OPSEC ou segurança de operações
O OPSEC ou segurança de operações é um processo e estratégia de gerenciamento de segurança e riscos que classifica as informações, então determina o que é necessário para proteger informações confidenciais e evitar que elas entrem em mãos erradas.
O OPSEC faz com que os gerentes de tecnologia da informação (TI) e de segurança visualizem suas operações e sistemas como os potenciais invasores fariam. O OPSEC inclui atividades e processos analíticos, como monitoramento de mídias sociais, monitoramento de comportamentos e melhores práticas de segurança.
O OPSEC foi desenvolvido como uma metodologia durante a Guerra do Vietnã quando o Almirante da Marinha dos EUA Ulysses S. Grant Sharp, comandante-em-chefe do Comando do Pacífico dos EUA, estabeleceu a equipe do Dragão Púrpura para descobrir como o inimigo obteve informações sobre operações militares antes dessas operações.
Como um termo militar, o OPSEC descreveu estratégias para evitar que adversários ou potenciais adversários descubram dados críticos relacionados a operações. Esse conceito se espalhou dos militares para outras partes do governo federal, incluindo o Departamento de Defesa americano (DOD), para proteger a segurança nacional dos EUA.
Como a gestão e proteção das informações tornaram-se importantes para o sucesso no setor privado, as medidas do OPSEC agora são comuns nas operações de negócios.
Quais são os 5 passos do OPSEC?
Os processos que compõem a segurança das operações se resumem a essas cinco etapas:
- Identifique informações críticas. O primeiro passo é determinar quais dados seriam particularmente prejudiciais para a organização se um adversário os obteve. Isso inclui propriedade intelectual, informações pessoais identificáveis de funcionários ou clientes, demonstrações financeiras, dados de cartão de crédito e pesquisa de produtos.
- Analise ameaças. O próximo passo é identificar quem é uma ameaça às informações críticas da organização. Pode haver inúmeros adversários que visam diferentes informações, e as empresas devem considerar quaisquer concorrentes ou hackers que possam direcionar os dados.
- Analisar vulnerabilidades. Na fase de análise de vulnerabilidades, a organização examina potenciais fragilidades entre as salvaguardas em vigor para proteger informações críticas e identifica quais as que a deixam vulnerável. Esta etapa inclui encontrar eventuais lapsos em processos físicos e eletrônicos projetados para proteger contra ameaças ou áreas pré-determinadas onde a falta de treinamento de conscientização de segurança deixa as informações abertas ao ataque.
- Avaliar os riscos. O próximo passo é determinar o nível de ameaça associado a cada uma das vulnerabilidades identificadas. As empresas classificam os riscos de acordo com fatores como as chances de um ataque específico ocorrer e quão prejudicial esse ataque seria para as operações. Quanto maior o risco, mais premente é a necessidade de implementar a gestão de riscos
- Aplique contramedidas apropriadas. A última etapa envolve a implantação de um plano OPSEC que reduzirá os riscos. O melhor lugar para começar é com os riscos que são a maior ameaça às operações. As melhorias potenciais de segurança incluem a implementação de hardware e treinamento adicionais e o desenvolvimento de novas governanças de informações.
Melhores práticas de segurança de operações
As organizações que desenvolvem e implementam um programa de segurança de operações de ponta a ponta vão querer seguir essas práticas recomendadas:
- Processos de gestão de mudanças. As empresas devem colocar os processos de gestão de mudanças para que os funcionários sigam quando forem feitos ajustes na rede.
- Restringir o acesso ao dispositivo. As organizações só devem permitir que dispositivos que absolutamente devem ter esse acesso acessem suas redes, e devem usar autenticação do dispositivo de rede.
- Implementar acesso menos privilegiado. As empresas devem atribuir aos funcionários o nível mínimo de acesso a redes, dados e recursos necessários para realizar seus trabalhos com sucesso. O princípio do menor privilégio garante que sistemas, aplicativos, processos ou usuários tenham apenas o acesso mínimo necessário para fazer seu trabalho ou função.
- Implantar controle duplo. As empresas devem garantir que as equipes e indivíduos responsáveis pela manutenção da rede corporativa estejam separados das equipes e indivíduos responsáveis pela definição de políticas de segurança. Esta abordagem protege contra conflitos de interesse e outras questões.
- Implementar automação. As pessoas são tipicamente os elos mais fracos quando se trata de segurança corporativa. Humanos cometem erros, inadvertidamente ou de propósito –fazendo com que os dados acabem em mãos erradas, ignorando ou esquecendo detalhes importantes, e ignorando processos críticos. A automação pode eliminar esses erros.
- Crie um plano de recuperação de desastres. Uma parte fundamental de qualquer defesa de segurança da informação é planejar um desastre e implementar um forte plano de resposta a incidentes. Mesmo o programa OPSEC mais funcional deve ser acompanhado de planos de desastres que identificam riscos e detalham como uma empresa responderá a ataques cibernéticos e limitará possíveis danos.
As quatro fases do ciclo de vida de resposta a incidentes do Instituto Nacional de Padrões e Tecnologia concentram-se na detecção e remediação de incidentes de segurança, bem como na estrutura de governança em vigor em uma organização.
OPSEC e gerenciamento de riscos
O OPSEC incentiva os gestores a visualizar operações e projetos de fora –ou seja, na perspectiva de concorrentes ou inimigos, a fim de identificar fraquezas. Se uma organização pode facilmente extrair suas próprias informações enquanto age como um estranho, as chances são que adversários externos também possam. Concluir avaliações regulares de risco é fundamental para identificar vulnerabilidades.
O gerenciamento de riscos abrange a capacidade de identificar vulnerabilidades e ameaças antes que elas se transformem em problemas reais. O OPSEC obriga os gestores a fazer análises aprofundadas em suas operações e determinar onde os dados confidenciais podem ser facilmente violados. Ao olhar para as operações do ponto de vista de um ator ruim, os gerentes podem detectar vulnerabilidades que podem ter perdido e podem implementar os processos OPSEC certos para proteger informações confidenciais.
Treinamento OPSEC
O Centro de Excelência em Segurança (CDSE) faz parte da Agência de Contrainteligência e Segurança de Defesa do DOD e oferece treinamento de segurança para militares e funcionários e contratados do DOD. O grupo usa formatos de e-learning baseados na web para apresentar seus programas de treinamento.
As áreas cobertas pelo treinamento do CDSE incluem:
- definir segurança de operações;
- identificar informações críticas;
- conhecer os cinco passos de OPSEC;
- reconhecer ameaças potenciais e como elas podem levar um adversário a descobrir informações confidenciais; e
- aplicar contramedidas apropriadas para proteger dados críticos.
Usuários ocasionais de cursos de CDSE estão cursando eles no website do Security Awareness Hub, onde os alunos não têm que se inscrever. Após o curso, os participantes recebem um certificado de conclusão. No entanto, o CDSE não mantém registros de quem conclui o curso.
O treinamento do CDSE também está disponível por meio do Portal de Segurança, Treinamento, Educação e Profissionalização, portal de gestão de aprendizagem para todos os cursos de segurança da organização. Os alunos que cursam cursos de CDSE utilizam regularmente o portal, que acompanha a conclusão. Ele também fornece uma transcrição que pode então ser usada para solicitar créditos do Conselho Americano de Educação e educação continuada.