- O que é a computação em nuvem?›
- Hub de conceitos de computação em nuvem›
- Segurança, identidade e conformidade›
- O que é segurança da informação?
O que é segurança da informação?
Tópicos da página
- O que é segurança da informação?
- Por que a segurança da informação é importante?
- Quais são os princípios fundamentais da segurança da informação?
- O que é um sistema de gestão de segurança da informação?
- Quais são alguns padrões e frameworks de segurança da informação?
- Quais são algumas tecnologias de segurança da informação?
- Como a segurança da informação funciona na nuvem?
- Como a AWS pode atender aos seus requisitos de segurança da informação?
O que é segurança da informação?
A segurança da informação é o processo de proteger todas as informações corporativas, seja em formato digital ou físico. As organizações protegem as informações relacionadas às suas operações e clientes para manter a reputação da marca, a confiança do cliente e a conformidade regulatória. A segurança da informação descreve os processos, as ferramentas e as tecnologias que ajudam a garantir que todas as informações sejam visualizadas, copiadas, alteradas ou destruídas somente após a autorização apropriada.
Por que a segurança da informação é importante?
A segurança da informação apoia as organizações ajudando a garantir a integridade, a disponibilidade e a confidencialidade de seus dados privados e sistemas comerciais. Há vários motivos pelos quais a segurança da informação é importante.
Permitir a continuidade dos negócios
Sistemas de informação eficazes permitem que as empresas mantenham acesso ininterrupto a seus dados e sistemas, mesmo durante eventos de segurança inesperados. O planejamento da continuidade dos negócios envolve o emprego de uma variedade de softwares de segurança, a criação de políticas a serem seguidas durante os eventos e a implementação de proteções técnicas que ajudam a proteger uma organização.
Criar a confiança do cliente
A segurança das informações reduz a probabilidade de eventos inesperados de segurança, permitindo que as empresas forneçam serviços ininterruptos a seus clientes. Quando as organizações têm um histórico de conformidade consistente com a governança, seguindo as práticas recomendadas e implementando práticas seguras de desenvolvimento, elas mostram aos clientes que levam a sério os dados dos usuários e que os protegerão.
Mitigar os riscos de segurança
Dependendo do setor em que uma empresa opera, pode haver vários riscos potenciais que ela deve considerar. A segurança da informação ajuda a permitir a implementação de controles técnicos e processuais para gerenciar e mitigar riscos.
As organizações podem integrar uma nova tecnologia de gerenciamento de segurança que reduz a probabilidade de eventos inesperados de segurança e melhora a capacidade da empresa de gerenciar riscos.
Proteger a reputação da marca
A segurança da informação protege a reputação de uma marca ao aprimorar sua capacidade de fornecer serviços de forma confiável, proteger a privacidade de seus clientes e atender às demandas operacionais. A ocorrência de eventos de segurança inadvertidos pode prejudicar a reputação de uma marca. No entanto, práticas eficazes de segurança da informação reduzem a probabilidade de isso acontecer.
Quais são os princípios fundamentais da segurança da informação?
Existem vários princípios fundamentais de segurança da informação que toda empresa segue.
Confidencialidade
A confidencialidade ajuda a garantir que todos os dados de negócios privados sejam acessíveis apenas para as pessoas com autorização. Esse princípio é técnico e físico, pois você pode implementar controles de acesso para arquivos digitais e também impedir que funcionários não autorizados acessem um escritório. A confidencialidade também se estende ao uso da criptografia, protegendo os dados em trânsito e em repouso e garantindo que todos os dados da empresa estejam protegidos.
Integridade
Integridade refere-se à precisão, confiabilidade e consistência dos dados ao longo de seu ciclo de vida dentro de uma empresa. Esse princípio visa proteger os dados, garantindo que sejam precisos e não tenham sido alterados sem o conhecimento de seus proprietários. Impor a integridade dos dados nos sistemas de informação envolve incluir assinaturas digitais de dados, usar hashing criptográfico, armazenar dados em livros-razão imutáveis e validar dados em todo o ciclo de vida.
Disponibilidade
A disponibilidade ajuda a garantir que os usuários autorizados tenham acesso a todos os dados de que precisam, sem atrasos ou interrupções. Esse princípio busca implementar estratégias de backup e recuperação para que os dados estejam sempre acessíveis. Além disso, a disponibilidade envolve a proteção contra interrupções de terceiros, o monitoramento da integridade do armazenamento em data centers e a criação da tolerância a falhas na arquitetura de dados.
Não repúdio
O não repúdio ajuda a garantir que todas as ações executadas em relação aos dados sejam rastreadas, monitoradas e registradas em log. Ao incorporar o não repúdio aos sistemas de segurança da informação, as empresas desenvolvem uma trilha auditável por trás de cada dado. Sempre que um usuário interage com as informações, as altera, acessa ou aprova sua movimentações ou alterações, esses fatores são todos registrados em log em um livro-razão imutável.
Garantia da informação
A garantia da informação é a prática de proteger os sistemas de informação garantindo que as operações de missão crítica sejam compatíveis. Este é um princípio mais amplo que envolve avaliar e aderir a frameworks de segurança como a ISO 27001, gerenciar ativamente quaisquer riscos emergentes, testar regularmente sistemas de segurança e monitorar continuamente possíveis ameaças.
O que é um sistema de gestão de segurança da informação?
Um sistema de gestão de segurança da informação (ISMS) define como uma organização gerencia sua segurança da informação em todo o ciclo de vida dos dados. Esse sistema normalmente define como as pessoas, os processos e a tecnologia trabalham para fornecer controles de segurança abrangentes para todos os sistemas de informação da empresa.
Quais são alguns padrões e frameworks de segurança da informação?
Os padrões e frameworks internacionais fornecem orientação descritiva e prescritiva para ajudar as organizações na segurança das informações e dos dados, como parte de um programa de conformidade. Confira abaixo alguns exemplos de padrões e frameworks que sua organização pode seguir.
ISO-27001
A ISO-27001 engloba quatro temas principais: melhorias na segurança organizacional, pessoal, física e tecnológica. Cada uma dessas categorias busca aprimorar a segurança de uma maneira diferente, como:
- Realização de treinamentos de segurança para colaboradores.
- Implementação de políticas de controle de acesso rigorosas para os escritórios.
- Implementação de criptografia para dados em repouso e em trânsito.
Cada uma contribui para um padrão mais alto de segurança da informação.
- A AWS foi certificada pela conformidade com a ISO/IEC 27001:2022. Isso significa que, internamente, avaliamos sistematicamente nossos riscos de segurança da informação, levando em conta o impacto de ameaças e vulnerabilidades.
- Projetamos e implementamos um conjunto abrangente de controles de segurança da informação e outras formas de gerenciamento de risco para abordar os riscos de segurança do cliente e da arquitetura.
- Temos um processo de gerenciamento abrangente para garantir que os controles de segurança das informações atendam continuamente às nossas necessidades.
PCI-DSS
O PCI-DSS é outro padrão amplamente usado que ajuda a garantir que todos os pagamentos com cartão, incluindo armazenamento, transmissão e processamento de dados financeiros, sejam feitos de maneira segura. Qualquer entidade que armazene, processe ou transmita dados do titular do cartão (CHD, da sigla em inglês) ou dados confidenciais de autenticação (SAD, da sigla em inglês), como comerciantes, processadores, compradores, emissores e fornecedores de serviços, deve se certificar na norma PCI-DSS.
Você pode conferir a lista de serviços da AWS no escopo atual do PCI DSS.
HIPAA/HITECH
A HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde) é uma lei federal dos EUA que ajuda a garantir a proteção das informações pessoais de saúde (PHI), a confidencialidade dos dados e a impedir a divulgação não autorizada. A HIPAA é aplicável às “entidades cobertas” (planos de saúde, centrais de processamento de dados de saúde e prestadores de serviços de saúde que transmitem informações de saúde eletronicamente) e a seus parceiros comerciais.
Você pode conferir a lista de serviços da AWS no escopo atual da HIPAA.
FedRAMP
O FedRAMP (Federal Risk and Authorization Management Program) é um programa de âmbito governamental dos EUA com o objetivo de fornecer uma abordagem padronizada para a avaliação de segurança, autorizações e o monitoramento contínuo de produtos e serviços em nuvem usados por agências federais.
Você pode conferir a lista de serviços da AWS no escopo atual do FedRAMP.
GDPR
O RGPD (Regulamento Geral de Proteção de Dados) é uma estrutura legal da UE que protege os dados dos residentes da UE. É um padrão global, pois qualquer empresa que queira interagir de alguma forma com clientes da UE deve estar em conformidade com o RGPD. O RGPD visa promover a minimização de dados, ajudar a garantir uma base legal para a coleta de dados e fornecer aos usuários o direito de solicitar a exclusão de seus dados.
Os clientes da AWS podem usar todos os serviços da AWS para processar dados pessoais (conforme definido no RGPD) que são transferidos por upload para os serviços da AWS em suas contas da AWS (dados do cliente) em conformidade com o RGPD.
FIPS 140-3
O FIPS 140-3 é um módulo criptográfico que todas as agências dos EUA que operam na esfera federal devem utilizar. Ele padrão faz parte do FedRAMP e exige que as empresas empreguem uma ampla variedade de medidas de segurança de proteção e prevenção.
A AWS fornece uma ampla gama de endpoints FIPS por serviço.
Quais são algumas tecnologias de segurança da informação?
Há várias categorias principais de programas de segurança da informação que funcionam em conjunto para proteger workloads e aplicações.
Proteção de dados
A proteção de dados refere-se a qualquer serviço que ajude a proteger informações sensíveis, contas e workloads contra acesso não autorizado. Os principais serviços de proteção de dados incluem a criptografia de dados em trânsito e em armazenamento, gerenciamento de chaves e recuperação de dados sensíveis.
Proteção da rede e das aplicações
As tecnologias de proteção de rede e aplicações estão relacionadas a todas as estratégias e políticas que sua empresa implementa nos pontos de controle de segurança da rede. Essas tecnologias ajudam a identificar o tráfego de entrada, a filtrá-lo e a impedir que conexões não autorizadas acessem sua rede. As principais tecnologias envolvem firewalls, VPNs, detecção de endpoints e outros limites no nível da aplicação que aprimoram a segurança da sua rede.
Gerenciamento de identidade e acesso
As ferramentas de segurança do Identity and Access Management (IAM) permitem que sua empresa gerencie controles de acesso, atribua níveis de permissão e determine quais contas podem acessar dados sensíveis. Os controles de identidade ajudam a determinar o nível de acesso de determinadas contas e o que ele permite que elas visualizem e com quem interajam. Ele abrange tanto os controles em nível de dados quanto os sistemas de privilégios de conta.
Conformidade e auditoria
A conformidade e a auditoria referem-se à capacidade de seguir as práticas recomendadas, monitorar seu ambiente e ajudar a garantir que os padrões de conformidade sejam atendidos em toda a organização. Dependendo do setor em que sua empresa trabalha, os padrões exatos que você deve auditar e cumprir variam.
Controles de segurança física
Os controles de segurança física são outra forma de controle de acesso que se aplica a escritórios físicos, servidores e espaços comerciais. Envolve o design seguro do site, o planejamento da disponibilidade e a implementação de políticas de acesso físico. A segurança física e ambiental também se estende ao monitoramento do acesso, ao registro de movimentos e à garantia de que um rastro de dados seja mantido para que as empresas auditem.
Como a segurança da informação funciona na nuvem?
Quando uma empresa usa serviços em nuvem, a segurança e a conformidade se tornam uma responsabilidade compartilhada entre o provedor de nuvem e a empresa. Essa dupla responsabilidade é conhecida como modelo de responsabilidade compartilhada e refere-se às respectivas tarefas que cada parte deve cumprir para ajudar a garantir a segurança na nuvem.
O cliente assume a responsabilidade pelo gerenciamento de dados do cliente, pela plataforma, pelas aplicações, pelo gerenciamento de identidade e acesso, pela criptografia de dados do cliente, pela configuração de rede, entre outras tarefas. O provedor de nuvem é responsável por qualquer infraestrutura que execute qualquer serviço dentro da nuvem, como hardware, software ou rede executada pelo provedor de nuvem.
A natureza específica da responsabilidade compartilhada dependerá do provedor de nuvem com o qual a empresa escolher fazer parceria. A divisão dessa responsabilidade é comumente entendida como segurança “da” nuvem versus segurança “na” nuvem.
Como a AWS pode atender aos seus requisitos de segurança da informação?
Na AWS, a segurança é nossa maior prioridade. A AWS foi projetada para ser a infraestrutura de nuvem global mais segura para o desenvolvimento, a migração e o gerenciamento de aplicações e workloads. Essa concepção é respaldada pela confiança de nossos milhões de clientes, incluindo as organizações mais sensíveis à segurança, como serviços governamentais, de saúde e financeiros.
A segurança é uma responsabilidade compartilhada entre a AWS e o cliente. Esse modelo compartilhado pode ajudar a reduzir os encargos operacionais do cliente à medida que a AWS opera, gerencia e controla os componentes do sistema operacional do host e a camada de virtualização, até a segurança física das instalações em que o serviço opera. Oferecemos suporte a uma ampla variedade de padrões de segurança e certificações de conformidade, incluindo PCI-DSS, HIPAA/HITECH, FedRAMP, RGPD e FIPS 140-3, ajudando os clientes a atender aos requisitos de conformidade no mundo todo. Também fornecemos controle total sobre seus próprios dados, permitindo que você determine como seus dados serão usados, quem terá acesso a eles e como serão criptografados.
Os serviços de segurança da AWS podem apoiar ainda mais seus esforços de segurança da informação na nuvem. Por exemplo:
- Os serviços de auditoria e configuração da AWS oferecem uma visão abrangente do seu status de conformidade e monitoram continuamente seu ambiente.
- Os erviços de proteção de dados da AWS, como o AWS Identity and Access Management (IAM), permitem que os clientes façam a gestão de acesso aos recursos e produtos da AWS com segurança. O AWS CloudTrail e o Amazon Macie possibilitam a compatibilidade, a detecção e a auditoria, enquanto o AWS CloudHSM e o AWS Key Management Service (KMS) permitem que os clientes gerem e façam o gerenciamento das chaves de criptografia com segurança. O AWS Control Tower fornece governança e controles para a residência de dados.
- Os serviços de detecção e resposta da AWS ajudam você a aprimorar sua postura de segurança e a simplificar as operações de segurança em todo o seu ambiente da AWS.
- Os serviços de identidade da AWS ajudam você a gerenciar com segurança identidades, recursos e permissões em grande escala.
- Os serviços de proteção de rede e aplicações da AWS ajudam você a aplicar políticas de segurança refinadas em pontos de controle de rede na sua organização.
Comece a usar a segurança da informação na AWS criando uma conta gratuita hoje mesmo.