O quê? De quem? Qual? E se? são perguntas que vc precisa ter em mente pra iniciar qualquer plano de segurança, e, embora este seja um blog que fale de tecnologia e sua proteção, considere este plano de segurança válido para seus dispositivos offline também, até aqueles de valor sentimental, uma foto, por exemplo. Este guia não é uma regra e sempre é aprimorável, isto servirá, ao menos, de caminhos de por onde dar os primeiros passos.
Tentando proteger todos os seus dados de todos o tempo todo é impraticável e cansativo. Mas, não tenha medo! A segurança é um processo e, por meio de um planejamento atencioso, você pode montar um plano certo para você. A segurança não é apenas sobre as ferramentas que você usa ou o software que você baixa. Começa com a compreensão das ameaças únicas que você enfrenta e como você pode combatê-las.
Na segurança do computador, uma ameaça é um evento em potencial que pode prejudicar seus esforços para defender seus dados. Você pode combater as ameaças que enfrenta determinando o que precisa proteger e de quem precisa protegê-lo. Este é o processo de planejamento de segurança, muitas vezes referido como “modelagem de ameaça .”
Este guia ensinará como fazer um plano de segurança para suas informações digitais e como determinar quais soluções são melhores para você.
Como é um plano de segurança? Digamos que você queira manter sua casa e posses seguras. Aqui estão algumas perguntas que você pode fazer:
O que eu tenho dentro da minha casa que vale a pena proteger?
- Ativos pode incluir: jóias, eletrônicos, documentos financeiros, passaportes ou fotos
De quem eu quero protegê-lo?
- Os adversários podem incluir: assaltantes, colegas ou convidados
Qual é a probabilidade de eu precisar protegê-lo?
- Meu bairro tem histórico de roubos? Quão confiáveis são meus colegas de quarto/convidados? Quais são as capacidades dos meus adversários? Quais são os riscos que devo considerar?
Quão ruins são as consequências se eu falhar?
- Tenho algo na minha casa que não possa substituir? Eu tenho tempo ou dinheiro para substituir essas coisas? Eu tenho seguro que cobre mercadorias roubadas da minha casa?
Quantos problemas estou disposto a passar para evitar essas consequências?
- Estou disposto a comprar um cofre para documentos confidenciais? Posso me dar ao luxo de comprar uma fechadura de melhor qualidade? Tenho tempo para abrir um cofre de segurança no meu banco local e guardar meus objetos de valor lá?
Depois de fazer essas perguntas a si mesmo, outras mais vão surgir derivadas de cada uma delas, mas você está, agora, em posição de avaliar quais medidas tomar. Se suas posses são valiosas, mas a probabilidade de invasão é baixa, então você pode não querer investir muito dinheiro em um bloqueio. Mas, se a probabilidade de invasão for alta, você vai querer obter o melhor bloqueio do mercado e considerar adicionar um sistema de segurança.
Fazer um plano de segurança ajudará você a entender as ameaças que são exclusivas para você e avaliar seus ativos, seus adversários e as capacidades de seus adversários, juntamente com a probabilidade de riscos que você enfrenta.
Como faço meu próprio plano de segurança? Por onde eu começo?
O planejamento de segurança ajuda você a identificar o que pode acontecer com as coisas que você valoriza e determinar de quem você precisa protegê-las. Ao construir um plano de segurança, responda a estas cinco perguntas:
- O que eu quero proteger?
- De quem eu quero protegê-lo?
- Quão ruins são as consequências se eu falhar?
- Qual é a probabilidade de eu precisar protegê-lo?
- Quantos problemas estou disposto a passar para tentar evitar possíveis consequências?
Vamos dar uma olhada mais de perto em cada uma dessas perguntas.
O que eu quero proteger?
Um “ativo” é algo que você valoriza e quer proteger. No contexto da segurança digital, um ativo geralmente é algum tipo de informação. Por exemplo, seus e-mails, listas de contatos, mensagens instantâneas, localização e arquivos são ativos possíveis . Seus dispositivos também podem ser ativos.
Faça uma lista de seus ativos: dados que você mantém, onde é mantido, quem tem acesso a ele e o que impede que outras pessoas acessem.
De quem eu quero protegê-lo?
Para responder a essa pergunta, é importante identificar quem pode querer segmentar você ou suas informações. Uma pessoa ou entidade que representa uma ameaça para seus ativos é um “adversário .” Exemplos de adversários em potencial são seu chefe, seu ex-parceiro(a), sua concorrência comercial, seu governo ou um hacker em uma rede pública.
Faça uma lista de seus adversários ou daqueles que podem querer entrar em contato com seus ativos. Sua lista pode incluir indivíduos, uma agência governamental ou corporações.
Dependendo de quem são seus adversários, em algumas circunstâncias esta lista pode ser algo que você deseja destruir depois de terminar o planejamento de segurança.
Quão ruins são as consequências se eu falhar?
Há muitas maneiras pelas quais um adversário pode ter acesso aos seus dados. Por exemplo, um adversário pode ler suas comunicações privadas à medida que passam pela rede, ou pode excluir ou corromper seus dados.
Os motivos dos adversários diferem muito, assim como suas táticas. Um governo tentando impedir a propagação de um vídeo mostrando violência policial pode se contentar em simplesmente excluir ou reduzir a disponibilidade desse vídeo. Em contraste, um oponente político pode querer ter acesso a conteúdo secreto e publicá-lo sem que você saiba.
O planejamento de segurança envolve entender o quão ruins as consequências podem ser se um adversário obtivesse acesso com sucesso a um de seus ativos. Para determinar isso, você deve considerar a capacidade do seu adversário. Por exemplo, sua operadora de celular tem acesso a todos os seus registros telefônicos. Um hacker em uma rede Wi-Fi aberta pode acessar suas comunicações não criptografadas. Seu governo pode ter capacidades mais fortes.
Anote o que seu adversário pode querer fazer com seus dados privados.
Qual é a probabilidade de eu precisar protegê-lo?
Risco é a probabilidade de que uma ameaça específica contra um determinado ativo realmente ocorra. Vai de mãos dadas com capacidade. Embora sua operadora de telefonia móvel tenha a capacidade de acessar todos os seus dados, o risco de eles postarem seus dados privados on-line para prejudicar sua reputação é baixo.
É importante distinguir entre o que pode acontecer e a probabilidade de que possa acontecer. Por exemplo, há uma ameaça de que seu prédio possa entrar em colapso, mas o risco de isso acontecer é muito maior em São Francisco (onde terremotos são comuns) do que em Estocolmo (onde não estão).
Avaliar riscos é um processo pessoal e subjetivo. Muitas pessoas acham certas ameaças inaceitáveis, independentemente da probabilidade de ocorrerem, porque a mera presença da ameaça com qualquer probabilidade não vale o custo. Em outros casos, as pessoas desconsideram altos riscos porque não veem a ameaça como um problema.
Anote quais ameaças você levará a sério e quais podem ser muito raras ou inofensivas (ou muito difíceis de combater) para se preocupar.
Quantos problemas estou disposto a passar para tentar evitar possíveis consequências?
Não há uma opção perfeita para segurança. Nem todo mundo tem as mesmas prioridades, condições, preocupações ou acesso a recursos. Sua avaliação de risco permitirá que você planeje a estratégia certa para você, equilibrando conveniência, custo e privacidade.
Por exemplo, um advogado representando um cliente em um caso de segurança nacional pode estar disposto a fazer mais esforços para proteger as comunicações sobre esse caso, como o uso de e-mails criptografados, do que um membro da família que envia regularmente e-mails para vídeos engraçados de gatos.
Anote quais opções você tem disponíveis para ajudar a mitigar suas ameaças únicas. Observe se você tem alguma restrição financeira, restrição técnica ou social.
Planejamento de segurança como uma prática regular
Tenha em mente que seu plano de segurança pode mudar à medida que sua situação muda. Assim, revisitar seu plano de segurança com frequência é uma boa prática.
Crie seu próprio plano de segurança com base em sua própria situação única. Em seguida, marque seu calendário para uma data no futuro. Isso solicitará que você revise seu plano e faça o check-in novamente para determinar se ele ainda é relevante para a sua situação.