(463) Security Controls - CompTIA Security+ SY0-701 - 1.1

Segurança em TI

Importância de preparar-se para uma variedade de riscos de segurança

• As organizações enfrentam uma ampla gama de riscos de segurança em tecnologia da informação, que podem comprometer não só os dados armazenados, mas também a integridade dos sistemas, a segurança física dos locais e o bem-estar dos funcionários. Esses riscos podem surgir de diversas fontes, incluindo ataques cibernéticos, falhas internas, desastres naturais e erros humanos.

Ataques e seus Alvos

• Os ataques podem visar não apenas dados sensíveis, como informações pessoais e financeiras, mas também sistemas físicos, como equipamentos de TI, e até mesmo a segurança das pessoas que operam dentro das organizações. Além disso, um ataque bem-sucedido pode comprometer toda a organização, resultando em danos financeiros, perda de reputação e consequências legais.

Categorias de Controles de Segurança

1. Controles Técnicos

• Implementados através de sistemas técnicos, estes controles são fundamentais para proteger a infraestrutura de TI.

• Exemplos: Firewalls que controlam o tráfego de rede e antivírus que protegem contra malwares.

• Prática recomendada: Configuração de políticas robustas em sistemas operacionais para garantir a máxima segurança dos dados.

2. Controles Gerenciais

• Estes controles envolvem a criação de políticas e procedimentos para a gestão eficaz de computadores, dados e sistemas.

• Documentação: A documentação oficial de segurança é essencial, assim como a elaboração de procedimentos operacionais padrão (POPs) que todos os funcionários devem seguir.

3. Controles Operacionais

• Focados na implementação de práticas que envolvem o pessoal da organização, esses controles são críticos para a cultura de segurança.

• Exemplos: Segurança nas instalações, incluindo o controle de acesso físico e treinamentos mensais para conscientização sobre segurança da informação.

4. Controles Físicos

• Esses controles visam limitar o acesso físico a locais ou dispositivos importantes, prevenindo acessos não autorizados.

• Exemplos: Guard shacks, cercas, fechaduras e sistemas de leitor de crachás que garantem a segurança das instalações.

Tipos de Controles

1. Controle Preventivo

• Tem como objetivo limitar o acesso a recursos críticos, evitando incidentes antes que eles ocorram.

• Exemplos: Regras de firewall rígidas e identificação na entrada das instalações.

2. Controle Disuasivo

• Embora não impeça diretamente o acesso, esses controles desencorajam atividades maliciosas.

• Exemplos: Telas de segurança em aplicativos, recepção com monitoramento e sinais avisando sobre as consequências de ações mal-intencionadas.

3. Controle Detectivo

• São medidas que identificam e alertam sobre brechas de segurança, permitindo uma resposta rápida a eventos de segurança.

• Exemplos: Revisão regular de logs de sistema, patrulhamento físico e uso de detectores de movimento para monitoramento contínuo.

4. Controle Corretivo

• Estes controles são acionados após a detecção de um evento de segurança, visando corrigir a situação impactada.

• Exemplos: Restaurar informações a partir de backups, notificar autoridades competentes e utilizar extintores de incêndio em casos de emergência.

5. Controle Compensatório

• Implementados temporariamente para controlar um incidente de segurança até que uma solução permanente seja estabelecida.

• Exemplos: Aplicar regras de firewall temporárias, estabelecer separação de funções e utilizar geradores em casos de falta de energia.

6. Controle Direitivo

• Esses controles são considerados fracos devido à sua dependência da ação do usuário.

• Exemplos: Políticas de armazenamento seguro de dados sensíveis, treinamentos de compliance obrigatórios e sinalização visível de "somente pessoal autorizado" em áreas restritas.

Considerações Finais

• Os exemplos e categorias de controles de segurança podem variar conforme as tecnologias e processos de segurança evoluem, sendo crucial que as organizações se mantenham atualizadas sobre as melhores práticas.

• A importância de adaptar os controles às diferentes organizações e suas necessidades específicas não pode ser subestimada, uma vez que cada organização enfrenta um conjunto único de riscos e desafios.