Como criar um plano de segurança para sua autodefesa contra a vigilância online
O texto original em inglês está disponível neste link.
Criação de um plano de segurança
Tentar proteger todos os seus dados de todos o tempo todo é impraticável e exaustivo. Mas não tenha medo! A segurança é um processo, e mediante um planejamento cuidadoso você pode elaborar um plano adequado para você. A segurança não se trata apenas das ferramentas que você usa ou do software que você baixa. Ela começa com a compreensão das ameaças únicas que você enfrenta e como você pode combater essas ameaças.
Na segurança de computadores, uma ameaça é um evento potencial que pode minar seus esforços para defender seus dados. Você pode combater as ameaças que enfrenta, determinando o que precisa proteger e de quem precisa protegê-los. Este é o processo de planejamento de segurança frequentemente chamado de “modelagem de ameaças”.
Este guia lhe ensinará como fazer um plano de segurança para suas informações digitais e como determinar quais são as melhores soluções para você.
Qual é o aspecto de um plano de segurança? Digamos que você queira manter sua casa e seus bens em segurança. Aqui estão algumas perguntas que você pode fazer:
O que eu tenho dentro de minha casa que vale a pena proteger?
Os bens podem incluir jóias, eletrônicos, documentos financeiros, passaportes ou fotos.
De quem eu quero protegê-lo?
Entre os adversários podem estar assaltantes, companheiros de quarto ou convidados.
Qual é a probabilidade de eu precisar protegê-lo?
Meu bairro tem um histórico de assaltos? Quão confiáveis são meus companheiros de quarto/convidados? Quais são as capacidades de meus adversários? Quais são os riscos que eu deveria considerar?
Quão más são as consequências se eu falhar?
Tenho alguma coisa em minha casa que não possa substituir? Eu tenho tempo ou dinheiro para substituir essas coisas? Tenho um seguro que cobre os bens roubados de minha casa?
Quantos problemas estou disposto a enfrentar para evitar essas consequências?
Estou disposto a comprar um cofre para documentos sensíveis? Tenho condições de comprar um cadeado de alta qualidade? Tenho tempo para abrir uma caixa de segurança em meu banco local e manter meus valores lá?
Uma vez feitas estas perguntas a você mesmo, você está em condições de avaliar que medidas deve tomar. Se seus bens são valiosos, mas a probabilidade de arrombamento é baixa, então talvez você não queira investir muito dinheiro em uma fechadura. Mas se a probabilidade de arrombamento for alta, você vai querer obter o melhor cadeado do mercado e considerar a possibilidade de acrescentar um sistema de segurança.
Fazer um plano de segurança o ajudará a compreender as ameaças que são únicas para você e a avaliar seus ativos, seus adversários e as capacidades de seus adversários, juntamente com a probabilidade de riscos que você enfrenta.
Como eu faço meu próprio plano de segurança? Por onde eu começo?
O planejamento de segurança ajuda a identificar o que poderia acontecer com as coisas que você valoriza e determinar de quem você precisa para protegê-las. Ao construir um plano de segurança, responda a estas cinco perguntas:
- O que eu quero proteger?
- De quem eu quero protegê-lo?
- Quão ruins são as consequências se eu falhar?
- Qual é a probabilidade de eu precisar protegê-lo?
- Quantos problemas estou disposto a enfrentar para tentar evitar possíveis consequências?
Vamos analisar cada uma destas questões mais de perto.
O que eu quero proteger?
Um “ativo” é algo que você valoriza e quer proteger. No contexto da segurança digital, um ativo é geralmente algum tipo de informação. Por exemplo, seus e-mails, listas de contatos, mensagens instantâneas, localização e arquivos são todos ativos possíveis. Seus dispositivos também podem ser ativos.
Faça uma lista de seus ativos: dados que você guarda, onde são guardados, quem tem acesso a eles e o que impede outros de acessá-los.
De quem eu quero protegê-lo?
Para responder a esta pergunta, é importante identificar quem pode querer lhe direcionar ou suas informações. Uma pessoa ou entidade que represente uma ameaça a seus bens é um “adversário”. Exemplos de possíveis adversários são seu chefe, seu antigo parceiro, sua concorrência comercial, seu governo, ou um hacker em uma rede pública.
Faça uma lista de seus adversários, ou daqueles que possam querer obter seus ativos. Sua lista pode incluir indivíduos, uma agência governamental ou corporações.
Dependendo de quem são seus adversários, em algumas circunstâncias esta lista pode ser algo que você queira destruir depois de ter feito o planejamento de segurança.
Quão ruins são as consequências se eu falhar?
Há muitas maneiras de um adversário poder ter acesso aos seus dados. Por exemplo, um adversário pode ler suas comunicações privadas enquanto elas passam pela rede, ou pode apagar ou corromper seus dados.
As motivações dos adversários diferem muito, assim como suas táticas. Um governo tentando impedir a propagação de um vídeo mostrando a violência policial pode se contentar em simplesmente apagar ou reduzir a disponibilidade desse vídeo. Em contraste, um adversário político pode desejar ter acesso a conteúdo secreto e publicar esse conteúdo sem que você saiba.
O planejamento de segurança envolve compreender quão ruins podem ser as consequências se um adversário conseguir ter acesso a um de seus bens. Para determinar isso, você deve considerar a capacidade de seu adversário. Por exemplo, sua operadora de telefonia celular tem acesso a todos os seus registros telefônicos. Um hacker em uma rede Wi-Fi aberta pode acessar suas comunicações não criptografadas. Seu governo pode ter capacidades mais fortes.
Escreva o que seu adversário pode querer fazer com seus dados privados.
Qual é a probabilidade de eu precisar protegê-lo?
O risco é a probabilidade de que uma ameaça específica contra um determinado ativo ocorra de fato. Ele vai de mãos dadas com a capacidade. Enquanto seu provedor de telefonia móvel tem a capacidade de acessar todos os seus dados, o risco de que eles coloquem seus dados privados online para prejudicar sua reputação é baixo.
É importante distinguir entre o que pode acontecer e a probabilidade de que isso aconteça. Por exemplo, há uma ameaça de colapso de seu prédio, mas o risco de que isso aconteça é muito maior em São Francisco (onde os terremotos são comuns) do que em Estocolmo (onde eles não são).
A avaliação de riscos é tanto um processo pessoal quanto subjetivo. Muitas pessoas consideram certas ameaças inaceitáveis, não importa a probabilidade de ocorrerem, porque a mera presença da ameaça em qualquer probabilidade não vale o custo. Em outros casos, as pessoas desconsideram altos riscos porque não vêem a ameaça como um problema.
Escreva quais ameaças você vai levar a sério, e quais podem ser muito raras ou inofensivas (ou muito difíceis de combater) para se preocupar.
Quantos problemas estou disposto a enfrentar para tentar evitar possíveis consequências?
Não existe uma opção perfeita para a segurança. Nem todos têm as mesmas prioridades, preocupações ou acesso a recursos. Sua avaliação de risco lhe permitirá planejar a estratégia certa para você, equilibrando conveniência, custo e privacidade.
Por exemplo, um advogado que representa um cliente em um caso de segurança nacional pode estar disposto a ir mais longe para proteger as comunicações sobre esse caso, como o uso de e-mail criptografado, do que um membro da família que envia regularmente e-mails engraçados com vídeos de gatos.
Escreva as opções que você tem disponíveis para ajudar a mitigar suas ameaças únicas. Observe se você tem alguma restrição financeira, técnica ou social.
Planejamento de segurança como prática regular
Tenha em mente que seu plano de segurança pode mudar conforme sua situação muda. Assim, revisar seu plano de segurança com frequência é uma boa prática.
Crie seu próprio plano de segurança com base em sua própria situação única. Então marque seu calendário para uma data no futuro. Isto o levará a rever seu plano e verificar novamente para determinar se ele ainda é relevante para sua situação.
Você tem um plano de segurança para sua autodefesa contra a vigilância online?
O que você acha sobre as indicações do texto acima? Você já criou um plano de segurança para sua autodefesa contra a vigilância online para você? Acha que isso é necessário no dia a dia de pessoas físicas ou só se aplica a empresas? Comente, participe e não se esqueça de ver as demais postagens aqui no site 🙂
