As empresas estão se tornando cada vez mais digitais e, à medida que a tecnologia avança, as posturas de segurança também precisam evoluir, sob pena de grandes perdas financeiras e de reputação. Cada uma das estratégias de Segurança da Informação, Segurança Cibernética e Segurança de Redes tem o objetivo de atender a um propósito específico dentro da Política Geral de Segurança de uma empresa, mas muitas vezes são tratadas como apenas um tema.
Vamos entendê-las?
Na verdade, Segurança de Redes está dentro de Segurança Cibernética que está dentro de Segurança da Informação.
Segurança da Informação
O conceito de Segurança da Informação (SegInfo) é mais amplo. Deve proteger o ativo “informação” como um todo, quer seja físico ou digital. Na verdade, precisa proteger tecnologia, procedimentos e pessoas. Ela difere da Segurança Cibernética pois esta visa proteger somente assuntos relacionados ao digital. O descarte de um relatório físico, por exemplo, é responsabilidade da Segurança da Informação. Conversas sobre projetos confidenciais nos corredores também é responsabilidade da Segurança da Informação. É a porta de entrada para o início do planejamento geral sobre segurança.
A base da Segurança da Informação continua sendo a tríade conhecida como CID:
Confidencialidade da informação:
Garante que as informações sejam acessíveis somente por pessoas, entidades ou processos autorizados;
Integridade da informação:
Garante que os dados sejam precisos e confiáveis, e protege a informação de sofrer alterações não autorizadas;
Disponibilidade da informação:
Garante que as informações estejam sempre acessíveis e disponíveis para acessos autorizados.
Outros atributos importantes da Segurança da Informação são:
Autenticidade da informação:
Propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de alterações ao longo de um processo;
Irretratabilidade da informação:
Propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita;
Conformidade da informação:
Propriedade que garante que o sistema deve seguir as leis e regulamentos associados ao processo.
Segurança Cibernética
Conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado. Também conhecida como Segurança de TI.
Elementos de Segurança Cibernética incluem:
- Segurança de aplicações e bancos de dados;
- Gerenciamento de identidade;
- Segurança na nuvem;
- Segurança para dispositivos móveis;
- Times de exercícios de segurança (Red Team, Blue Team);
- Threat Hunting;
- Recuperação de desastres/planejamento de continuidade de negócios (relativos a TI);
- Educação do usuário final.
Com as ameaças crescendo e se sofisticando a cada dia, é fundamental que a infraestrutura de TI esteja protegida para evitar ataques e invasões, arriscando a exposição dos dados e a reputação da empresa.
O elo mais fraco na Segurança Cibernética é o fator humano, então procedimentos e treinamentos de conscientização são as melhores armas para mitigar a possibilidade de um ataque cibernético.
Segurança de Redes
Visa proteger os dados que estão sendo enviados através de dispositivos em sua rede (servidores, estações, dispositivos móveis, dispositivos de Internet das Coisas, etc.), para garantir que a informação não seja alterada ou interceptada. Aqui, o foco é mais em tecnologia, em que diversos componentes trabalhando em conjunto (camadas) podem melhorar sua postura de segurança, como:
- Firewalls;
- Softwares anti-malwares;
- Sistemas de detecção e prevenção de intrusos (IDS/IPS);
- Monitoramento contínuo de vulnerabilidades;
- Sistemas de backup;
- Criptografia.
A soma das estratégias de Segurança da Informação, Segurança Cibernética e Segurança de Redes formam a base para a estrutura da Governança de Segurança.
A Governança permite que os elementos de segurança se alinhem com os objetivos de negócios da empresa. Também permite que as equipes possam trabalhar de maneira mais eficiente, pois define os papéis e responsabilidades de cada um, melhorando o cumprimento das normas e conformidades.
3 thoughts on “Segurança da Informação, Cibernética e de Redes. Qual a diferença?”