SSI-02. SISTEMAS DE CONTROLE

1. 2.1. Conceito de Sistema de Controle

1.1. 2.1.1. Um sistema de controle é um conjunto de mecanismos usados para garantir que uma organização esteja operando de forma segura, eficiente e em conformidade com suas metas.

1.2. 2.1.2. Atua como uma forma de vigilância e orientação, ajustando ações sempre que forem detectadas falhas, riscos ou desvios.

1.3. 2.1.3. Na segurança da informação, o controle não se refere apenas a travas tecnológicas, mas também a políticas, processos e cultura organizacional.

1.4. 2.1.4. Pode ser manual, automatizado ou híbrido, dependendo da maturidade da empresa e dos recursos disponíveis.

2. 2.2. Classificação dos Controles

2.1. 2.2.1. Preventivos: impedem que um incidente ocorra.

2.1.1. Exemplo: autenticação multifator, antivírus atualizado.

2.2. 2.2.2. Detectivos: identificam que um evento indesejado ocorreu ou está em andamento.

2.2.1. Exemplo: sistemas de monitoramento, alertas de IDS.

2.3. 2.2.3. Corretivos: atuam após a detecção de um incidente para restaurar o estado normal.

2.3.1. Exemplo: backup e restore, plano de resposta a incidentes.

2.4. 2.2.4. Esses tipos de controle se complementam e devem estar alinhados entre si para garantir um ciclo de segurança completo.

3. 2.4. Ciclo de Vida dos Controles

3.1. 2.4.1. Planejamento: identifica-se o que precisa ser protegido e quais ameaças existem.

3.2. 2.4.2. Implementação: os controles são escolhidos e colocados em prática.

3.3. 2.4.3. Monitoramento: observação constante para verificar se o controle está funcionando como esperado.

3.4. 2.4.4. Avaliação e ajuste: os controles são revisados e aperfeiçoados com base em incidentes, auditorias e novas ameaças.

3.5. 2.4.5. Esse ciclo é contínuo, baseado em melhoria contínua, como no modelo PDCA (Plan, Do, Check, Act).

4. 2.5. Critérios de Escolha de Controles

4.1. 2.5.1. Custo-benefício: o valor do controle deve ser proporcional ao risco mitigado.

4.2. 2.5.2. Aderência às normas: deve alinhar-se com padrões como ISO 27001, NIST, LGPD.

4.3. 2.5.3. Impacto operacional: controles excessivamente rígidos podem dificultar a produtividade.

4.4. 2.5.4. Facilidade de implementação e manutenção: preferem-se controles que sejam sustentáveis ao longo do tempo.

4.5. 2.5.5. Escalabilidade: o controle deve se adaptar ao crescimento da organização ou ao aumento da complexidade do sistema.

5. 2.6. Exemplos Práticos de Controles

5.1. 2.6.1. Controle físico: sala de servidores com acesso limitado e monitoramento por CFTV.

5.2. 2.6.2. Controle lógico: VPN com autenticação forte para acesso remoto.

5.3. 2.6.3. Controle administrativo: política de uso aceitável de dispositivos móveis.

5.4. 2.6.4. Controle preventivo: segmentação de rede e VLANs.

5.5. 2.6.5. Controle detectivo: monitoramento em tempo real com SIEM.

6. 2.3. Controles Físicos, Lógicos e Administrativos

6.1. 2.3.1. Controles físicos: envolvem barreiras tangíveis como trancas, crachás, catracas, vigilância, biometria de acesso físico.

6.2. 2.3.2. Controles lógicos: implementados por software ou hardware, como firewalls, criptografia, controle de acesso por login.

6.3. 2.3.3. Controles administrativos: referem-se a políticas, procedimentos, treinamentos e cultura de segurança.

6.4. 2.3.4. A sinergia entre esses três tipos é essencial. Um firewall sem política definida ou um crachá sem vigilância são controles frágeis.