Guia da tecnologia

Guia para a segurança contínua da TI

A segurança cibernética e de TI deve ser contínua e integrada. Mas como garantir isso? Temos algumas ideias. No entanto, você não deve considerá-las como etapas lineares ou discretas. Pense nelas como uma série de engrenagens interconectadas: quando uma gira, as outras também se movimentam. E cada parte do plano de segurança deve se mover em sincronia.

Security guide diagram

Projete

A segurança começa junto com o projeto

Desenhe fluxos de trabalho que usam processos colaborativos e responsáveis com participação de todas as equipes para definir e implementar a segurança no ciclo de vida da TI. Se você estiver usando tecnologias com ambientes altamente conectados, como a cloud, deverá estar ciente de que alguns dos controles poderão estar nas mãos de outros fornecedores.

Algumas questões que devem ser discutidas com a sua equipe: que tipo de processos e controles de segurança são necessários para o seu ambiente? Como vocês trabalharão com fornecedores? E como as decisões de segurança importantes serão comunicadas entre as equipes?

Design phase of security

Comece agora mesmo:

  • Defina os controles e requisitos de segurança.
  • Desenvolva processos de segurança de maneira colaborativa.
  • Mantenha as equipes atualizadas quanto aos padrões de segurança.
  • Estabeleça métodos claros de comunicação para que, quando algo ocorrer, as soluções de segurança sejam implantadas em todo o ciclo de vida de TI de maneira mais sincronizada possível.
  • Escolha fornecedores de confiança e tenha certeza das responsabilidades deles.

Incorpore

Incorpore a segurança com uso da automação

A abordagem DevOps usa a automação para executar um loop de feedback contínuo por todos os estágios do ciclo de vida da aplicação. “Incorporar a segurança” também adota essa prática, mesmo se a sua empresa não for DevOps. Automatizar os processos e verificações de segurança resulta em vários benefícios: previne contra a duplicação e reduz a ocorrência de erros humanos, fornece um painel centralizado para a tomada de decisões e agiliza o processo de busca e resposta a ameaças. Você também pode usar a automação para criar barreiras de segurança. Assim, se uma verificação de segurança falhar, a implantação poderá ser evitada automaticamente.

Ainda assim, é possível que ocorram alarmes falsos e ataques internos. É necessário que a automação seja gerenciada para que funcione bem e atenda às necessidades específicas das suas equipes. Enquanto você incorpora a segurança a infraestrutura, aplicações e processos, verifique se há controles que impedem alterações e acessos não autorizados. Use a criptografia sempre que puder.

Build phase of security

Comece agora mesmo:

  • Automatize e integre os testes de segurança nos processos de compilação e implantação.
  • Use barreiras de segurança para acionar as ações apropriadas, seja para implantar ou evitar a implantação.
  • Use interfaces e algoritmos criptográficos.
  • Escolha uma infraestrutura com recursos de monitoramento e geração de registros.

Execute

Execute em plataformas com segurança aprimorada

Os modelos de segurança tradicionais que dependem de processos manuais não são compatíveis com as necessidades de segurança das novas tecnologias distribuídas, como a cloud. Essas tecnologias, bem como as ferramentas e os processos que a suportam, são altamente dependentes da automação. Seja em um ambiente físico, virtual ou de cloud pública ou privada, garanta que sua infraestrutura opere com plataformas de recursos aprimorados de proteção e segurança comuns a todos os seus ambientes.

Run phase of security

Comece agora mesmo:

  • Automatize e integre os testes de segurança nos processos de compilação e implantação.
  • As plataformas da infraestrutura devem estar integradas, ser utilizáveis e consistentes em todas as arquiteturas e ser compatíveis com uma ampla variedade de processos.

Gerencie

Gerencie a configuração, os usuários e o acesso

Não se esqueça de investir em ferramentas de gerenciamento que cuidam da automação de mudanças, auditorias e correções na configuração de segurança. Atribuir funções antecipadamente e de acordo com as necessidades de segurança específicas da sua empresa ajudará a manter um ambiente de segurança resiliente. Garanta que os privilégios sejam atribuídos somente aos usuários que precisam deles para trabalhar. Provavelmente, você fará isso conforme novos funcionários são contratados na sua empresa. No entanto, não se esqueça de atualizar os dados de usuários periodicamente, assim como quando os funcionários saem da empresa.

Algumas considerações que você deve ter em mente: quais ferramentas adotar para analisar e mitigar incidentes e como usar a automação para aplicar, auditar e corrigir automaticamente as políticas de conformidade regulatória e de segurança em todas as cargas de trabalho.

Manage phase of security

Comece agora mesmo:

  • Mantenha um catálogo atualizado de ativos e monitore o acesso e a utilização.
  • Implante uma solução de gerenciamento para manter a segurança de maneira contínua e proativa, que abranja toda a infraestrutura, seja ela física, virtual ou em cloud pública ou privada.
  • Gerencie os usuários de maneira ativa, utilizando um painel que permita monitorar todas as partes do ciclo de vida de TI.
  • Defina os perfis de segurança com os controles necessários.
  • Automatize a conformidade nesses perfis de segurança.
  • Garanta que a infraestrutura e a segurança sejam configuradas como código. Isso ajudará a ter uma infraestrutura reproduzível, compartilhável e verificável, além de facilitar as auditorias de conformidade.

Adapte-se

Adapte-se às mudanças no cenário

O cenário de segurança está mudando muito rápido. Planeje revisões regulares de acordo com as mudanças paralelas nos requisitos de governança e auditoria. Saiba qual fonte consultar para avisos e recomendações de segurança e use essas informações para se adaptar de maneira adequada. Mesmo que você tenha implementado o melhor plano de segurança possível, novos vetores de ataque são descobertos com frequência. Implantar um sistema de respostas rápidas a ameaças à segurança é uma das tarefas mais importantes para proteger os negócios. Ter um parceiro para orientá-lo com os patches, correções e processo de recuperação é essencial para colocar seus negócios de volta nos trilhos.

Adapt phase of security

Comece agora mesmo:

  • Use a análise e a automação para se adaptar: revise, atualize e corrija conforme o cenário muda.
  • Atualize as configurações de acesso à medida que as funções e responsabilidades são alteradas.
  • Mantenha-se atualizado quanto aos requisitos de governança e auditoria.
  • Revise e atualize as políticas e os requisitos de governança conforme o cenário muda.

Recursos de segurança

Desenvolvedores

Red Hat Developer Program

Saiba mais sobre programação segura com o Red Hat Developer Program.

Treinamento

Red Hat Security: Linux in Physical, Virtual, and Cloud (RH415)

Gerencie os riscos à segurança e cumpra com os requisitos de conformidade com as nossas tecnologias de segurança.

Suporte

Gerenciamento técnico de contas

Trabalhe em parceria com um consultor técnico que oferece avaliações de risco e verificações de compatibilidade.

Saiba mais sobre como a Red Hat aborda a segurança