Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosModelo
Criando uma Política de Segurança na Nuvem Eficaz: Guia e Modelo

Criando uma Política de Segurança na Nuvem Eficaz: Guia e Modelo

Uma política de segurança robusta na nuvem é imperativa para qualquer organização que dependa de serviços na nuvem para armazenar e processar dados sensíveis. Ela melhora a segurança estabelecendo padrões e procedimentos claros para a proteção dos recursos na nuvem, detalhando os papéis envolvidos na salvaguarda dos dados e promovendo uma cultura consciente da segurança. Além disso, ter uma política de segurança na nuvem documentada é um requisito de algumas regulamentações de conformidade e auditorias.

Este documento oferece orientações para criar uma política de segurança na nuvem eficaz: Detalha as seções a incluir e fornece exemplos para ilustrar. Sinta-se à vontade para adaptá-lo de acordo com os requisitos legais e de conformidade únicos da sua organização.

Tenha em mente que sua política de segurança na nuvem faz parte de uma estratégia de segurança mais ampla. Ela deve estar alinhada e complementar suas outras políticas e práticas de segurança, incluindo políticas de segurança de rede e proteção de dados, para criar uma defesa robusta contra ameaças e vulnerabilidades.

Modelo de Política de Segurança na Nuvem

  1. Propósito

A criação de uma política de segurança na nuvem começa com a definição de seu propósito declarado, que delineia os objetivos e metas gerais. Esse propósito declarado servirá como a base que guiará a seleção de controles de segurança específicos, procedimentos e estratégias que atenderão às necessidades da organização e aos requisitos regulatórios. Isso garante que a política seja focada, relevante e alinhada com a estratégia de segurança geral da organização, fornecendo uma direção clara para o desenvolvimento e implementação da política.

Exemplo

O objetivo desta política é proteger a confidencialidade, integridade e disponibilidade dos dados gerenciados por meio de serviços de computação em nuvem. Ela estabelece uma estrutura organizada de responsabilidades e medidas para garantir a conformidade com requisitos regulatórios e a adesão às diretrizes de segurança no âmbito da computação em nuvem.

  1. Escopo

O escopo de uma política de segurança na nuvem delimita sua abrangência. Ela especifica os serviços na nuvem, dados, usuários, localizações geográficas e controles de segurança aos quais a política se aplica dentro de uma organização.

Exemplo

Esta política aplica-se a sistemas que gerenciam os dados definidos na seção "2.1. Tipos de Informação" deste documento e abrange todos os serviços de nuvem relevantes. Aplica-se a servidores, bancos de dados e dispositivos usados regularmente para e-mail, acesso à web ou tarefas de trabalho, cobrindo tanto instalações novas quanto existentes. Todo usuário que interage com os serviços de TI da empresa está sujeito a esta política, e seus requisitos de controle de segurança são universalmente aplicáveis a todos os sistemas de nuvem aprovados.

2.1. Tipos de Informação

O objetivo desta seção é fornecer uma lista abrangente dos tipos de informação que estão sob a alçada da política proposta. Você precisa rotular seus dados armazenados e processados de forma precisa, utilizando as melhores práticas para classificação de dados.

Exemplo

Esta política é aplicável a todas as informações consideradas dados sensíveis pela política de classificação de dados da empresa. Os tipos de dados sensíveis abrangidos por esta política incluem:

Dados de identidade e autenticação

  • Senhas
  • Chaves privadas criptográficas
  • Tabelas de dispersão

Dados financeiros

  • Faturas
  • Dados da folha de pagamento
  • Dados de receita
  • Dados de contas a receber

Dados proprietários

  • Teste e análise de software
  • Pesquisa e desenvolvimento

Dados pessoais dos funcionários

  • Nomes e endereços
  • Números de Segurança Social
  • Números da carteira de motorista
  • Números de cartão de identificação
  • Números de contas financeiras, incluindo códigos ou senhas que proporcionam acesso à conta
  • Informações de seguro médico e de saúde

3. Propriedade e Responsabilidades

Esta seção da política de segurança na nuvem é vital para garantir que indivíduos e equipes entendam seus papéis na segurança dos recursos na nuvem, estabelecendo responsabilidades claras e prevenindo lacunas que aumentam o risco de incidentes de segurança.

Você deve listar todos os papéis relacionados a ações e controles de segurança na nuvem e descrever as responsabilidades associadas. Se você não tem certeza de como começar a compilar a lista, considere as seguintes perguntas:

  • Quais indivíduos ou equipes usam serviços de nuvem e precisam estar cientes das políticas de segurança?
  • Quem é responsável por configurar e manter as configurações de segurança no ambiente de nuvem?
  • Quem garante que as implementações na nuvem estejam alinhadas com os requisitos de conformidade relevantes e políticas internas?
  • Quem é responsável por tomar decisões sobre a seleção de soluções em nuvem?

Exemplos

  • Administrador de Segurança na Nuvem: Responsável por configurar e manter as configurações e controles de segurança no ambiente de nuvem, incluindo gerenciamento de acesso, criptografia e monitoramento.
  • Proprietário dos Dados: O indivíduo ou equipe responsável pelos dados da organização armazenados na nuvem, incluindo classificação de dados, controle de acesso e políticas de retenção de dados.

4. Uso Seguro de Serviços de Computação em Nuvem

Esta seção descreve os requisitos para o uso aceitável dos serviços de nuvem. Para prepará-la, você deve seguir os seguintes passos para cada serviço de nuvem:

  • Identifique usuários de serviço, tanto internos quanto externos.
  • Documente o tipo de serviço de nuvem (SaaS, PaaS, IaaS), com especificações detalhadas.
  • Especifique os tipos de dados a serem armazenados no serviço.
  • Detalhe as soluções e configurações de segurança necessárias, como criptografia, monitoramento e backups.
  • Compile um histórico de incidentes de segurança passados envolvendo o provedor de nuvem escolhido.
  • Solicite documentação das certificações de segurança disponíveis.
  • Cópias seguras do Acordo de Nível de Serviço (SLA) e outros acordos com o provedor de nuvem.

4.1 Serviços Aprovados

Forneça um resumo da sua infraestrutura baseada na nuvem, incluindo um catálogo de serviços endossados alinhados com seus respectivos departamentos. Descreva o processo para aprovação da adoção de serviços. Considere incluir uma lista de serviços não autorizados.

Exemplo

Apenas as soluções baseadas na nuvem aprovadas listadas na Seção 4.1 estão permitidas para uso. A instalação de software não autorizado em dispositivos e componentes de infraestrutura de TI de propriedade da organização é proibida. O administrador de segurança na nuvem deve autorizar serviços de nuvem de terceiros antes do uso; quaisquer serviços não autorizados devem acionar alertas e bloqueios de acesso.

Infraestrutura como Serviço (IaaS)

  • Amazon Web Services (AWS) — Departamento de TI
  • Microsoft Azure — Departamento de TI

Software as a Service (SaaS)

  • Office 365 — Todos os departamentos
  • Salesforce — Apenas para os departamentos de Vendas e Marketing

5. Avaliação de Risco

A seção de avaliação de risco estabelece parâmetros e responsabilidades relacionados à identificação, avaliação e priorização dos riscos de segurança associados aos serviços de nuvem.

Exemplo

O Administrador de Segurança na Nuvem e a equipe de Segurança de TI são responsáveis por conduzir avaliações de risco. Uma avaliação de risco deve ser realizada:

  • Após a implementação de um novo serviço de nuvem
  • Após atualizações ou melhorias significativas em um serviço de nuvem existente
  • Após quaisquer alterações na configuração de um serviço de nuvem
  • Em resposta a um evento ou incidente de segurança
  • Trimestralmente para todos os serviços de nuvem existentes

Além disso, um especialista externo em avaliação de riscos realizará uma avaliação de risco a cada seis meses.

6. Controles de Segurança

Esta seção detalha tanto os controles de segurança internos da organização quanto aqueles fornecidos pelo provedor de serviço em nuvem. Exemplos de controles de segurança incluem direitos de acesso ao servidor, regras de firewall, ACLs de VLAN e segmentação de rede.

Agrupe os controles em categorias lógicas, como controle de acesso, proteção de dados, resposta a incidentes e conformidade. Forneça uma descrição clara do propósito e escopo de cada controle. Se aplicável, referencie quaisquer mandatos ou padrões da indústria (por exemplo, ISO 27001, NIST, GDPR) que os controles ajudam a cumprir.

Exemplo

Controle 23: Autenticação Multifator (MFA)

  • Descrição: Implemente MFA para todos os usuários que acessam serviços na nuvem para aumentar a segurança, exigindo múltiplas formas de autenticação antes de conceder acesso.
  • Responsabilidade: Equipe de Segurança de TI
  • Referência: NIST SP 800-63B, Seção 5.1
  • Requisitos: Todos os usuários com acesso aos recursos na nuvem devem se inscrever no sistema de MFA da organização antes de obter acesso. Os métodos de MFA permitidos incluem códigos SMS, autenticação por aplicativo móvel, tokens de hardware e biometria. Treinamento e diretrizes serão fornecidos aos usuários sobre como configurar e usar os métodos de MFA corretamente. É permitido o desvio temporário do MFA para cenários específicos, como recuperação de conta.

6.1. Avaliação de Controle de Segurança

Defina a frequência com que os controles de segurança passam por avaliações regulares de sua eficácia e vulnerabilidades.

Exemplo

O Administrador de Segurança na Nuvem é responsável por conduzir uma avaliação abrangente das configurações de controle de segurança de forma trimestral. A avaliação incluirá a revisão de todas as configurações e ajustes dos controles de segurança para todos os ambientes na nuvem. Também incluirá a investigação de todas as instâncias de tentativas de acesso mal-sucedidas para identificar fraquezas nos controles de segurança.

7. Recuperação de Incidentes de Segurança

Esta seção deve explicar como os funcionários devem relatar atividades suspeitas e incidentes de segurança, incluindo a quem contatar e por quais canais.

Também deve delinear como os incidentes devem ser categorizados com base na gravidade, impacto e natureza; fornecer o processo de escalonamento; e descrever os procedimentos para conter, investigar, mitigar e recuperar de incidentes de segurança.

A equipe de resposta a incidentes deve ser claramente definida, com as funções e responsabilidades de cada membro especificadas. Inclua também detalhes de contato para partes externas relevantes, como advogados, autoridades policiais e especialistas em cibersegurança.

Exemplo (Trecho)

A equipe de resposta a incidentes (IRT) é responsável por lidar e mitigar incidentes de segurança que envolvem ambientes em nuvem. Todos os membros da IRT devem passar por treinamentos e exercícios regulares para garantir a preparação e familiaridade com o processo de resposta a incidentes.

O gerente do IRT é Alex Smith (alex.smith@email.com, 212-121-1234). Responsabilidades:

  • Supervisiona o processo de resposta a incidentes
  • Coordena a comunicação com partes externas
  • Garante a conformidade com os requisitos regulatórios

Em caso de um incidente de segurança, os seguintes contatos externos podem ser acionados:

  • Assessoria jurídica: XYZ Law Firm (Contato: legal@xyzlawfirm.com)
  • Aplicação da lei: Departamento de Polícia Local (Contato: 911)
  • Especialistas forenses: CyberForensics Inc. (Contato: info@cyberforensics.com)
  • Especialistas em cibersegurança: SecureTech Solutions (Contato: info@securetechsolutions.com)

8. Conscientização

Nesta seção, especifique o público-alvo para o treinamento de segurança, a frequência e os métodos de entrega do treinamento, e quem supervisionará o treinamento. Descreva o processo para lidar com a não conformidade e enfatize os procedimentos de relato de incidentes. Ressalte a importância de atualizar o treinamento para se adaptar às ameaças de segurança em evolução e às melhores práticas. Além disso, detalhe como você manterá registros do treinamento concluído e medirá sua eficácia.

Exemplo

  • Público-alvo: É necessário treinamento para todas as pessoas com acesso a recursos na nuvem, incluindo, mas não se limitando a, funcionários, contratados e fornecedores terceirizados.
  • Frequência: O treinamento de conscientização de segurança deve ser realizado anualmente para todo o pessoal e no momento da integração para novos funcionários.
  • Métodos de entrega: O treinamento pode ser realizado por meio de uma combinação de cursos online, webinars e sessões presenciais, conforme apropriado para o público-alvo.
  • Avaliação: Avaliações de eficácia, incluindo questionários e pesquisas periódicas, devem ser realizadas para avaliar o impacto do programa de treinamento e identificar áreas para melhoria.

9. Aplicação

Esta seção detalha como a política de segurança será aplicada, as consequências da não conformidade e as partes responsáveis pela supervisão dos esforços de aplicação.

Exemplo

A equipe de segurança de TI, em colaboração com o departamento de Recursos Humanos, irá reforçar a política de segurança por meio de avaliações de rotina. Os funcionários que não cumprirem a política ou falharem nos testes terão suas contas suspensas e serão obrigados a passar por um treinamento de segurança para que a conta seja reativada.

10. Documentos Relacionados

Esta seção deve listar quaisquer outros documentos relevantes para a política de segurança, incluindo qualquer política que diga respeito à segurança, conformidade, relatório de incidentes e treinamento de segurança. Exemplos podem incluir o seguinte:

  • Política de senha
  • Política de proteção de dados
  • Procedimentos de tratamento de não conformidade
  • Plano de resposta a incidentes

11. Histórico de Revisões

Um histórico de revisão proporciona transparência e responsabilidade ao documentar quaisquer alterações ou atualizações feitas na política ao longo do tempo. Certifique-se de documentar cada modificação da política e sua justificativa.

Exemplo

Versão

Data de Revisão

Autor

Descrição

1.0

02/01/2023

Blake Parker, Administrador de Segurança na Nuvem

Versão inicial

1.1

06/01/2023

Blake Parker, Administrador de Segurança na Nuvem

Frequência de treinamento atualizada

Conclusão

Este modelo de política de segurança na nuvem oferece uma base sólida para a elaboração de uma política de segurança na nuvem eficaz, adaptada às necessidades específicas da sua organização. A política deve abordar as preocupações de segurança relacionadas à computação em nuvem de maneira prática e adaptável, para que sua organização possa proteger adequadamente seus dados sensíveis hoje e no futuro.

Netwrix Auditor for SharePoint e Teams

Mantenha os dados no seu SharePoint e Microsoft Teams seguros sem sacrificar a produtividade

Solicitar uma demonstração individual

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management