Controles de segurança de dados

Video: Segurança de Dados e Informações: Aula 4 - Criptografia

ativos sensíveis, incluindo dados, devem ser protegidos adequadamente durante todo seu ciclo de vida. Como um profissional de segurança, que é o seu trabalho. gerenciamento do ciclo de vida da informação (ILM) abrange dados através dos seguintes cinco etapas:

  • Criação. Dados é criado por um utilizador final ou aplicação. Os dados precisam ser classificados neste momento, com base na criticidade e sensibilidade dos dados, e um dono de dados (geralmente, mas nem sempre, o criador) precisa ser atribuído. Os dados podem existir em várias formas, tais como documentos, planilhas, mensagens de e-mail e de texto, registros de dados, formulários, imagens, apresentações (incluindo videoconferências), e documentos impressos.
  • Distribuição ( “dados em movimento”). Os dados podem ser distribuídos (ou recuperado) internamente dentro de uma organização ou transmitidos aos recipientes externos. A distribuição pode ser manual (tal como através de correio) ou electrónico (tipicamente através de uma rede). Dados em trânsito é vulnerável a comprometer, salvaguardas de modo adequado deve ser implementado com base na classificação dos dados. Por exemplo, a criptografia pode ser obrigado a enviar certos dados sensíveis através de uma rede pública. Nesses casos, devem ser estabelecidos padrões de criptografia apropriados. tecnologias de prevenção de perda de dados (DLP) também pode ser usado para evitar a distribuição não autorizada acidental ou intencional de dados sensíveis.
  • Use ( “dados em uso”). Esta fase refere-se a dados que foi acedida por um utilizador final ou aplicação e está a ser activamente utilizados (por exemplo, lidos, analisados, modificados, actualizados, ou duplicadas) por esse utilizador ou aplicação. Dados em uso deve ser acessado somente em sistemas que estejam autorizados para o nível de classificação dos dados e somente por usuários e aplicações que têm permissões apropriadas (depuração) e finalidade (necessidade-a-sei).
  • Manutenção ( “dados em repouso”). Qualquer tempo entre a criação e disposição de dados que não é “em movimento” ou “em uso”, os dados são mantidos “em repouso”. A manutenção inclui o armazenamento (em mídias como um disco rígido, pen drive USB removível, fita magnética backup, ou papel) e arquivamento (por exemplo, em uma estrutura de diretórios e arquivos) de dados. Os dados também podem ser apoiados, e a mídia de backup transportadas para um local seguro fora do local (referido como “dados em trânsito”). níveis de classificação de dados também deve ser rotineiramente analisados ​​(normalmente pelo proprietário dos dados) para determinar se um nível de classificação precisa ser atualizado (não comum) ou pode ser rebaixado. salvaguardas apropriadas devem ser implementados e regularmente auditadas para garantir
  • Confidencialidade (e privacidade). Por exemplo, usando o sistema, diretório e permissões de arquivos e criptografia.
  • Integridade. Por exemplo, utilizando linhas de base, guisados ​​criptográficas, cheques de redundância cíclica (CRCs), e de bloqueio de arquivo (ou para evitar a alteração de controlo de dados por múltiplos utilizadores em simultâneo).
  • Disponibilidade. Por exemplo, usando banco de dados e clustering de arquivo (para eliminar pontos únicos de falha), backups e replicação em tempo real (para evitar a perda de dados).
  • Disposição. Finalmente, quando os dados já não tem qualquer valor ou não é mais útil para a organização, ela precisa ser devidamente destruídas em conformidade com as políticas de retenção e destruição de empresas, bem como quaisquer leis e regulamentos aplicáveis. Certos dados sensíveis podem necessitar de uma determinação disposição final pelo proprietário dos dados, e podem requerer procedimentos de destruição específicos (tais como testemunhas, registro e um magnético toalhete seguido por destruição física).
  • Os dados que foram simplesmente apagados não foi adequadamente destruído. É meramente “dados em repouso” à espera de ser sobre-escrito - ou inconvenientemente descoberto por um terceiro não autorizado e potencialmente malicioso!

    remanence dados referem-se a dados que ainda existe em suportes de armazenamento ou na memória após os dados terem sido “excluído”.

    As linhas de base

    Estabelecer uma linha de base é um método de negócio padrão usado para comparar uma organização para um ponto de partida ou padrão mínimo, ou para comparar o progresso dentro de uma organização ao longo do tempo. Com controles de segurança, estes métodos fornecem informações valiosas:

    • Comparando com outras organizações. As organizações podem comparar os seus conjuntos de controle com outras organizações, para ver quais as diferenças existentes nos controles.
    • Comparando os controles internos ao longo do tempo. Uma organização pode basal seu conjunto de controles, para ver o que mudanças ocorrem em seu controle definido durante um período de anos.
    • Comparando a eficácia de controle ao longo do tempo. Uma organização pode comparar seu recorde de eficácia de controle, para ver onde o progresso está sendo feito, e onde são necessários mais esforços para fazer progressos.

    Escopo e adequando

    Porque as diferentes partes de uma organização e sua loja de sistemas de TI subjacente e processar diferentes conjuntos de dados, não faz sentido para uma organização para estabelecer um único conjunto de controles e impor-lhes a todos os sistemas. Como um programa de classificação de dados simplificada e sua superproteção resultante e underprotection de dados, as organizações geralmente se dividem em zonas lógicas e especifique que controla e conjuntos de controles são aplicados para estas zonas.



    Outra abordagem é adaptar controles e conjuntos de controles para diferentes sistemas de TI e partes da organização. Por exemplo, controles sobre a força da senha pode ter categorias que são aplicadas a sistemas com diferentes níveis de segurança.

    Ambas as abordagens para a aplicação de um ambiente de controle complexo em um ambiente de TI complexo são válidos - eles são realmente apenas maneiras diferentes de alcançar o mesmo objetivo: aplicando o nível certo de controle para vários sistemas e ambientes, com base nas informações que eles armazenam e processo ou em outros critérios.

    selecção normas

    Vários excelentes estruturas de controle estão disponíveis para uso dos profissionais de segurança. Em nenhuma circunstância é necessário começar do zero. Em vez disso, a melhor abordagem é começar com uma das várias estruturas de controle da indústria líder, e, em seguida, adicionar ou remover controles individuais para atender às necessidades da organização.

    normas quadro de controlo incluem

    • ISO27002, Código de prática para a gestão da segurança da informação.
    • COBIT, Objetivos de Controle para Informações e Tecnologia Relacionada.
    • NIST 800-53, Controles de segurança recomendadas para sistemas e organizações federais de informação.

    Video: Video Aula Baixando, Instalando e Usando o RP Controle de Fiados 1.0

    Cryptography

    Crypto desempenha um papel crítico na proteção de dados, se estamos falando de dados em movimento através de uma rede, ou em repouso em um servidor ou estação de trabalho. A criptografia é tudo sobre esconder dados à vista de todos, porque há situações em que as pessoas podem ser capazes de acessar cripto data- sensível nega as pessoas que acessam a menos que estejam na posse de uma chave de criptografia eo método para descriptografar ele.


    Publicações relacionadas