Seu plano de segurança
Última revisão: October 27, 2023
Seu plano de segurança anchor link
Tentando proteger todos os seus dados de tudo o tempo todo é impraticável e cansativo. Mas, não tenha medo! A segurança é um processo e, por meio de planejamento cuidadoso, você pode elaborar o plano que seja melhor para você. A segurança não envolve apenas as ferramentas que usa ou o software que baixa. Tudo começa com a compreensão das ameaças especificas que você enfrenta e como você pode combatê-las.
Na segurança informática, um ameaça é um evento potencial que pode prejudicar seus esforços para defender seus dados. Você pode combater as ameaças que enfrenta determinando o que precisa proteger e de quem precisa protegê-lo. Este é o processo de planejamento de segurança, muitas vezes chamado de “modelagem de ameaças”.
Este guia compartilhará como fazer um plano de segurança para suas informações digitais e como determinar quais soluções são melhores para você.
Como é um plano de segurança? Digamos que queira manter sua casa e seus pertences seguros. Aqui estão algumas perguntas que pode fazer, usando algumas palavras-chave como “ativos” e “adversários” que surgirão novamente mais tarde:
O que tenho dentro de minha casa que vale a pena proteger?
- Os ativos podem incluir: joias, eletrônicos, documentos financeiros, passaportes ou fotos
De quem eu quero protegê-lo?
- Os adversários podem incluir: ladrões, colegas de quarto ou convidados
Qual é a probabilidade de eu precisar protegê-lo?
- Meu bairro tem histórico de assaltos? Quão confiáveis são meus colegas de quarto/convidados? Quais capacidades tem os meus adversários? Quais são os riscos que devo considerar?
Quão ruins serão as consequências se eu falhar?
- Tenho alguma coisa em minha casa que não possa substituir? Tenho tempo ou dinheiro para substituir essas coisas? Tenho seguro que cubra bens roubados da minha casa? Existem outras pessoas na minha vida cuja segurança ficará comprometida se essas ameaças se realizarem?
Quantos problemas estou disposto enfrentar para evitar essas consequências?
- Estou disposto a comprar um cofre para documentos confidenciais? Posso comprar uma fechadura de alta qualidade? Tenho tempo para abrir um cofre no banco local e guardar meus objetos de valor lá?
Quem são meus aliados?
- Há pessoas com quem moro que poderiam ajudar a proteger as coisas que me interessam? Existem vizinhos que possam saber mais sobre onde vivemos e os recursos aos quais temos acesso?
Depois de fazer essas perguntas a si mesmo, terá condições de avaliar quais medidas tomar. Se seus bens são valiosos, mas a probabilidade de arrombamento é baixa, talvez não queira investir muito dinheiro em uma fechadura. Mas, se a probabilidade de arrombamento for alta, vai querer obter a melhor fechadura do mercado e considerar adicionar um sistema de segurança.
Você já pode começar a sentir que não há uma resposta definitiva para essas perguntas. Em vez disso, você deve fazer julgamentos com base no que você valoriza e na probabilidade de alguma ameaça acontecer. Essa é a essência deste exercício; tomar decisões informadas com base na avaliação da gravidade do impacto das ameaças, na probabilidade de elas ocorrerem e na priorização do que deseja proteger.
Como faço meu próprio plano de segurança? Por onde começo? anchor link
Ao elaborar um plano de segurança, responda a estas seis perguntas:
- O que eu quero proteger?
- De quem eu quero protegê-lo?
- Quão ruins serão as consequências se eu falhar?
- Qual é a probabilidade de eu precisar protegê-lo?
- Quantos problemas estou disposto a enfrentar para tentar evitar possíveis consequências?
- Quem são meus aliados?
Vamos examinar mais de perto cada uma dessas questões.
O que eu quero proteger? anchor link
Um “ativo ” é algo que você valoriza e deseja proteger. No contexto da segurança digital, um ativo geralmente é algum tipo de informação. Por exemplo, podem ser seus e-mails, listas de contatos, mensagens diretas, localização ou outros documentos. Seus próprios dispositivos também podem ser ativos.
Faça uma lista dos seus ativos: dados que você mantém, onde são mantidos, quem tem acesso a eles e o que impede que outras pessoas os acessem.
De quem eu quero protegê-lo? anchor link
Para responder a essa pergunta, é importante identificar quem pode querer atingir você ou suas informações. Uma pessoa ou entidade que representa uma ameaça aos seus ativos é um “adversário”. Exemplos de potenciais adversários são o seu chefe, agentes da lei, o seu ex-parceiro, a sua concorrência empresarial, o seu governo ou um hacker numa rede pública. Poderia até incluir pessoas em quem confiaria e que poderiam comprometer acidentalmente seus ativos por serem descuidadas com seus próprios planos de segurança.
Faça uma lista de adversários potenciais ou já conhecidos, ou daqueles que possam querer obter seus ativos. Sua lista pode incluir indivíduos, agências governamentais ou empresas. Dependendo de quem são seus adversários, em algumas circunstâncias essa lista pode ser algo que você deseja destruir depois de concluir o planejamento de segurança.
Quão ruins serão as consequências se eu falhar? anchor link
Há muitas maneiras pelas quais um adversário pode obter acesso aos seus dados. Por exemplo, um adversário pode fazer com que você clique em um enlace malicioso enviado para o seu endereço de e-mail que comprometa o seu computador. Ou, mais simplesmente, pode ser alguém tirando uma captura de tela de seus Mensagens Diretas privadas e usando essas informações contra você.
Os motivos dos adversários diferem muito, assim como as suas táticas. Alguns podem ser altamente sofisticados tecnicamente, enquanto outros são mais como golpes feitos para ganhar sua confiança e, em última análise, traí-la.
O planejamento de segurança envolve a compreensão de quão ruins podem ser as consequências se um adversário obtiver acesso a um de seus ativos. Para determinar isso, você deve considerar o capacidade do seu adversário. Por exemplo, sua operadora de telefonia móvel tem acesso a todos os seus registros telefônicos. O seu governo pode ter capacidades mais fortes.
Anote o que seu adversário pode querer fazer com seus dados privados.
Qual é a probabilidade de eu precisar protegê-lo? anchor link
Risco é a probabilidade de que uma determinada ameaça contra um determinado ativo realmente ocorra. Isso anda de mãos dadas com capacidade. Por exemplo, embora o seu fornecedor de telefonia móvel tenha a capacidade de acessar a todos seus dados, o risco de publicarem seus dados privados online para prejudicar a sua reputação é baixo.
É importante distinguir entre o que pode acontecer e a probabilidade de acontecer. Por exemplo, existe a ameaça do seu edifício ruir, mas o risco de isso acontecer é muito maior em São Francisco (onde os terramotos são comuns) do que em Estocolmo (onde não são).
Avaliar riscos é um processo pessoal e subjetivo. Muitas pessoas consideram certas ameaças inaceitáveis, independentemente da probabilidade de ocorrerem, porque a mera presença da ameaça, em qualquer probabilidade, não compensa o custo. Noutros casos, as pessoas ignoram os riscos elevados porque não veem a ameaça como um problema.
Anote quais ameaças você levará a sério e quais podem ser muito raras ou muito inofensivas (ou muito difíceis de combater) para se preocupar.
Quantos problemas estou disposto a enfrentar para tentar evitar possíveis consequências? anchor link
Não existe uma opção perfeita para segurança. Nem todos têm as mesmas prioridades, preocupações ou acesso a recursos. Sua avaliação de risco permitirá que você planeje a estratégia certa para você, equilibrando conveniência, custo e privacidade.
Por exemplo, um advogado que representa um cliente num caso de segurança nacional pode estar disposto a ir mais longe para proteger as comunicações sobre esse caso, como a utilização de e-mail encriptado, do que um membro da família que envia regularmente por e-mail vídeos engraçados de gatos.
Anote quais opções você tem disponíveis para ajudar a mitigar suas ameaças específicas. Observe se você tem alguma restrição financeira, técnica ou social.
Quem são meus aliados? anchor link
Como indicamos diversas vezes ao longo deste guia, a privacidade e a segurança digitais são um esforço coletivo que é melhor aplicado com a ajuda de outras pessoas. Isso não ocorre apenas porque têm poder em grupo, mas porque sua privacidade e segurança se sobrepõem às de outras pessoas em sua vida. Se uma ameaça afetar você, também poderá afetá-los e vice-versa.
Considere a quem você estende essa confiança. Por exemplo, considere se alguém pode ser uma “ameaça interna”, uma pessoa na sua rede de confiança que poderia trair a sua segurança de uma forma ou outra. Mas não deixe o medo de uma ameaça interna desencoraja-lo de criar conexões com outras pessoas. Em vez disso, use-o como guia para incentivá-lo a planejar cuidadosamente e garantir que outras pessoas em seus círculos também levem a segurança a sério.
Abra um diálogo com outras pessoas que provavelmente compartilham as mesmas preocupações que você. Cheguem a alguns acordos comuns sobre como cuidar uns dos outros e quais informações confiar ao outro.
Planejamento de segurança como prática regular anchor link
Lembre-se de que seu plano de segurança pode mudar conforme a situação muda. Assim, revisitar frequentemente o seu plano de segurança é uma boa prática.
Crie seu próprio plano de segurança com base em sua situação especifica. Depois, marque em seu calendário uma data futura. Isso incentivara que revise seu plano e verifique novamente para determinar se ainda é relevante para sua situação.