Wondershare EdrawMind
Galeria de mapas mentais Engenheiro de Governança de Dados DAMA-CDGA-7.
- 3
Engenheiro de Governança de Dados DAMA-CDGA-7.
A gestão da segurança de dados refere-se ao apoio ao acesso adequado e à prevenção do acesso inadequado aos ativos de dados corporativos, apoiando a conformidade com sistemas e regulamentos de privacidade, proteção e confidencialidade e garantindo que os requisitos de privacidade e confidencialidade das partes interessadas sejam cumpridos.
Editado em 2024-03-05 20:23:35
- Microbiologia medica Infezione batterica e immunità
Microbiologia medica, Infezioni batteriche e immunità riassume e organizza i punti di conoscenza per aiutare gli studenti a comprendere e ricordare. Studia in modo più efficiente!
- teoria cinetica dei gas
La teoria cinetica dei gas rivela la natura microscopica dei fenomeni termici macroscopici e le leggi dei gas trovando la relazione tra quantità macroscopiche e quantità microscopiche. Dal punto di vista del movimento molecolare, vengono utilizzati metodi statistici per studiare le proprietà macroscopiche e modificare i modelli di movimento termico delle molecole di gas.
- Breve História do Tempo
Este é um mapa mental sobre uma breve história do tempo. "Uma Breve História do Tempo" é um trabalho científico popular com influência de longo alcance. Ele não apenas introduz os conceitos básicos da cosmologia e da relatividade, mas também discute os buracos negros e a expansão. Do universo. questões científicas de ponta, como inflação e teoria das cordas.
Engenheiro de Governança de Dados DAMA-CDGA-7.
- Microbiologia medica Infezione batterica e immunità
Microbiologia medica, Infezioni batteriche e immunità riassume e organizza i punti di conoscenza per aiutare gli studenti a comprendere e ricordare. Studia in modo più efficiente!
- teoria cinetica dei gas
La teoria cinetica dei gas rivela la natura microscopica dei fenomeni termici macroscopici e le leggi dei gas trovando la relazione tra quantità macroscopiche e quantità microscopiche. Dal punto di vista del movimento molecolare, vengono utilizzati metodi statistici per studiare le proprietà macroscopiche e modificare i modelli di movimento termico delle molecole di gas.
- Breve História do Tempo
Este é um mapa mental sobre uma breve história do tempo. "Uma Breve História do Tempo" é um trabalho científico popular com influência de longo alcance. Ele não apenas introduz os conceitos básicos da cosmologia e da relatividade, mas também discute os buracos negros e a expansão. Do universo. questões científicas de ponta, como inflação e teoria das cordas.
- Recomendado para você
- Descrição
Engenheiro de governança de dados DAMA-CDGA-16. Organização de gerenciamento de dados e expectativas de função.
- 3
7. Segurança de dados
introdução
Fonte dos requisitos de segurança
Partes interessadas
regulamentos governamentais
Foco específico no negócio
Toda organização possui dados proprietários que precisam ser protegidos
Requisitos de acesso legítimos
Os processos de negócios exigem que pessoas com funções diferentes acessem, usem e mantenham dados diferentes
Obrigações contratuais
impulsionadores de negócios
reduzir o risco
A segurança dos dados é melhor realizada no nível empresarial
Sem um esforço colaborativo, as unidades de negócio procuram individualmente soluções para as suas necessidades de segurança, resultando num aumento dos custos globais, ao mesmo tempo que reduzem potencialmente a segurança devido a medidas de protecção inconsistentes.
Arquiteturas ou processos de segurança ineficazes podem fazer com que as organizações incorram em custos de violação e reduzam a produtividade
Comece classificando os dados da sua organização para identificar o que precisa ser protegido
processo
1. Identifique e classifique ativos de dados confidenciais
Existem alguns ativos de dados e dados confidenciais que precisam ser classificados e classificados de acordo com o setor e o tipo de organização a que pertencem.
2. Encontre dados confidenciais na empresa
Dependendo de onde os dados são armazenados, seus requisitos de segurança podem ser diferentes
Uma grande quantidade de informações confidenciais é armazenada em um único local, criando um risco extremamente alto se esse local for comprometido
3. Determine formas de proteger cada ativo
Implementar medidas de segurança direcionadas com base no conteúdo dos dados e no tipo de tecnologia
4. Como identificar a interação entre informações e processos de negócios
Os processos de negócios precisam ser analisados para determinar em que condições esses acessos são permitidos
Além de classificar e classificar os dados em si, as ameaças externas e os riscos internos também precisam ser avaliados.
Promova o crescimento dos negócios
A forte segurança da informação impulsiona as transações e aumenta a confiança do cliente
Segurança como um ativo
Metadados são uma forma de gerenciar dados confidenciais
A classificação das informações e a sensibilidade da conformidade podem ser marcadas nos níveis dos elementos de dados e da coleta
Aproveite a tecnologia de marcação de dados para permitir que os metadados fluam com informações em toda a empresa
objetivos e princípios
Alvo
Apoie o acesso apropriado e evite o acesso inadequado aos ativos de dados corporativos
Apoiar a conformidade com sistemas e regulamentos de privacidade, proteção e confidencialidade
Garantir que os requisitos de privacidade e confidencialidade das partes interessadas sejam atendidos
em princípio
Colaboração
A segurança de dados é um esforço colaborativo que envolve TI, especialistas em gerenciamento de dados, auditoria interna e externa, departamentos jurídicos e outros.
Planejamento empresarial
A consistência organizacional deve ser garantida ao aplicar padrões e políticas de segurança de dados
Gestão ativa
Responsabilidades claras
Defina claramente funções e responsabilidades
Orientado por metadados
A classificação e classificação de segurança de dados são uma parte importante da definição de dados
Reduzir a exposição para reduzir o risco
Minimize a proliferação de dados sensíveis e confidenciais, especialmente em ambientes que não sejam de produção
conceito básico
vulnerabilidade
Fraquezas e falhas em um sistema que são vulneráveis a ataques, essencialmente brechas nas defesas de uma organização
Certas vulnerabilidades são chamadas de exposições a vulnerabilidades
Por exemplo, computadores em rede com patches de segurança desatualizados, páginas da Web que não são protegidas por senhas confiáveis, usuários que recebem anexos de e-mail de remetentes desconhecidos, software da empresa que não é protegido por ordens técnicas
ameaçar
é uma ação ofensiva potencial que pode ser tomada contra uma organização
As ameaças incluem anexos de e-mail infectados por vírus enviados para uma organização, processos que sobrecarregam os servidores de rede a ponto de não conseguirem realizar negócios e exploração de vulnerabilidades conhecidas.
Pode ser interno ou externo
risco
Refere-se tanto à possibilidade de perda quanto às coisas ou condições que constituem perda potencial.
Os riscos podem ser calculados a partir dos seguintes aspectos:
A probabilidade de ocorrência de uma ameaça e sua provável frequência
O tipo e a escala dos danos que cada incidente de ameaça pode causar, incluindo danos à reputação
Impacto da redução ao valor recuperável na receita ou nas operações comerciais
Custos de reparo após a ocorrência de danos
Custo de prevenção de ameaças, incluindo correção de vulnerabilidades
Possíveis objetivos ou intenções do atacante
Os riscos podem ser priorizados por nível potencial de dano ou probabilidade de ocorrência
Classificação de risco
Descreve a sensibilidade dos dados e o potencial de acesso aos dados para fins maliciosos
A classificação é usada para determinar quem pode acessar os dados
A classificação de segurança mais alta entre todos os dados dentro dos direitos de um usuário determina o risco geral de segurança
incluir
principais dados de risco
Como as informações pessoais têm um alto valor financeiro direto, tanto as partes internas quanto as externas podem fazer grandes esforços para buscar o uso não autorizado dessas informações.
O uso indevido de dados críticos de risco não prejudica apenas os indivíduos, mas também pode resultar em penalidades significativas para as empresas e no aumento da retenção de clientes. O custo dos funcionários e danos à marca e reputação da empresa, causando riscos financeiros para a empresa
Alto risco de dados
Dados de alto risco proporcionam às empresas uma vantagem competitiva, têm potencial valor financeiro direto e são frequentemente procurados ativamente para uso não autorizado
Se o alto risco for mal utilizado, a empresa poderá sofrer perdas financeiras como resultado
Dados de risco médio
Informações não públicas da empresa que têm pouco valor prático e cujo uso não autorizado pode ter um impacto negativo na empresa
organização de segurança de dados
As grandes empresas costumam ter um diretor de segurança da informação (CISO) que se reporta ao CIO ou CEO.
processo de segurança
4A
AutorizaçãoAutorização
Conceda aos indivíduos acesso a visualizações específicas de dados apropriadas à sua função
Após obter a permissão, o sistema de controle de acesso verifica a validade do token de autorização sempre que o usuário faz login
Tecnicamente, trata-se de uma entrada em um campo de dados no Active Directory da empresa, indicando que esta pessoa está autorizada a acessar os dados
PermissãoEntitlement
É a soma de todos os elementos de dados expostos ao usuário por uma única decisão de autorização de acesso
AcessoAcesso
Fornecer às pessoas autorizadas acesso oportuno ao sistema
Verificar autenticação
Verifique os direitos de acesso do usuário
Quando um usuário tenta fazer login no sistema, o sistema precisa verificar se a identidade da pessoa é verdadeira
Além das senhas, métodos de autenticação mais rigorosos incluem tokens de segurança, resposta a perguntas ou envio de impressões digitais
Durante o processo de autenticação, todas as transmissões devem ser criptografadas para evitar roubo de informações de autenticação
AuditoriaAuditoria
Revise as operações de segurança e as atividades dos usuários para garantir a conformidade com os regulamentos e as políticas e padrões da empresa
O monitoramento e a auditoria podem ser feitos de forma contínua ou periódica
As auditorias formais devem ser conduzidas por terceiros para serem consideradas válidas
Terceiros podem vir de dentro ou de fora da organização
monitor
Monitoramento ativo
Os sistemas que contêm informações confidenciais geralmente implementam monitoramento proativo e em tempo real para alertar os administradores de segurança sobre atividades suspeitas ou acesso inadequado.
é um mecanismo de detecção
monitoramento passivo
O monitoramento passivo rastreia as mudanças que ocorrem em tempo real, capturando instantâneos do sistema em intervalos regulares e comparando tendências com uma linha de base ou outros padrões.
O sistema envia um relatório ao administrador de dados ou administrador de segurança
É um mecanismo de avaliação
integridade de dados
É um requisito geral de status evitar ser afetado por adições/exclusões/modificações inadequadas.
criptografia
É o processo de conversão de texto simples em código complexo para ocultar informações privilegiadas, verificar a integridade de uma transmissão ou verificar a identidade do remetente
Os dados criptografados não podem ser lidos sem a chave ou algoritmo de descriptografia
As chaves ou algoritmos de descriptografia geralmente são armazenados separadamente e não podem ser calculados com base em outros elementos de dados no mesmo conjunto de dados.
Método de criptografia
Cerquilha
é converter qualquer comprimento em uma representação de dados de comprimento fixo
Mesmo que o algoritmo exato usado e a ordem de aplicação sejam conhecidos, os dados originais não podem ser descriptografados
MD5/SHA
Criptografia simétrica
Use uma chave para criptografar e descriptografar dados
Tanto o remetente quanto o destinatário devem ter a chave para ler os dados brutos
Criptografia padrão de dados DES, Triple DES 3DES, padrão avançado de criptografia AES, algoritmo internacional de criptografia de dados IDES
criptografia assimétrica
Remetente e destinatário usam chaves diferentes
O remetente usa uma chave pública disponível publicamente para criptografar e o destinatário usa uma chave privada para descriptografar e revelar os dados originais.
RSA, Diffie-Hell-man, PGP (aplicativo gratuito de criptografia de chave pública)
confusão e dessensibilização
A disponibilidade dos dados pode ser reduzida ofuscando (tornando-os embaçados e pouco claros) ou dessensibilizando (removendo, embaralhando ou alterando de outra forma a aparência dos dados) sem perder o significado dos dados ou sua relação com outros conjuntos de dados.
A ofuscação e dessensibilização de dados é um método de segurança para resolver o problema de uso de dados.
dessensibilização estática
A dessensibilização estática altera os dados de forma permanente e irreversível
Normalmente não usado em ambientes de produção, mas entre ambientes de produção e desenvolvimento (teste)
Dessensibilização sem pouso
A dessensibilização pronta para uso é usada quando a movimentação de dados entre uma origem (geralmente um ambiente de produção) e um ambiente de destino (geralmente um ambiente de não produção) requer dessensibilização ou ofuscação.
é capturar regularmente instantâneos do sistema por meio do sistema e comparar tendências com linhas de base ou outros padrões para comparar e acompanhar as mudanças ao longo do tempo.
Como nenhum arquivo intermediário ou banco de dados com dados não sensibilizados será deixado para trás, o método de dessensibilização pronto para uso é muito seguro.
Se alguns dados encontrarem problemas durante o processo de dessensibilização, o processo de dessensibilização poderá ser executado novamente.
dessensibilização de piso
Quando a fonte e o destino dos dados são iguais, a dessensibilização do piso pode ser usada
Leia os dados desmascarados da fonte de dados e substitua os dados originais diretamente após realizar a operação de mascaramento.
Existe o risco de que, se o processo de dessensibilização falhar, seja difícil restaurar os dados para um formato utilizável
dessensibilização dinâmica
Está alterando a aparência dos dados para o usuário final ou sistema sem alterar os dados subjacentes
Número 123456789, exibe ******789 ao ligar
Método de dessensibilização
substituir
embaralhar
variação espaçotemporal
variação numérica
Cancelar ou excluir
seleção aleatória
Tecnologia de criptografia
dessensibilização de expressão
Dessensibilização de valor-chave
Terminologia de segurança cibernética
porta dos fundos
Refere-se a uma entrada oculta ignorada em um sistema de computador ou aplicativo
Ele permite que usuários não autorizados obtenham acesso contornando restrições como senhas
Backdoors são geralmente criados por desenvolvedores com o propósito de manter o sistema, outros incluem backdoors criados por criadores de pacotes de software comerciais
Ao instalar qualquer sistema de software ou pacote web, a senha padrão permanece inalterada. Este é um backdoor. Os hackers descobrirão sua existência mais cedo ou mais tarde, portanto, qualquer backdoor é um risco à segurança.
robô ou zumbi
Refere-se a uma estação de trabalho que foi controlada por hackers mal-intencionados usando cavalos de Tróia, vírus, phishing ou download de arquivos infectados.
Controle remotamente robôs para realizar tarefas maliciosas
Spam, bloqueio de rede, hospedagem de sites fraudulentos
Biscoitos
É um pequeno arquivo de dados que um site instala no disco rígido do seu computador para identificar clientes regulares e analisar seus hobbies.
Às vezes explorado por spyware, causando problemas de privacidade
firewall
É um software/hardware que filtra o tráfego de rede para proteger um único computador ou uma rede inteira contra acesso não autorizado e tentativas de ataques ao sistema
As comunicações recebidas ou enviadas podem ser verificadas em busca de informações restritas ou regulamentadas, para evitar passagem não autorizada e para restringir o acesso a sites externos específicos
mundo
Refere-se à fronteira entre o ambiente organizacional e os sistemas externos
Firewall implantado entre interno e externo
DMZ
Zona desmilitarizada refere-se à borda ou área periférica de uma organização
Tenha um firewall entre a DMZ e a organização
conta de superusuário
É uma conta com acesso de administrador do sistema ou superusuário, usada apenas em emergências
Registrador de teclas
é um software de ataque que registra todas as teclas digitadas no teclado e as envia para a Internet
Teste de penetração
Hackers “white hat”, da própria organização ou contratados por empresas de segurança externas, tentam invadir o sistema de fora, como hackers mal-intencionados, tentando identificar vulnerabilidades do sistema.
As vulnerabilidades descobertas devem ser resolvidas antes do lançamento oficial do aplicativo
Realize testes de penetração em todos os softwares regularmente e instale patches de segurança
rede privada virtual
Uma VPN usa a Internet não segura para criar um caminho seguro, ou “túnel”, no ambiente de uma organização. O túnel é altamente criptografado.
As VPNs permitem a comunicação entre usuários e redes internas usando elementos de autenticação multifatorial para conectar-se ao firewall no perímetro do ambiente organizacional.
VPN criptografa todos os dados transmitidos
Tipo de segurança de dados
Visão geral
A segurança dos dados não se trata apenas de prevenir o acesso indevido, mas também do acesso legítimo aos dados
O acesso a dados confidenciais deve ser controlado através da concessão de permissões
Os usuários não têm permissão para visualizar dados ou realizar operações no sistema sem permissão
"Mínimo Privilégio" é um importante princípio de segurança
Permitir que um usuário, processo ou programa acesse apenas informações permitidas por sua finalidade legítima
Segurança das instalações
A primeira linha de defesa contra atores maliciosos
Deve ter pelo menos um data center com capacidade de bloqueio e acesso limitado a funcionários autorizados
Segurança do dispositivo
Política de acesso para usar conexões de dispositivos móveis
Armazene dados em dispositivos portáteis
Apagamento e descarte de dados do dispositivo de acordo com as políticas de gerenciamento de registros
Instalação de software antimalware e criptografia
Conscientização sobre vulnerabilidades de segurança
Segurança de credenciais
é usado ao atribuir acesso ao sistema a cada usuário
A maioria das credenciais é uma combinação de ID de usuário e senha
Sistema de gerenciamento de identidade
Tradicionalmente, os usuários têm contas e senhas diferentes para cada recurso, plataforma, sistema de aplicação ou estação de trabalho independente.
Este método exige que os usuários gerenciem vários conjuntos de contas e senhas
Organizações com diretórios de usuários corporativos podem estabelecer mecanismos de sincronização entre recursos heterogêneos para simplificar o gerenciamento de senhas de usuários
Neste caso, o usuário só precisa inserir sua senha uma vez e toda a autenticação e autorização subsequente é realizada referenciando o diretório do usuário corporativo
Um sistema de gerenciamento de identidade que implementa essa funcionalidade é chamado de "logon único" e é ideal do ponto de vista do usuário
Padrão de ID de usuário para sistemas de e-mail
O ID do usuário deve ser exclusivo
Padrões de senha
As senhas são a primeira linha de defesa para proteger seus dados
Requer níveis de senha suficientemente altos definidos em padrões de segurança, muitas vezes chamados de senhas "fortes"
Recomenda-se alterar as senhas periodicamente. A frequência específica das alterações depende da natureza do sistema, do tipo de dados e da sensibilidade da empresa.
Mas mudar as senhas com muita frequência também pode trazer riscos
Identificação de múltiplos fatores
Alguns sistemas requerem procedimentos de identificação adicionais
Inclui chamadas de retorno para o dispositivo móvel do usuário contendo código, uso de dispositivos de hardware necessários para login ou fatores biométricos, como impressões digitais, reconhecimento facial, varreduras de retina
A identificação de dois fatores torna mais difícil entrar em contas ou fazer login nos dispositivos dos usuários. Os usuários com acesso a informações altamente confidenciais devem usar a tecnologia de identificação de dois fatores para fazer login na rede.
Segurança das comunicações eletrónicas
Métodos de comunicação inseguros podem ser lidos ou interceptados por terceiros
As redes sociais também são consideradas um meio de comunicação seguro, incluindo blogs, portais, WIKIs, fóruns ou outras mídias sociais e não devem conter informações confidenciais ou restritas.
Restrições de segurança de dados
Nível de confidencialidade
fonte de solicitação
interno
Só pode haver um nível de confidencialidade para qualquer conjunto de dados: o nível é baseado no item de dados mais sensível (nível mais alto de confidencialidade) do conjunto de dados.
dados confidenciais
aberto ao público em geral
Apenas para uso interno
confidencial
segredo restrito
ultra secreto
requisitos regulamentares
fonte de solicitação
definição externa
A regulamentação é um aditivo de classe: um único conjunto de dados pode restringir os dados de acordo com múltiplas categorias regulatórias
dados regulatórios
Série de regulamentação
informação pessoalmente identificável
Informações financeiramente sensíveis
Informações médicas/de saúde pessoal
informação educacional
Regulamentos da indústria ou regulamentos contratuais
Padrão de segurança de dados da indústria de cartões de pagamento
Vantagem competitiva ou segredo comercial
Restrições contratuais
Riscos de segurança do sistema
abuso de privilégio
O princípio do menor privilégio deve ser usado ao conceder acesso aos dados
Execute usuários, processos e programas apenas para acessar informações permitidas por seus propósitos legítimos.
O risco é que, ao ter privilégios além dos exigidos para as responsabilidades do trabalho, um usuário possa abusar desses privilégios para fins maliciosos ou acidentalmente
Os usuários podem receber mais direitos de acesso do que deveriam
Falta de supervisão dos direitos do usuário, que é uma das razões pelas quais muitas regulamentações de dados especificam a segurança do gerenciamento de dados
abuso de privilégio legítimo
Um usuário pode abusar dos privilégios de banco de dados legalmente concedidos a ele para fins não autorizados
Por exemplo: um médico com tendências criminosas tem o direito de visualizar os casos dos seus pacientes através de uma aplicação WEB designada
Escalação não autorizada de privilégios
Os invasores podem explorar vulnerabilidades de software da plataforma de banco de dados para alterar os direitos de acesso de usuários comuns para direitos de administrador
Conta de serviço ou abuso de conta compartilhada
O uso de contas de serviço ou contas compartilhadas aumenta o risco de violações de dados e complica a capacidade de rastrear a origem de uma vulnerabilidade
Ataque de intrusão de plataforma
vulnerabilidade de injeção
Em um ataque de injeção SQL, um invasor insere uma instrução de banco de dados não autorizada em uma instrução SQL vulnerável
Essas instruções SQL injetadas são passadas para o banco de dados onde normalmente são executadas como comandos legítimos
Ao usar injeção SQL, o invasor tem acesso irrestrito a todo o banco de dados
senha padrão
Limpar senhas padrão é uma etapa de segurança importante durante cada implementação
Abuso de dados de backup
Hackeando
hacker de chapéu branco
Comprometido em modificar o sistema, descobrir vulnerabilidades e corrigi-las
hacker de chapéu preto
Danificar deliberadamente um sistema para causar danos
Ameaças de phishing/engenharia social
Phishing é o processo de enganar alguém para que, sem saber, forneça informações valiosas ou privacidade pessoal por meio de chamadas telefônicas, mensagens instantâneas ou e-mails.
software malicioso
Adware
É um tipo de spyware baixado da Internet para um computador
Monitore o uso do computador, como quais sites são visitados, e também pode inserir objetos e barras de ferramentas no navegador
Não é uma violação, mas é usado para coletar perfis completos dos hábitos de navegação e compra dos usuários e vendê-los a empresas de marketing
spyware
Qualquer programa de software que se infiltre em um computador e rastreie atividades online sem consentimento
Diferentes formas de spyware rastreiam diferentes tipos de atividades
Alguns programas monitoram as visitas a sites, enquanto outros registram as teclas digitadas pelo usuário e roubam informações pessoais.
cavalo de Tróia
Refere-se a programas maliciosos que entram nos sistemas de computador disfarçando ou incorporando software legítimo.
Uma vez instalado, um Trojan excluirá arquivos, acessará informações pessoais, instalará malware, reconfigurará o computador, instalará keyloggers e até permitirá que hackers usem o computador como arma (bot ou zumbi) contra outros computadores na rede.
Vírus
é um programa de computador que se anexa a um arquivo executável ou aplicativo vulnerável, causando resultados destrutivos
minhoca
Um programa que pode ser copiado e espalhado pela rede
Computadores infectados por worms enviarão continuamente mensagens de infecção
Consome principalmente muita largura de banda, causando interrupções na rede
Fontes de malware
mensagem instantânea
rede social
Spam
Atividade
Identifique as necessidades de segurança de dados
Necessidades de negócios
As necessidades de negócios, a missão, o tamanho estratégico e o setor da organização determinam o rigor da segurança de dados necessária.
Por exemplo: A indústria de títulos financeiros dos EUA é altamente regulamentada e grandes e pequenos retalhistas têm atividades principais semelhantes, mas escolhem diferentes tipos de títulos.
Identifique pontos de contato de segurança analisando regras e processos de negócios
requisitos regulamentares
Desenvolver sistema de segurança de dados
sistema
É uma declaração de um curso de ação escolhido e uma descrição de nível superior dos comportamentos esperados para atingir uma meta
Estratégia
Descreva o comportamento determinado
nível
Sistema de segurança empresarial
Sistema de segurança de TI
Sistema de segurança de dados
1. O sistema de segurança informática e o sistema de segurança de dados fazem parte da combinação do sistema de segurança; 2. É melhor distingui-los; 3. O sistema de segurança de dados é inerentemente mais granular e requer diferentes controles e processos para diferentes conteúdos;
Supervisor e manutenção
Especialista em gerenciamento de dados
revisão e aprovação
Comitê de Governança de Dados
Defina regras de segurança de dados
Visão geral
O sistema fornece regras de conduta, mas não consegue listar todas as contingências possíveis.
Os estatutos complementam o regime e fornecem detalhes adicionais sobre como a intenção do regime será cumprida
Defina níveis de confidencialidade de dados
Definir níveis de governança de dados
Definir funções de segurança
Os controles de acesso a dados podem ser gerenciados no nível do usuário individual ou no nível da organização, dependendo das suas necessidades. Ou seja, autorizar e atualizar permissões de acesso conta de usuário por conta de usuário requer muito trabalho redundante
Pequenas organizações podem achar aceitável gerenciar o acesso aos dados em um único nível
As grandes organizações beneficiarão enormemente do controlo de acesso baseado em funções, concedendo permissões a grupos de funções, concedendo assim permissões a cada membro do grupo
matriz de atribuição de funções
hierarquia de atribuição de função
Avalie os riscos de segurança atuais
Implementar controles e procedimentos
Atribuir nível de confidencialidade
Atribuir categoria regulatória
Gerencie e mantenha a segurança dos dados
Controle a disponibilidade de dados/segurança centrada em dados
Monitore a autenticação do usuário e o comportamento de acesso
Gerencie a conformidade do sistema de segurança
Gerencie a conformidade regulatória
Auditar atividades de segurança e conformidade de dados
ferramenta
Software antivírus/segurança
O software antivírus protege os computadores contra vírus online
Novos vírus e outros malwares aparecem todos os dias, por isso é importante atualizar seu software de segurança regularmente
HTTPS
Se o endereço da web começar com http://, significa que o site está equipado com uma camada de segurança criptografada
Os usuários devem fornecer uma senha ou outro meio de autenticação para acessar o site
Pagamentos online ou acesso a informações confidenciais são protegidos por esta criptografia
Sem criptografia, os usuários no mesmo segmento de rede podem ler mensagens de texto simples
Tecnologia de gerenciamento de identidade
Armazena credenciais atribuídas e as compartilha com o sistema mediante solicitação
A maioria dos aplicativos usa um armazenamento central de dados de credenciais, mas alguns aplicativos ainda gerenciam seus próprios armazenamentos de credenciais
Algumas empresas adotam e oferecem produtos de “segurança de senha” licenciados empresarialmente que criam um arquivo de senha criptografada no computador de cada usuário. Os usuários só precisam aprender uma senha longa para abrir o programa, e todas as senhas podem ser armazenadas com segurança em um arquivo criptografado. Um sistema de logon único pode servir ao mesmo propósito.
Tecnologia de detecção e prevenção de intrusões
IDS do sistema de detecção de intrusão
disparar alarme
Sistema de prevenção de intrusões IPS
resposta automática
firewall
Um firewall seguro e sofisticado deve ser implantado no gateway corporativo, com a capacidade de permitir transferência de dados em alta velocidade e, ao mesmo tempo, realizar análises detalhadas de dados
Para servidores web expostos à Internet, recomenda-se uma estrutura de firewall mais complexa, pois muitos ataques de hackers mal-intencionados podem explorar vulnerabilidades de bancos de dados e servidores web através de tráfego legítimo distorcido intencionalmente.
Rastreamento de metadados
Ferramentas que rastreiam metadados ajudam as organizações a rastrear a movimentação de dados confidenciais
Risco: os dados externos podem detectar dados internos dos metadados associados ao documento
Marcar informações confidenciais com metadados é a melhor maneira de garantir que seus dados estejam protegidos
Dessensibilização/criptografia de dados
método
Aplicar matriz CRUD
Matrizes de processos de dados e matrizes de funções de dados comuns e usadas (CRUD - Criar, Ler, Atualizar, Excluir) ajudam a mapear necessidades de acesso a dados e orientar definições de grupo de funções de segurança de dados, parâmetros e permissões
Implantação instantânea de patch de segurança
Atributos de segurança de dados em metadados
Os repositórios de metadados são essenciais para garantir a integridade e a consistência dos modelos de dados corporativos quando usados em processos de negócios
Requisitos de segurança nos requisitos do projeto
As questões de segurança de sistemas e dados devem ser abordadas para cada projeto que envolva dados, com requisitos de segurança de dados e aplicativos determinados detalhadamente durante a fase de análise
Identificar antecipadamente os requisitos de segurança ajuda a orientar o projeto e evitar modificações nos processos de segurança
Pesquisa eficiente de dados criptografados
A busca por dados criptografados obviamente inclui a necessidade de descriptografar os dados
Uma maneira de reduzir a quantidade de dados que precisam ser descriptografados é usar o mesmo método de criptografia para criptografar critérios de pesquisa (como strings) e depois usar o texto cifrado para encontrar correspondências.
Limpeza de arquivos
Refere-se ao processo de remoção de metadados de arquivos antes de serem compartilhados
Guia de implementação
Avaliação de Prontidão/Avaliação de Risco
Melhore a conformidade
treinamento
consistência institucional
Medindo os benefícios de segurança
Defina requisitos de segurança para fornecedores
Aumentar o senso de urgência
Comunicação contínua
Mudança organizacional e cultural
Visibilidade da autorização de dados do usuário
A autorização de dados de cada usuário (ou seja, a soma de todos os dados fornecidos por um único ponto de autorização) é revisada durante a implementação do sistema para determinar se alguma informação controlada está incluída
Segurança de dados no mundo da terceirização
Tudo é externo, exceto responsabilidade
Qualquer forma de terceirização aumenta o risco organizacional
As medidas e processos de segurança de dados devem tratar os riscos para fornecedores externos como riscos externos e internos
Transferir o controlo não significa transferir responsabilidades, mas requer mecanismos de gestão e controlo de riscos mais rigorosos.
A matriz Responsável, Aprovado, Consultado, Informado (RACI) ajuda a esclarecer as funções, a segregação de funções e as responsabilidades das diferentes funções, incluindo suas obrigações de segurança de dados
Segurança de dados em ambientes de nuvem
DaaS/SaaS/PaaS/XaaS
Na computação em nuvem, é especialmente importante compartilhar responsabilidades, definir governança de dados e definir propriedade e custódia
Governança de segurança de dados
Segurança de dados e arquitetura empresarial
Métricas
Indicadores de implementação de segurança
Indicadores de Conscientização sobre Segurança
Indicadores de proteção de dados
Indicadores de incidentes de segurança
Número de tentativas de invasão detectadas e bloqueadas
Retorno do investimento em economia de custos de segurança através da prevenção de invasões
Proliferação de dados confidenciais
O número de cópias de dados confidenciais deve ser medido para reduzir a proliferação
Quanto mais locais os dados confidenciais forem armazenados, maior será o risco de vazamento