemas de armazenamento não estruturados. Assim, é possível saber de que forma é feito o armazenamento das informações para definir a forma de proteção desse conjunto de informações.
Portanto, fica claro que a adequação à LGPD não é uma receita de bolo que funciona para todas as empresas da mesma forma. Cada empresa terá necessidades específicas de segurança e ferramentas cabíveis dentro do seus respectivos contextos.
Estratégia de Defesa em Profundidade
Uma abordagem bastante interessante que pode ajudar a ter uma visão mais ampla sobre a Segurança da Informação dentro da LGPD é a estratégia de “Defesa em Profundidade”, representado pela imagem abaixo.
Essa estratégia se baseia na aplicação de uma série de medidas defensivas redundantes aplicadas em camadas, que têm por objetivo implementar controles administrativos, físicos e tecnológicos, utilizando-se de políticas, controles, mecanismos e ferramentas tecnológicas tendo como princípio o conceito de que se um mecanismo de segurança falhar, outro será acionado imediatamente para impedir um ataque.
Esse conceito vem desde os tempos dos castelos medievais, onde existiam diversos mecanismos de proteção contra ataques e invasões. Existia um fosso d’agua em volta do castelo, uma ponte levadiça, portões externos e internos, muros e torres de observação e combate, guarnições de soldados, catapultas e outras ferramentas, ou seja, existiam barreiras físicas e pessoas para evitar que ataques e invasões conseguissem invadir as áreas internas dos castelos.
A estratégia de Defesa em Profundidade foi criado pela NSA, a agência de segurança dos EUA. Foi concebido como uma abordagem abrangente para segurança da informação e segurança cibernética. Nessa estratégia, quanto mais profunda for a camada, maior será o nível de proteção e, consequentemente, a dificuldade para o invasor.
Tipos de Controles em uma Estratégia de Defesa em Profundidade:
Controles Físicos: Proteções que impedem o acesso físico aos ativos de TI de uma empresa, como cercas, muros, catracas, portas com controle de acesso, Sistemas de câmeras, vigilantes, etc;
Controles Técnicos: Medidas de proteção que garantem a segurança de hardwares, softwares e a rede. Sistemas de antivírus, Firewall, Backups, Gestão de Identidades, VPN, Vlans, DLP, criptografia entre outros controles possíveis, os quais detalharemos mais a seguir.
Controles Administrativos – Medidas administrativas para orientar, reger e monitorar os controles físicos e controles técnicos, por meio de políticas e procedimentos direcionados a todos clientes, colaboradores, fornecedores e parceiros de uma empresa para garantir a informação.
Camadas da Estratégia de Defesa em Profundidade
Apresentarei de forma um pouco mais detalhada cada camada dessa estratégia de defesa.
Camada 1: Política, Procedimentos e Conscientização
Esta camada é responsável por implementar os controles administrativos propostos na estratégia de defesa em profundidade. Os principais componentes dessa camada são:
- Conscientização / Treinamentos de colaboradores, clientes, parceiros, fornecedores e demais envolvidos.
- Definição do Sistema de Gestão da Segurança da Informação (SGSI)(
- Definição de Política de Segurança da Informação e Política de Privacidade
Camada 2: Segurança Física
Considerada a primeira barreira de proteção de uma infraestrutura de TI, a camada de segurança física tem como objetivo garantir que as ameaças não tenham acesso físico aos ativos tangíveis, como pessoas, servidores e desktops, dispositivos de rede e outros recursos. Os principais componentes dessa camada são cercas, muros, catracas, portas com controle de acesso, Sistemas de câmeras, vigilantes e outros.
Camada 3: Segurança de Perímetro
A camada segurança de perímetro, tem como objetivo implementar a proteção necessária entre o mundo exterior e a infraestrutura de TI interna do ambiente corporativo.
Os principais componentes dessa camada são roteadores, switches layer 3, Firewall (UTM), Sistemas de IDS e IPS para detecção e prevenção de intrusos, DLP para prevenir perda de dados, proxy, NAT, DMZ, VPN e outras tecnologias de proteção.
Camada 4: Segurança da rede interna
A camada de segurança rede interna da estratégia de defensa em profundidade, deve possuir mecanismos e ferramentas de proteção capazes de lidar com a identidade e autenticação dos usuários da rede, autorizando ou não, o acesso destes usuários aos recursos computacionais e de redes disponíveis na infraestrutura de TI.
Essa camada utiliza também recursos da camada 3, pois alguns recursos podem ser integrados entre as camadas para ampliar a segurança da rede.
Recursos como VLAN, NAT, DLP, sistemas de autenticação como Active Directory e Samba 4 são alguns dos componentes dessa camada, que em conjunto com um correto gerenciamento de vulnerabilidades permite que as equipes de TI gerenciem corretamente as ameaças para a infraestrutura de TI.
Camada 5: Segurança de Host (dispositivos)
A camada de segurança de host (O host é considerado qualquer dispositivo computacional, seja ele computador, servidor, impressora, dispositivos IOT e qualquer outro dispositivo conectado a rede), concentra-se em manter a proteção dos hosts e respectivamente dos sistemas operacionais que controlam estes hosts.
Os principais recursos dessa camada são antivírus/antimalware, firewall do cmputador, sistemas de gerenciamento de patches e atualizações de segurança, logs de eventos, controles de inventário, monitoramento de hardware, etc.
Camada 6: Segurança Aplicação
Tem como objetivo manter os aplicativos, os sistemas de informação e demais outros softwares (dos mais variados tipos e aplicabilidades) mais seguros e protegidos contra falhas sistêmicas, operacionais e ameaças virtuais.
Como exemplos de mecanismos e ferramentas de proteção para essa camada, podemos elencar o gateway de aplicação (Proxy), sistemas de gerenciamento de identidade e acessos (IAM) a aplicativos e demais softwares e recursos computacionais, sistemas de filtragem de conteúdo, ACLs (regras) de liberação de acesso, além de sistemas de monitoramento de serviços, de updates de patchs de correção de bugs e falhas do tipo 0-day, entre outros.
Camada 7: Segurança Dados
É a camada mais profunda e mais valiosa dos ativos de TI, tem como objetivo proteger os dados que estão armazenados nos sistemas de gerenciamento de banco de dados, bem como o seu processamento, transmissão e descarte.
Essa camada é a mais importante na Estratégia de Segurança da Informação para LGPD, pois através das ferramentas e controles existentes nessa camada é possível ampliar de forma significativa a segurança e reduzir os riscos de vazamento de dados. Vazamento de dados é o maior problema dentro da LGPD, e pode gerar multas de 2% do faturamento anual da empresa para cada incidente, limitado a 50 milhões por multa.
Nessa camada são utilizados recursos como a Criptografia, presente no Windows 10 PRO com o Criptlocker, também são usados recursos de redundância de discos chamados RAID, assim como o Gerenciamento de Identidades e Acessos (IAM) e o DLP (Data Loss Prevention, ou Prevenção contra Perda de Dados em Português). Além desses recursos, existem outros importantes como Fail over, backups de dados, verificações de integridade de dados, classificação de dados, Data Wiping e Cleansing, entre outras soluções.
Conclusão
Conforme exposto, é de extrema importância que o negócio tenha a visão ampliada sobre todas as camadas e ferramentas existentes para criar a sua estratégia da segurança da informação tomando por base a criticidade da segurança para seu negócio, os dados que possui, as ferramentas disponíveis e riscos envolvidos.
Não existe uma receita de bolo para elaborar a estratégia de segurança adequada, mas é de extrema importância que todas as camadas apresentadas anteriormente sejam avaliadas para a definição da estratégia para cada negócio.
Os controles existentes no anexo A da ISO 27001 ajudarão bastante na implantação da LGPD, assunto que abordarei no próximo post sobre o assunto.
Conte conosco
A Rastek Soluções atua há 12 anos no mercado gaúcho de Transformação Digital e Gestão de TI para Empresas. Com uma equipe altamente capacitada e qualificada, contamos com todos os recursos, conhecimento e expertise necessárias para atuarmos junto às empresas para a adequação e implementação da LGPD. Caso você tenha interesse em saber mais, preencha o formulário abaixo e aguarde o contato de nossa equipe!
Deixe um comentário