Claroty Perguntas frequentes sobre segurança e privacidade

Atualizado 14/01/2025

Claroty O implementa e mantém um programa robusto de proteção de dados e segurança da informação em várias camadas. Nosso programa de proteção de dados envolve a implementação de uma ampla variedade de controles técnicos, organizacionais e processuais, que a Claroty considera necessários para proteger os dados do cliente, proteger o ambiente da Clarory contra ameaças de cibersegurança e cumprir os requisitos regulatórios (ISO 27001, ISO 27701, SOC2 Tipo 2, GDPR, HIPAA e leis de privacidade locais, bem como as disposições de melhores práticas).

ClarotyA estratégia de proteção de dados e infosec da inclui os seguintes componentes principais:

Governança, risco e conformidade (GRC)
Políticas de segurança corporativa
Segurança organizacional
Programa de gestão de riscos de segurança
Classificação e controle de ativos
Gestão segura de pessoal/recursos humanos
Conscientização sobre segurança da informação
Criptografia
Segurança das comunicações
Gestão de riscos de segurança de fornecedores
Gestão de mudanças
Segurança física e ambiental
Segurança operacional
Gerenciamento de vulnerabilidades de segurança
Controles de acesso
Desenvolvimento e manutenção de sistemas seguros
Recuperação de desastres e continuidade dos negócios
Programa de ação corretiva
Conformidade regulatória

1. Governança, risco e conformidade (GRC)

Políticas de segurança da informação: estabelecer e aplicar políticas de proteção de dados, segurança e conformidade com padrões como HIPAA, GDPR, SOC 2 e ISO 27001.
Classificação de dados: classifique os dados de acordo com a confidencialidade (por exemplo, confidencial, interna, pública) e aplique controles de segurança apropriados para cada classe.
Estrutura de gestão de riscos: implementar um processo formal de gestão de riscos para identificar, avaliar e mitigar riscos de segurança.
Monitoramento de conformidade: monitore continuamente a conformidade com estruturas regulatórias, como GDPR, HIPAA e padrões do setor.
Auditorias internas: audita regularmente os processos e controles de segurança internos para garantir a conformidade com as políticas e padrões estabelecidos.
Plano de resposta a incidentes: desenvolver e manter um plano de resposta a incidentes que inclua funções, responsabilidades e procedimentos para lidar com violações de segurança.

2. Controle de acesso e gerenciamento de identidade

Gestão de identidade e acesso (IAM): implementar soluções IAM para gerenciar e controlar o acesso do usuário a sistemas, aplicativos e dados.
Controle de acesso baseado em função (RBAC): garantir que os usuários tenham acesso apenas aos recursos necessários para suas funções.
Autenticação multifator (Multi-Factor Authentication, MFA): imponha a MFA para acessar sistemas e dados críticos, tanto para funcionários quanto para clientes.
Privilégio mínimo: aplique o princípio de menor privilégio para limitar os direitos de acesso dos usuários ao mínimo necessário.
Single Sign-On (SSO): implemente o SSO para simplificar a autenticação e melhorar a segurança.
Revisão e recertificação de contas: realizar revisões periódicas das permissões de acesso do usuário para garantir que estejam atualizadas e adequadas.

3. Criptografia de dados

Criptografia em repouso: criptografe todos os dados em repouso usando algoritmos de criptografia fortes (por exemplo, AES-256) para bancos de dados, sistemas de arquivos e backups.
Criptografia em trânsito: use TLS/SSL para criptografar dados em trânsito entre a plataforma SaaS e os clientes.
Criptografia de ponta a ponta: para dados altamente confidenciais, implemente criptografia de ponta a ponta para garantir que os dados permaneçam criptografados da origem ao destino.
Gerenciamento de chaves de criptografia: gerencie com segurança as chaves de criptografia, incluindo rotação de chaves, armazenamento e controles de acesso.

4. Segurança de rede

Firewalls: implante firewalls para controlar o tráfego de rede de entrada e saída e impedir o acesso não autorizado.
Sistemas de Detecção e Prevenção de Invasões (IDPS): use o IDPS para monitorar o tráfego de rede em busca de atividades suspeitas e bloquear comportamentos maliciosos.
Segmentação de rede: segmente a rede em diferentes zonas (por exemplo, produção, desenvolvimento, teste) para limitar a disseminação de um ataque.
Redes privadas virtuais (VPN): use VPNs para acesso remoto seguro sistemas internos, especialmente para funcionários que trabalham fora do local.
Proteção contra DDoS: implemente mecanismos de proteção contra negação de serviço distribuído (DDoS) para proteger contra ataques em grande escala na disponibilidade da rede.

5. Segurança de endpoint

Antivírus e antimalware: instale e mantenha software antivírus e antimalware atualizado em todos os endpoints.
Detecção e resposta de endpoint (EDR): implementar soluções EDR para detectar e responder a atividades maliciosas em dispositivos de endpoint .
Gerenciamento de patches: certifique-se de que todos os dispositivos endpoint sejam atualizados regularmente com patches de segurança e atualizações de software.
Gerenciamento de dispositivos móveis (MDM): aplique soluções MDM para gerenciar, proteger e monitorar dispositivos móveis usados pelos funcionários.

6. Segurança de aplicativos

Ciclo de vida seguro de desenvolvimento de software (SDLC): integre a segurança ao longo do processo de desenvolvimento, incluindo práticas de codificação seguras, revisões de código e avaliações de vulnerabilidade.
Testes de segurança de aplicativos estáticos e dinâmicos (SAST e DAST): realize testes automatizados para identificar vulnerabilidades em códigos e aplicativos durante e após o desenvolvimento.
Teste de penetração: realize testes de penetração regulares para identificar pontos fracos de segurança em aplicativos.
Patching de segurança: aplique patches para vulnerabilidades de aplicativos assim que forem identificados.
Web Application Firewalls (WAF): use WAFs para proteger aplicativos da web contra ameaças como injeção de SQL, script entre sites (XSS) e outros ataques.

7. Minimização e proteção da privacidade de dados

Anonimização e pseudonimização de dados: use técnicas como anonimização e pseudonimização para proteger informações pessoalmente identificáveis (PII) e outros dados confidenciais.
Minimização de dados: limitar a coleta e o processamento de dados pessoais apenas ao necessário para fins comerciais.
Retenção e exclusão de dados: implementar políticas para a retenção e exclusão segura de dados de clientes em conformidade com os regulamentos de privacidade.
Gerenciamento de direitos do titular dos dados: fornecer mecanismos para atender às solicitações dos clientes sobre acesso, retificação, exclusão e portabilidade de dados, conforme exigido pelo GDPR e regulamentos semelhantes.

8. Segurança na nuvem

Cloud Access Security Broker (CASB): use a CASB para aplicar políticas de segurança para uso da nuvem, monitorar o acesso a serviços na nuvem e proteger dados hospedados na nuvem.
Segurança de contêineres: implemente controles de segurança para contêineres (por exemplo, Docker, Kubernetes), incluindo varredura de imagens e proteção de tempo de execução.
Segurança de infraestrutura como código (IaC): configurações de infraestrutura seguras implantadas usando ferramentas IaC, como Terraform ou AWS CloudFormation, validando arquivos de configuração para configurações incorretas de segurança.
Isolamento de recursos de nuvem: use técnicas de isolamento de recursos de nuvem (por exemplo, VPCs) para garantir que os dados do cliente sejam segregados e isolados em ambientes de vários locatários.

9. Backup e recuperação de desastres

Backups regulares: faça backups regulares de dados críticos, garantindo que os backups sejam criptografados e armazenados com segurança em locais geograficamente separados.
Plano de recuperação de desastres (Disaster Recovery Plan, DRP): desenvolver e manter um plano de recuperação de desastres que descreva procedimentos para restaurar sistemas e dados em caso de desastre.
Teste de backup: teste periodicamente os procedimentos de backup e restauração para garantir que os dados possam ser recuperados de forma eficaz.

10. Registro e monitoramento

Gerenciamento de informações e eventos de segurança (SIEM): use sistemas SIEM para coletar e analisar registros de segurança em tempo real para detectar e responder a eventos de segurança.
Monitoramento contínuo: implementar monitoramento contínuo de sistemas, redes e aplicativos para atividades suspeitas.
Retenção de registros: mantenha registros de segurança por um período definido por requisitos regulatórios e necessidades de negócios para facilitar a auditoria e forense
Trilhas de auditoria: mantenha trilhas de auditoria detalhadas das atividades do usuário e do sistema, incluindo alterações nos dados, configuração e configurações de controle de acesso.

11. Gerenciamento de vulnerabilidades

Varredura regular de vulnerabilidades: realize verificações regulares de vulnerabilidades de redes, aplicativos e sistemas para identificar possíveis problemas de segurança.
Gerenciamento de patches: implemente um processo formal de gerenciamento de patches para garantir que todas as vulnerabilidades críticas sejam corrigidas em tempo hábil.
Programas de recompensa de bugs: considere executar um programa de recompensa de bugs para incentivar pesquisadores de segurança externos a encontrar vulnerabilidades.

12. Segurança física

Segurança de data centers: garantir a segurança física em data centers, incluindo controles de acesso biométrico, vigilância 24/7 e controles ambientais (por exemplo, supressão de incêndio, controle climático).
Controle de acesso para escritórios: use mecanismos de controle de acesso como crachás, biometria e CFTV em edifícios de escritórios para evitar acesso não autorizado.

13. Resposta e recuperação de incidentes

Plano de resposta a incidentes (IRP): estabelecer um IRP documentado que defina as etapas a serem tomadas no caso de um incidente de segurança.
Detecção e relatório de incidentes: implemente processos para detectar, relatar e gerenciar incidentes de segurança em tempo real.
Análise pós-incidente: conduza análises pós-incidente para analisar as causas dos incidentes e melhorar os esforços de resposta futura.

14. Treinamento e conscientização

Treinamento de conscientização de segurança: fornecer treinamento contínuo de conscientização de segurança aos funcionários sobre tópicos como phishing, engenharia social e tratamento adequado de dados.
Simulações de phishing: execute simulações regulares de phishing para testar e melhorar a conscientização dos funcionários sobre ataques de engenharia social.
Políticas de segurança Educação: certifique-se de que todos os funcionários sejam instruídos sobre as políticas e procedimentos de segurança da empresa.

15. Gestão de fornecedores e terceiros

Avaliação de risco do fornecedor: realizar avaliações de segurança de fornecedores terceirizados para garantir que eles cumpram os mesmos padrões de segurança e privacidade da empresa.
Auditorias de terceiros: exigem que fornecedores críticos passem por auditorias de segurança regulares (por exemplo, SOC 2, ISO 27001) e forneçam relatórios para análise.
Contratos de processamento de dados: certifique-se de que os contratos com processadores terceirizados incluam cláusulas de proteção de dados que estejam em conformidade com padrões regulatórios como GDPR e HIPAA.

16. Planejamento de continuidade de negócios (Business Continuity Planning, BCP)

Plano de continuidade de negócios: desenvolver e manter um BCP que garanta a continuidade de operações críticas no caso de uma interrupção ou interrupção prolongada.
Análise de impacto nos negócios (Business Impact Analysis, BIA): conduzir uma BIA para identificar funções e recursos críticos de negócios necessários para a continuidade durante interrupções.

Claroty é reconhecida como líder no Gartner® Magic Quadrant 2025 para Plataformas de Proteção de Sistemas Ciberfísicos (CPS).

Claroty Vence o melhor em KLAS para segurança de IoT para o setor de saúde - Cinco anos seguidos

Estado da segurança do CPS: Exposições de TO 2025

Impactos financeiros da proteção das operações de CPS

Apresentamos agora o Claroty xDome para o setor de saúde

Phlow aproveita as tecnologias Claroty para proteção incomparável do sistema físico cibernético