Skip to content

Segurança em Profundidade: Um firewall não é suficiente

Conheça a estratégia de Segurança em Profundidade e entenda porquê, além de mapear, você precisa assegurar cada camada de dados para adequar sua empresa à LGPD. E isso requer muito mais do que apenas um firewall!

Introdução

Um equívoco comum entre aqueles profissionais que não trabalham diariamente com segurança cibernética é que uma única tecnologia ou uma única estratégia pode tornar uma organização “segura”.

IIsso, claro, não é verdade. Uma das estratégias mais efetivas e usadas pelo mercado é o que chamamos de Segurança em Profundidade, que busca criar controles para cada tipo de informação. O objetivo final é aplicar múltiplos mecanismos de proteção e, quando um deles falhar, acionar uma outra solução que entrará em ação para compensar na segurança.

 

DevSecOps: Baixe agora a Avaliação e descubra seu nível de maturidade. Conheça os próximos passos para implantar segurança em escala em sua aplicação e infra cloud-native.

 

Múltiplas Camadas de Ataque requerem Múltiplas Camadas de Segurança

Um firewall sozinho não é suficiente para lidar com tantas ameaças novas, pois ele é um mecanismo que assegura apenas a rede, que é somente uma das camadas por onde os dados da sua empresa fluem.

Imagine o seguinte cenário: sua empresa decide construir uma nova sede e cerca toda a propriedade, colocando um único ponto de entrada e saída, que é controlado por um guarda patrimonial, dentro de uma guarita. Ainda há a possibilidade de alguém forçar a entrada ou se passear por um funcionário, mas os riscos são menores.

 

Agora, os sócios decidem começar a receber pedidos de seus clientes e para isso abrem um galpão nos fundos, onde os produtos são recebidos dos fornecedores e retirados pelos clientes. A guarita fica dedicada aos funcionários que entram na sede administrativa. Com isso, foi aberta uma brecha em seu perímetro e sua empresa já não está tão mais segura.

 

Quando você coloca um novo sistema em operação, você também precisa se preocupar com seus respectivos mecanismos de controle.

 

Este galpão é sua aplicação, seu CRM ou ERP, hospedada dentro de sua rede, mas sem um novo mecanismo de proteção. Assim como no mundo real você colocaria um novo guarda e câmeras de vigilância, quando você coloca um novo sistema em operação, você também precisa se preocupar com seus resṕectivos mecanismos de controle. Neste caso, um Web Application Firewall, por exemplo.

Conheça abaixo as principais camadas da Segurança da Informação:

 

1. A Camada Humana

Humanos são o elo mais fraco em qualquer estratégia de segurança, o que força executivos de segurança da informação a dedicarem especial atenção a eles, através de campanhas constantes de conscientização sobre riscos digitais. Outros controles de segurança para esta camada inclui simulações de ataques e tentativas de obtenção de dados, através de engenharia social.

 

2. A Camada de Perímetro

Diz respeito a todos os perímetros e equipamentos físicos da empresa, como o sistema de câmeras, alarmes, sensores, guardas, catracas, biometria e outros tipos de pontos de acesso aos dispositivos da empresa.

 

3. A Camada de Rede

Esta é a camada que previne ameaças que miram as conexões de rede e entre computadores e dispositivos Nesta camada são recomendadas soluções de firewall completas com prevenção e detecção de intrusões (IPS e IDS), soluções de VPN para privatizar a conexão, além de gerenciamento e monitoramento unificado de ameaças.

 

4. A Camada de Dispositivos (Endpoint)

Neste nível encontram-se todos os dispositivos conectados à rede da empresa ou que sejam usados para o armazenamento e processamento de dados. Isso inclui computadores e celulares, por exemplo. É necessário localizar e eliminar ameaças como arquivos maliciosos, tendo como recomendação a criptografia de dados sensíveis, uso de um antivírus confiável, backups e atualizações de segurança nos sistemas.

 

5. A Camada de Aplicações

Aqui estão os controles das aplicações de negócio usadas pela empresa. Esses softwares precisam ser constantemente testados para averiguar se há falhas que podem comprometer os dados e operações da empresa, além de testar a confiabilidade dos serviços. Recomenda-se o uso de firewalls de aplicação, scans de segurança código e testes de penetração da aplicação.

 

6. A Camada de Dados

A segurança de dados protege o armazenamento e a transferência dos dados. Por isso, é preciso que as empresas revisem seus usuários com permissão de acesso, cuidando para que dados valiosos não sejam acessados indevidamente, seja por engano ou seja por malícia. Para evitar o roubo ou vazamento dos dados é preciso atentar-se às boas práticas, como a autenticação de múltiplos fatores, senhas fortes, criptografia dos dados e gerenciamento da identidade dos usuários.

 

7. A Camada de Missão Crítica

Estes são os dados mais críticos, o Ouro Digital da sua empresa, e que se perdido, pode levar a grandes impactos financeiros ou a falência da empresa. É necessário criar políticas de alta disponibilidade e backup, além de restringir acessos a apenas a alta direção.

 

Conclusão

A estratégia de Segurança em Profundidade reduz a superfície de ataque e as ameaças cibernéticas. Associada a políticas claras de cibersegurança e gerenciada por um time dedicado e qualificado, é possível reduzir os riscos digitais aos quais a sua empresa está exposta.

Sabemos que a gestão de Tecnologia, e em particular da Segurança da Informação, pode sobrecarregar o dia a dia dos executivos, que precisam forcar-se em sua operação. Por isso, a missão da SPIRITSEC é ajudá-lo a compreender, de forma fácil e estruturada, quais devem ser seus focos de atenção.

Assim, vamos juntos garantir a proteção dos dados de sua empresa e a continuidade de seus negócios, reduzindo a possibilidade de prejuízos financeiros. Quer saber mais sobre o assunto? Entre em contato conosco para rever a segurança da sua empresa!

Related Posts