Boas Práticas em Segurança da Informação

     Hoje em dia, para evitar hackers, cibercriminosos, exposição de dados, invasões de sistema, ciberataques e mais, empresas tem que investir na Segurança da Informação. Mas não só em equipamentos e programas, o elo mais fraco e fácil de ser explorado é o ser humano, os usuários tem que estar ligados nas boas práticas em segurança da informação e devem ser treinados e informados.

    Nossos dados estão em toda parte, redes sociais, bancos, sites em que nos cadastramos, lojas, em tudo. Eles são importantes, pra preservá-los, temos que ter boas práticas em segurança da informação, ou seja, temos que:

• Gerenciar e criar senhas fortes.
• Uma das coisas mais básicas, todo sistema tem que ter uma senha forte e SÓ o proprietário e gente de confiança tem que ter a senha.
• Site legal pra testar senhas: https://www.security.org/how-secure-is-my-password/
• Eu realmente tô começando a querer melhorar minhas senhas, minha senha é a mesma pra TUDO, me lasquei.
• Senhas muito fáceis são quebradas rapidamente, senhas muito difíceis podem ser esquecidas.
• Se um cara, pra não esquecer a senha, decidir escrever no papel, se lascou, a senha virou o mesmo que nada, qualquer pessoa pode pegar e saber sua senha.
• Manter os sistemas que usamos atualizados.
• Nunca clicar em links não confiáveis nem fazer download de arquivos mandados por e-mails desconhecidos
• Só baixar programas oficiais
• Nos mantermos informados sobre golpes e técnicas pra combatê-los.
• Sempre usar antivírus atualizados.
• Só entrar em sites confiáveis, checar sempre.
• Fazer backup de arquivos regularmente
• Usar o firewall do SO
• Sempre atualizar o sistema

    Essas dicas acima são mais pra âmbito PESSOAL. Em empresas, você pode ser até organizado, mas a empresa toda tem que estar ligada pra ser efetivo. Enquanto essas dicas são úteis, tem que ser mais formal e entender as Normas de Segurança da Informação, vistas nesse post anterior.

Gerenciamento de senhas

• Não dê pra ninguém.
• Não use muito fáceis (aniversários, placas de carro, senha123, abc123)
• Use senhas complexas (mas também não tanto que você não vai se lembrar depois)
• Mude senhas periodicamente e não as repita
• Pausa. Várias dicas aqui são boas pra empresas com muitas pessoas e coisas importantes. Mas não são aplicáveis pro usuário normal. Eu tenho MUITA senha, eu não trocaria TODAS elas periodicamente NUNCA.
• Use senhas com mais de 8 caracteres.
• Se dados de algum serviço que você usa foi vazado recentemente. Mude sua senha rápido.
• Use letras minúsculas e maiúsculas, números e caracteres tipo @, $ ou #
• Não use seu nome, nem nome de usuário, nem nome da empresa, nem nome de NINGUÉM!
• Não use a mesma senha pra todas as contas. Se o hacker descobre uma, descobre todas.
• Ops. Isso é um problema que eu tenho. Minha senha é a mesma pra tudo.
• Não anote a senha em papel nem deixe o programa lembrar delas automaticamente. Senhas devem ser memorizadas.
• Discordo. Acho que se você tiver uma senha num papel e SOUBER esconder e guardar BEM, tá de boa, cara.

Treinamento

    Treinamentos de equipe são muito importantes, e não anualmente ou só uma vez. Práticas atualizadas e repetidas periódicamente.

Norma ISO 27002

    A norma ISO 27002 tem 133 recomendações de segurança, divididas em 11 seções/tópicos.

1. Política da Segurança da Informação: A empresa tem que criar regras claras sobre como proteger a informação. A direção deve apoiar essas regras.
2. Organizando a Segurança da Informação: A empresa tem que ter uma estrutura organizada pra cuidar da segurança, com pessoas e processos definidos pra isso.
3. Gestão de Ativos: Manter os bens da empresa protegidos corretamente.
4. Segurança em Recursos Humanos: Todos que trabalham na empresa tem que saber suas responsabilidades pra evitar erros, fraude ou mau uso de recursos.
5. Segurança Física e do Ambiente: Proteger o ambiente de invasores, danos e desastres físicos.
6. Gestão das Operações e Comunicações: Os sistemas e redes da empresa tem que funcionar de forma segura e correta.
7. Controle de Acesso: Só gente autorizada pode ter acesso a informação.
8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação: A segurança tem que ser, desde o começo, integral a todos os sistemas de informação da empresa.
9. Gestão de Incidentes de Segurança da Informação: Qualquer problema de segurança tem que ser identificado, relatado e resolvido o mais rápido possível.
10. Gestão da Continuidade do Negócio: A empresa tem que se preparar pra continuar funcionando mesmo em situações de crise ou desastre.
11. Conformidade: A empresa tem que seguir as leis e normas relacionadas à segurança da informação pra evitar problemas.

    Pra ajudar as empresas a treinarem todo mundo, aqui é o que a norma ISO 27002 sugere:

1. Obrigatoriedade do envolvimento da diretoria: A diretoria tem acesso a muita informação muito importante que afeta a empresa INTEIRA. Se ELES não se importarem com a segurança, lascou. Por isso, eles tem que participar também.
2. Envolvimento de toda a organização: Normalmente, o responsável por criar um programa de treinamento e conscientização de segurança é o povo de TI. Ainda sim, é MUITO importante que os líderes de outros setores TAMBÉM ajudem a espalhar e organizar isso. 
3. Criação de conteúdo para treinamento e conscientização de segurança: Tem muito conteúdo e cursos sobre segurança da informação. Eles podem ser facilmente minimamente adaptados pra situação da empresa e então passados pra todos. Ainda economiza pois não tem que fazer o material todo só.
4. Diversidade de treinamento: Tem todo tipo de pessoa que aprende de todo tipo de maneira. É importante variar nos métodos de ensino, salas de aula, treinamento individual, seminários, e-mails informativos, jogos e questionários. Se o programa for envolvente, a retenção de conhecimento vai aumentar.
5. Exercícios de simulação: A teoria é importante. Mas fazer simulações práticas é fundamental também.
6. Periodicidade na realização do treinamento de conscientização de segurança: O treinamento deve ser feito periodicamente. Ao longo do ano. Sempre com conteúdos atualizados e contextualizados na situação atual da organização.

    Tem empresa que não quer fazer o treinamento por medo de custo alto. Mas continua sendo importante.

Mecanismos de proteção

    Coisas feitas pra proteger um sistema, tanto um digital (protegido com antivírus e firewall) como um físico (protegido com portas e fechaduras).

Princípios de mecanismos de proteção

1. Economia de mecanismo (objetividade do mecanismo): Os mecanismos de segurança devem ser simples e pequenos pra facilitar testes e encontrar erros. Quanto mais complicado, maior a chance de falhas não serem notadas.
2. Padrões à prova de falhas: Só passa quem for permitido passar. Eles devem NEGAR por padrão e só aceitar com autorização clara.
3. Mediação completa: Um dos principais princípios. Todos que querem acessar os recursos, TEM QUE passar pelos mecanismos de segurança. Deve ser IMPOSSÍVEL contorná-los. A segurança deve estar operando SEMPRE, até mesmo com ele desligado ou em manutenção. E o sistema deve sempre saber quem está acessando e sempre atualizar as permissões se alguma delas mudar.
4. Projeto aberto: Os mecanismos não devem ficar escondidos, pois isso pode prejudicar também em caso deles precisarem de uma revisão. Eles devem ser tão seguros que, mesmo eles estando a mostra, eles ainda protegem a informação.
5. Separação de privilégios: Se um mecanismo precisa de duas chaves pra abrir, é mais seguro, pois as duas chaves podem ficar com duas pessoas diferentes. Um exemplo é: pra um usuário acessar um dado, ele precisa colocar uma senha E depois fazer uma biometria.
6. Privilégio mínimo: Todos os programas e todos os usuários só podem operar usando o MÍNIMO que precisam pra terminar seu trabalho.
7. Compartilhamento mínimo: Compartilhar o mínimo de coisas possíveis entre programas. Se um programa estragar ou corromper algo compartilhado, pode acabar estragando vários outros.
8. Aceitação psicológica: A UI do sistema tem que ser fácil de ser usada pra erros não acontecerem e pra o usuário automaticamente usar os mecanismos de proteção. Com o tempo, ele vai se acostumar com os mecanismos e erros vão ser minimizados.