Deloitte

Soluções de governança corporativa para seus desafios de negócios

GLOSSÁRIO DE CYBER SECURITY: conheça os principais termos

Diante do avanço tecnológico e do grande volume de informações que circulam na rede, torna-se cada vez mais necessário desenvolver mecanismos de segurança que garantam a proteção de dados. Assim, ganha força e relevância a área de Cyber Security.

Para poderem se preparar e responder rapidamente às novas ameaças cibernéticas, as organizações precisam de habilidades que não reflitam apenas o que acontece da porta para dentro, mas também entendam em profundidade as vulnerabilidades que afetam as empresas em geral – e seu setor de atuação em especial – obtendo informações de inteligência que sejam relevantes.

Navegue nas seções abaixo e conheça os principais termos de Cyber Security:

Monitoramento de Ameaças Cibernéticas

Brand Protection & Monitoring

Trata-se da estrutura de governança voltada a promover, proteger e preservar a marca e a reputação da empresa, por meio de uma área de segurança cibernética especializada, possibilitando que a organização tome decisões mais eficazes e assertivas, com uma visão precisa de futuro e com capacidades para facilitar o desenvolvimento de negócios digitais de forma segura.

A formalização de uma estrutura de governança de segurança cibernética é um passo importante para fortalecer as competências e a maturidade da organização nessa área, possibilitando que identifique, analise e possa estar preparada para os riscos que podem afetar seu negócio ou setor e prejudicar sua reputação, transformando possíveis ameaças em oportunidades.

SOC (Security Operations Center)

O SOC (Security Operations Center), ou Centro de Operações de Segurança, tem como objetivo centralizar todas as demandas de proteção aos dados de uma empresa, realizando o monitoramento de todos os ativos de TI e mantendo o ambiente seguro. Entre as atividades desenvolvidas por um SOC podemos destacar: prevenção, detecção, respostas rápidas e avaliação de vulnerabilidades.

O centro realiza o monitoramento de todas as atividades de rede, servidores, banco de dados, aplicativos, terminais, sites e quaisquer outros sistemas em uso na empresa. É responsável direto por proteger contra qualquer ameaça que possa surgir, verificando todos os incidentes, garantindo sua identificação, análise, defesa, investigação e relato detalhado.

A função SOC deve estar alinhada aos objetivos e necessidades de negócios da empresa. Deve oferecer monitoramento de rede 24 horas por dia, 7 dias por semana para garantir a detecção mais precoce possível de ameaças.

Malware (Códigos Maliciosos)

O termo tem sua origem na combinação de “malicioso” e “software”. Trata-se de um programa carregado de código malicioso, como vírus, worms, trojans, spyware etc., capaz de comprometer o funcionamento de um sistema, através da execução de uma função ou processo não autorizado.

No contexto atual de ameaças cibernéticas, as organizações devem contar com diferentes tecnologias destinadas a proteger suas informações e seus sistemas contra malwares ou códigos maliciosos. Pesquisa recente da Deloitte, "Tendências em Gestão de Riscos Cibernéticos e Segurança da Informação na América Latina e Caribe 2019", revela que, apesar de observar-se na América Latina e Caribe o uso de tecnologias adicionais ao tradicional antivírus, ainda existem oportunidades de melhoria nessa área de proteção crítica.

Whaling / Phishing

Os dois termos se referem a ataques na internet para a captura de dados.

Phishing é um dos ataques mais comuns e costuma atingir vários usuários ao mesmo tempo. Basta uma pessoa clicar em um link malicioso para ter dados pessoais roubados, como senhas de banco e, dependendo do tipo, até espalhar vírus e trojans à lista de contatos do celular ou redes sociais.

Já o Whaling (pesca de baleia) é um tipo de ataque que procura atingir “peixes grandes”: tem como alvo executivos, influenciadores e profissionais de alto nível.

MSS - Managed Security Services

O MSS (Managed Security Services) é um serviço gerenciado de monitoramento da segurança da informação oferecido às empresas.

Como as ameaças cibernéticas evoluem e se tornam mais complexas, muitas empresas reconhecem que não podem gerenciar este serviço sozinhas, e contam com prestadores especializados para garantirem um sistema de segurança bem mais efetivo e especializado.

Desta forma, gerencia-se o monitoramento, detecção, investigação, alertando e respondendo a ameaças cibernéticas, por meio de um conjunto completo de soluções de segurança cibernética para ajudar os clientes a priorizarem sua cobertura com base em riscos para seus clientes.

Gestão de vulnerabilidades

Tem como foco a proteção da informação e aplicação das tecnologias que dão suporte aos processos-chave do negócio, implantando controles adequados para as vulnerabilidades às quais a organização está sujeita. O fator humano ainda é imprescindível para a segurança da informação. Sua importância reside no fato de que ele é uma porta de entrada nas organizações por meio da qual muitos controles tecnológicos podem ser burlados.

A conscientização sobre a importância de sua função e seu compromisso com a informação continuam a ser a melhor medida para evitar vulnerabilidades.

Para permanecerem competitivas e alinhadas às tendências do mercado, as empresas estão buscando cada vez mais aprimorar a forma de tratar vulnerabilidades existentes em diversas dimensões do negócio, principalmente no que diz respeito aos riscos que podem comprometer sua imagem e reputação.

Pentesting / Teste de intrusão

Os testes de intrusão resolvem os problemas encontrados nos serviços de análise de vulnerabilidade, proporcionando uma visão mais precisa das deficiências de segurança tecnológica. Aqui, destacamos dois tipos:

Teste de intrusão blackbox: objetivo é encontrar cenários de intrusão que possam ser explorados por qualquer atacante. Todos os testes são realizados sem privilégios adicionais, acesso ou informação prévia:

  • Abrangem um conjunto mínimo de potenciais de intrusões.
  • Testam a eficácia dos sistemas de segurança implantados no ambiente.
  • Permitem avaliar o risco tecnológico do ambiente às vulnerabilidades que podem ser exploradas com mais frequência.

Teste de intrusão greybox: realiza a detecção com muitos cenários de intrusão. São utilizadas informações ou privilégios adicionais, a fim de aumentar a gama de cenários, tais como:

  • Contas de usuários e/ou administradores.
  • Regras de acesso em firewalls.
  • Informações sobre todos os sistemas da empresa.

Red team / Blue Team

Esses dois termos são utilizados para descrever equipes que usam suas habilidades para imitar as técnicas de ataques “inimigos” ou que utilizam suas habilidades para defesa. 

As equipes vermelhas estão focadas em testes de infiltração de diferentes sistemas e seus níveis de programas de segurança. Devem detectar, prevenir e eliminar vulnerabilidades, permitindo assim que as organizações amadureçam suas capacidades e sua segurança cibernética.

Uma equipe vermelha imita ataques do mundo real que podem atingir uma empresa e executam todas as etapas necessárias que os invasores usariam. 

A equipe azul também avalia a segurança da rede e identifica possíveis vulnerabilidades, mas, enquanto o time vermelho imita um atacante e ataca com táticas e técnicas características, a azul tem o papel de encontrar mecanismos de defesa, para tornar a resposta a incidentes muito mais forte.

A atividade da equipe azul não se restringe aos ataques. Eles estão continuamente envolvidos para fortalecer toda a infraestrutura de segurança digital, usando testes de intrusão, que fornecem análise contínua de atividades incomuns e suspeitas.

Governança, Controle e Inovação

Cyber Transformation

Termo reflete o momento atual, de transformação cibernética ou digital, marcado pela diversidade de tecnologias disruptivas que têm provocado mudanças significativas nos modelos de negócios em todo o mundo, como cloud computing, Internet das Coisas (IoT), Robots (bots), inteligência artificial etc.

Empresas de diferentes setores e portes têm sido obrigadas a reverem suas formas de atuação, sob o risco de ficarem fora do mercado. Essa realidade torna mais crítica a necessidade de os empreendedores estarem atentos à segurança cibernética. É necessário proteger a infraestrutura e os sistemas contra riscos crescentes de ataques e vazamento de dados. 

DevSecOps

O termo DevOps deriva da junção das palavras "desenvolvimento" e "operações". Trata-se de um conjunto de práticas que automatiza os processos entre desenvolvimento e equipes de operação para criar, testar e lançar softwares de maneira mais rápida e confiável.

Com o passar do tempo, incorporou-se ao termo o “Sec” (Security), que traz para o método o fator-chave segurança. Portanto, DevSecOps significa pensar na infraestrutura e segurança de aplicativos, desde o início do projeto.

Trabalhar em um modelo operacional DevSecOps inclui projetar fluxos de dados, desenvolvimento de padrões e mapeamento de tecnologias e processos para operações de segurança. Um programa DevSecOps requer melhoria contínua para alcançar a eficiência desejada. Os profissionais envolvidos devem estar em constante capacitação, visando fomentar a colaboração entre desenvolvedores, equipes de segurança e operações.

DLP – Data Loss Prevention

O DLP é um software de prevenção de perda de dados, que detecta e impede possíveis ameaças ou violações de dados, monitorando, analisando e bloqueando dados confidenciais quando necessário.

Representa um sistema utilizado para garantir que dados confidenciais não sejam acessados, perdidos, roubados, mal utilizados ou vazados na web por usuários não autorizados. Ele consiste em políticas de segurança que podem ser aplicadas com a ajuda de recursos e ferramentas de softwares específicos, reforçando o bloqueio contra invasores.

Geralmente, os recursos do software DLP classificam as informações que são confidenciais e as protegem de forma mais rigorosa, impedindo que os usuários finais acessem e compartilhem, de forma acidental ou maliciosa, os dados que possam colocar a organização em situação de risco e exposição livre na internet.

Proteção de Dados Pessoais

LGPD (Lei Geral de Proteção de Dados)

Inspirada na regulação europeia (General Data Protection Regulation – GDPR), a Lei Geral de Proteção de Dados (LGPD - Lei 13.709/18) estabelece regras sobre a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais gerenciados pelas organizações.

Sancionada em agosto de 2018, a lei estabelece às empresas um prazo de 18 meses para se adequarem às novas regras. Aquelas que violarem a nova lei estarão sujeitas à aplicação de multas, que podem chegar a 2% do faturamento da organização, com um limite de R$ 50 milhões por infração.

No dia 27/12/2018 foi publicada a Medida Provisória nº 869/2018, que criou a Autoridade Nacional de Proteção de Dados, bem como ampliou o prazo para adequação à LGPD, de fevereiro de 2020 para agosto de 2020. Essa MP foi convertida, em julho de 2019, na lei 13.853/19. 

Entre as ações coibidas pela LGPD, estão a coleta e o uso de dados pessoais sem consentimento, seja pela iniciativa privada ou pelo poder público, bem como a utilização de informações pessoais para a prática de discriminação ilícita ou abusiva.

DPO (Data Protection Officer)

O DPO é o principal responsável pela proteção de dados dentro de uma organização. Ele deve ser especialista em leis e práticas nacionais e internacionais de proteção de dados. Além disso, um DPO deve ter conhecimento amplo dos negócios, da organização e um entendimento suficiente das operações de processamento realizadas.

Funcionalmente, o DPO deve estar envolvido, de forma adequada e em tempo hábil, em todas as questões relacionadas à proteção de dados pessoais. Dentro dos limites de sigilo ou confidencialidade aplicáveis, cada DPO pode executar outras tarefas e deveres.

É o principal membro da governança de dados de uma organização, liderando e coordenando todos os atores relevantes para garantir a conformidade com os regulamentos de proteção de dados aplicáveis.

A rotina de um DPO envolve muitos desafios, principalmente em função do ambiente regulatório (GDPR na Europa e LGPD no Brasil, por exemplo), do volume de dados a gerenciar e da velocidade como as tecnologias se transformam. O DPO lida com uma ampla gama de tarefas e enfrenta ainda a falta de profissionais qualificados. As organizações devem garantir que o DPO receba um nível suficiente de autonomia para executar suas tarefas relacionadas à proteção de dados.

Data Discovery

Data discovery é a ação de coletar dados de múltiplas fontes e consolidá-los em um só lugar, fazendo com que as informações possam ser visualizadas, avaliadas e acessadas instantaneamente por grande número de pessoas, como os colaboradores de uma empresa, por exemplo.

Possibilita a consulta a todos os dados disponíveis, de todos os tipos, externos ou internos, estruturados ou não, permitindo a visualização e exploração de todos eles.

É possível levar a análise de informações para todos os setores e camadas das empresas. Ao disponibilizar diversas e diferentes informações, este modelo estimula a autonomia de todas as áreas, ao mesmo tempo em que reduz gargalos nos departamentos de TI. No geral, as empresas passam por quatro etapas quando o assunto é data discovery. A visualização de dados, a descoberta dessas informações, sua influência nos negócios (momento em que a análise reflete em ações) e a análise preditiva.

Esta facilidade de disponibilizar um grande volume de dados em nuvem exige uma estrutura completa e segura.

Data Protection

As informações de uma organização são, hoje, um de seus ativos mais importantes. Data protection significa a proteção, gestão e utilização de dados de forma eficaz, em linha com a estratégia da empresa.

O data protection é uma das seis etapas para acompanhar as empresas na estruturação e implementação de um plano de conformidade robusto para a Lei Geral de Proteção de Dados (LGPD) e a GDPR (Regulamento Geral sobre a Proteção de Dados/Europa), que inclui também:

  • Estratégia: determina a abordagem geral para um programa de privacidade;
  • Organização e responsabilidade: define a estrutura que vai lidar com as questões de privacidade, bem como os papéis e as responsabilidades dos envolvidos;
  • Comunicação, treinamento e conscientização: cria uma campanha de comunicação interna para garantir que os colaboradores conheçam e sigam as regras definidas;
  • Operações de privacidade: insere o tema em todos os projetos da organização, bem como a avaliação de sistemas. Cobre ainda guias para auditoria e pesquisas sobre selos de certificação de privacidade;
  • Inventário de processamento: elemento fundamental em qualquer programa de privacidade, é um requisito mandatório da LGPD e GDPR.
Governança de identidades e acessos

Conflitos de Segregação de Funções/ SOD (Segregation of Duties)

SOD é a sigla para segregation of duties, ou segregação de funções. A segurança de sistemas de tecnologia da informação (que inclui a gestão de acessos corporativos) é parte fundamental do compliance das empresas. Auditores e órgãos reguladores exigem a implementação de estruturas de controle de acesso cada vez mais rígidas por parte das organizações. Por outro lado, esses processos precisam responder com a agilidade que os negócios demandam, sem impor mais burocracia.

A segregação de funções (SOD) reduz, de forma efetiva, o risco de falhas internas. As ferramentas de pesquisa permitem investigar conflitos por usuário, responsabilidade, função ou regra. Para evitar a realização de atividades não autorizadas, se um usuário tentar acessar uma função que causaria uma violação de SOD, o sistema nega o acesso, mas permite que o usuário solicite uma permissão para usar a função.

É importante evitar que membros de uma organização obtenham privilégios operacionais que possam causar conflitos de interesse, prejudicando a empresa. As restrições são estabelecidas ao serem designadas titularidades aos usuários.

IDM e Controle de Acessos

O identity management (IDM), ou gestão de identidade, é o processo de automatizar e auditar concessões de acesso de uma empresa.

Para permanecer competitivo, um negócio deve ser capaz de estender suas operações fora dos limites tradicionais. O acesso autorizado a informações a qualquer momento, de qualquer lugar, por funcionários, parceiros de negócios e clientes tornou-se uma necessidade comercial essencial.

Uma estrutura eficiente de gerenciamento de identidade e acessos deve combinar processos de negócios, segurança e controles, planejamento de recursos empresariais, gerenciamento de projetos e habilidades tecnológicas com conhecimento profundo de software de fornecedores para abordar as seguintes áreas: análise do estado atual, desenvolvimento de uma estratégia, business case e roadmap, projeto da solução, seleção de produtos, implementação e integração do programa de gerenciamento de identidades. Recomenda-se ainda a integração de tecnologias de ponta altamente complexas, incluindo biometria e cartões inteligentes.

Identity and access governance – De maneira ampla, a governança de acesso fornece os princípios orientadores que determinam quem tem acesso às diferentes informações da organização. Além de fornecer as diretrizes, a governança de acesso também impõe os mecanismos de monitoramento necessários para avaliar os direitos de acesso e uso de usuários individuais em uma base contínua, bem como sinalizar irregularidades e reforçar o programa regulatório e de compliance das organizações.

PAM – Privileged Access Management

Um dos principais riscos de segurança no cenário cibernético é o uso indevido de contas privilegiadas, que constantemente são alvo de agentes maliciosos, que visam ter acesso a informações sigilosas e valiosas, causando graves danos às empresas. 

A proteção e a gestão dessas contas são medidas fundamentais para preservar as informações do cliente e a reputação da marca. O PAM ajuda as organizações a gerenciarem suas contas privilegiadas, a fim de proteger seus ativos críticos, estar em conformidade com aspectos regulatórios e evitar a violação de dados.

Segundo pesquisa recente da Deloitte sobre o tema, 80% das ameaças são causadas por negligência do empregado. Avanços como robótica, IoT e inteligência artificial, embora positivos, podem significar maiores ameaças cibernéticas para as organizações. 

Enquanto métodos cibernéticos convencionais oferecem alguma proteção, as organizações devem desenvolver proativamente sua capacidade cibernética, sistemas de gerenciamento de acesso e conscientização do pessoal para ficar à frente do cenário de ameaças.

UBA / UEBA

UBA é a sigla para análise de comportamento do usuário. Como o próprio nome diz, ela cria uma linha base para um comportamento considerado normal e conecta a eventos aparentemente inofensivos para encontrar possíveis ataques. Apesar da evolução, as soluções UBA não conseguem acompanhar o crescente número de dispositivos e a quantidade de vulnerabilidades vinculadas a todas “as coisas” conectadas.

UEBA – ou análise de comportamento do usuário e das entidades – é uma solução que, com o objetivo de ampliar a base de análise comportamental e atingir melhores resultados, estabelece também uma linha de base para entidades, reconhecendo que elas, além dos usuários, devem ser consideradas ameaças e, com isso, conseguem prever, e identificar, com maior precisão os perigos que rondam a rede.

O UEBA correlaciona a atividade do usuário e de outras entidades, como terminais gerenciados e não gerenciados, aplicativos (incluindo nuvem, dispositivos móveis e outros aplicativos locais), redes e ameaças externas.

Identificação digital

A identificação digital é importante hoje não apenas para os serviços financeiros, como também em todos os serviços públicos que exigem comprovação de identidade: segurança de idosos, seguro desemprego, educação, assistência médica, eleições e muito mais. O comprovante de identidade é necessário em muitas situações do dia a dia, como aluguel de imóvel ou compra do carro, por exemplo. Toda essa exposição coloca pessoas e organizações em risco, exigindo soluções eficientes que garantam segurança e privacidade das informações.

Roubo de identidade e violação de dados são ocorrências comuns que despertam preocupação em todos os segmentos da sociedade. Com o aumento da digitalização e da inovação, a questão da identificação digital tornou-se mais importante do que nunca. Uma solução universal de identificação digital beneficiaria a todos, de empresas a pessoas comuns. 

Resposta a incidentes e continuidade de negócios

Resiliência cibernética

Significa ter a capacidade de controlar rapidamente o dano em caso de incidentes e mobilizar os recursos necessários para minimizar o impacto – incluindo custos diretos e paralisação do negócio, além de danos à reputação e à marca.

É um dos quatro componentes centrais e estratégicos para evolução da área de gestão de riscos cibernéticos e segurança da informação. Os outros três são: governança, segurança e vigilância.

Computer Security Incident Response Team (CSIRT)

A equipe de resposta a incidentes de segurança em computadores tem sido implantada em diversas organizações. Segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), as motivações para o estabelecimento de CSIRTs incluem:

  • Aumento generalizado na quantidade de incidentes de segurança sendo reportados;
  • Aumento generalizado na quantidade e variedade de organizações sendo afetadas por incidentes de segurança em computadores;
  • Maior consciência, por parte das organizações, da necessidade de políticas e práticas de segurança como parte das suas estratégias globais de gerenciamento de riscos;
  • Novas leis e regulamentos que afetam a maneira como as organizações precisam proteger as suas informações;
  • Percepção de que administradores de redes e sistemas não podem proteger sozinhos os sistemas e as informações da organização.

A preparação e o monitoramento contínuo são as melhores maneiras de manter a segurança cibernética. Contratar uma equipe de resposta a incidentes cibernéticos pode ajudar a organização a desenvolver processos e estratégias para permitir que responda de forma eficaz durante um incidente e exercitar esses processos usando simulações de cyber. Alguns serviços envolvidos:

  • Gerenciamento de incidentes
  • Análise de malware
  • Análise de rede e endpoint*
  • Serviços forenses
  • Inteligência de ameaças
  • Gerenciamento de crise
  • Suporte de comunicações
  • Recuperação tecnológica
  • Suporte ao cliente em caso de ocorrências

(*) Endpoint: conhecido como ponto de extremidade, este termo é atribuído aos dispositivos finais que estão conectados em um terminal. Trata-se de computadores, smartphones, tablets ou qualquer dispositivo que esteja conectado em uma rede interna ou externa.

Incident Response

A resposta a incidentes é a metodologia utilizada por determinada empresa para responder e gerenciar um ataque cibernético, com o objetivo de reduzir os danos causados por tal ataque.

Estar preparado para prevenir e responder a incidentes de segurança cibernética deve ser um objetivo estratégico. Possuir um processo robusto, documentado e testado ainda representa um desafio para as organizações.

Na gestão de incidentes cibernéticos, podem ser incluídas as seguintes atividades: simulação de incidentes e testes cibernéticos; análise para identificação das causas dos incidentes e deficiências de controle; procedimentos de resposta a incidentes testados e aprovados; procedimentos específicos e documentados; processo geral documentado; monitoramento e correlação de atividade maliciosa por meio de vários canais; relação interna e externa com inteligência; monitoramento de segurança 24/7; coleta e logs e outros reportes preventivos; forense pós-incidente.