OpenAI pensa sobre Segurança da Informação

Inteligência Artificial já é usada amplamente por bigtechs e startups de diversos ramos de atuação, inclusive segurança. Mas o que a OpenAI pensa sobre Segurança da Informação pode te surpreender.

O que é a OpenAI?

OpenAI é uma empresa de São Francisco que possui a missão de oferecer inteligência artificial para todos, a um custo acessível, através de diversas tecnologias, como APIs, chatGPT, geração de imagens e muitos outros.

Em seu playground, é possível escrever em múltiplos idiomas sobre diferentes assuntos, que a plataforma responde com resultados surpreendentemente reais. E foi exatamente isso que fizemos.

No dia 27/01/2023, nosso colaborador Alex perguntou para o OpenAI: “Quais os principais métodos de segurança da informação?”.

O resultado pode surpreender aqueles que acreditam que uma solução composta de Antivírus e Firewall (principalmente open-source apenas) apenas é o suficiente para se proteger no mundo atual.

1. Autenticação de usuário: autenticar usuários antes de permitir o acesso a dados confidenciais ou sistemas críticos.
2. Criptografia: usar criptografia para proteger dados confidenciais, como senhas, informações financeiras ou dados de saúde.
3. Controle de acesso baseado em função: restringir o acesso a dados e sistemas a usuários autorizados.
4. Segurança de rede: usar firewalls, antivírus, IPS e outras tecnologias para proteger a rede contra ataques externos.
5. Segurança física: proteger a infraestrutura de TI de acessos não autorizados com medidas de segurança físicas, como cercas elétricas, câmeras de vigilância e senhas de acesso.
6. Gerenciamento de vulnerabilidades: identificar, classificar e corrigir vulnerabilidades em sistemas e aplicações.
7. Backup e recuperação de dados: criar backups de dados e sistemas e garantir que eles estejam sempre disponíveis em caso de falhas ou perda de dados.

Autenticação de Usuário

O primeiro comentário aqui fica pelo detalhe de que, embora não tão óbvio, a segurança de rede não está mais em primeiro lugar quando se pensa em segurança da informação. Embora seja fundamental, com a nova internet em cloud, a autenticação forte de usuário ganhou maior importância.

E não basta autenticar. É preciso monitorar e auditar. Logs de autenticação precisam ser gerados e armazenados, e alguns tipos de logins devem gerar alertas.

Auditorias periódicas, para revisar se contas antigas ainda são necessárias são obrigatórias, não importa o tamanho da empresa.

Aqui cabe um detalhe para pequenas e médias: não basta ter um AD (Active Directory), se não forem feitas revisões regulares e o monitoramento contra comportamento anormal do usuário. Nós da Vega Safe recomendamos auditoria contínua, dependendo do tamanho da empresa.

Criptografia

Criptografia nas comunicações já é commoditie. Mas e a criptografia de dados armazenados?

• Os discos rígidos da sua empresa estão criptografados?
• As bases de dados possuem recurso de transparent data encryption ativos?
• Os dados confidenciais, protegidos por leis como a LGPD ou normas como do Bacen e padrões como do PCI-DSS, estão criptografados no nível da tabela?

A maioria das empresas pequenas e médias podem se beneficiar de consultoria nesse ponto, antes de sair criptografando tudo, ou pior, não criptografar nada.

Segurança de Rede

Esse item é o mais vendido pelas empresas de segurança tradicionais e não é a toa. Apesar de ainda ser fundamental para a segurança de qualquer empresa, esse item foi também o principal item de segurança abordado pelas empresas que compram e vendem segurança.

Claro que, não se deve renunciar a um excelente firewall de próxima geração, de uma solução de EDR (EndPoint Detection and Response), do cada vez mais comum WAF (Web Application Firewall), nem mesmo do cada vez mais necessário SIEM (Security Information and Event Management), mas existe um porém.

Com as portas de serviços abertas para a internet e os serviços publicados para o mundo, a efetividade dessas soluções, sem as anteriormente mencionadas, acabam por saírem prejudicadas.

Mas não será nessa década que a proteção de rede deixará de ter a sua importância para a proteção das empresas. O consumo cada vez maior de aplicativos web (inclusive aplicações de negócio no modelo SaaS) e da maior sofisticação e automatização dos ataques crackers não vão aposentar a proteção de rede tão cedo.

E sejamos justos: a Vega Safe vende soluções de segurança de rede que são tão ou mais inovadoras, efetivas e de excelente custo-benefício como de alguns de seus concorrentes, mas não é só de segurança de rede que se protege os ativos de uma empresa.

Gerenciamento de Vulnerabilidades e Backup

Da lista da OpenAI, talvez esses dois itens sejam os mais negligenciados pelas empresas.

De fato, um bom processo de gerenciamento de vulnerabilidades, com scans periódicos e aplicação de patches de segurança, são mais fáceis de serem implementados quando as empresas possuem o apoio de uma consultoria como da Vega Safe.

Copiar os dados dos usuários para uma fita de backup, um disco rígido separado ou uma conta em um aplicativo de armazenamento na nuvem (como OneDrive, Google Drive e Dropbox) parece ser o principal erro das pequenas empresas.

Já das médias e grandes, o erro mais comum é ter procedimentos de backup, sem procedimentos de restore. Ou, procedimentos desatualizados e não testados.

Sim, as pessoas-chave das empresas vão deixando seus postos de trabalho e quando menos se espera, ninguém sabe como restaurar aquela aplicação de negócios essencial para a empresa.

Mais uma vez a Vega Safe pode ajudar seus clientes nesses pontos, indo inclusive um passo além, na construção de planos de recuperação de desastre (DRP – Disaster Recovery Plan) e sites backup em cloud privada.

Escrito por Leandro Baida de Oliveira

Participe da nossa pesquisa e concorra a brindes!

Planejando Segurança para 2023