Lightning talk: Threat Modeling

Trabalhar com diversos tipos de informações em sua rotina diária pode levantar alguns questionamentos sobre a forma como esses dados são protegidos. Em uma atualidade totalmente voltada para a tecnologia e suas funcionalidades, o roubo de dados se tornou algo mais recorrente e grave com o aumento da relevância dos mesmos. 

A Lightning Talk apresentada por mim, Marcelo Benesciutti, aborda um modelo direcionado justamente para identificações de ameaças em potencial, tudo em um ponto de vista de um invasor hipotético. Esse tipo de execução procura compreender os tipos de riscos e encontrar novas formas de proteção, tudo com base nos preceitos voltados a segurança da informação.           

Segurança e Privacidade de Informações é um assunto que com a chegada das leis de proteção de dados no mundo, e mais especificamente a LGPD aqui no Brasil, está mais forte do que nunca.

Mais forte do que nunca também significa mais dúvidas do que nunca. O que posso fazer para proteger o meu negócio? Como criar um sistema mais seguro?
A Modelagem de Ameaças (Threat Modeling) é uma das maneiras de identificar e mitigar riscos de segurança da informação, tomando o posicionamento de um potencial invasor e questionando: Como esse sistema pode ser invadido? O que posso fazer para mitigar esse risco? Será que fiz um bom trabalho?

Proteger as informações é importante principalmente para empresas e outras organizações que utilizam de características que precisam atender ao sigilo.  

As situações em que o Threat Modeling pode ser aplicado e como responder essas perguntas é um pouco do que falei nessa Lightning Talk. Assista-a para entender:

• Fundamentos;
• O que é;
• Management 1.0;
• Management 2.0;
• Management 3.0;
• Objetivos do modelo;
• Pilares do Management 3.0;
• Características do Management.

Em uma atualidade totalmente voltada para a tecnologia e suas funcionalidades, as informações e como elas são tratadas é um tema cada vez mais relevante, principalmente para empresas e organizações que precisam garantir o sigilo dessas informações, pois o roubo de dados se tornou algo mais recorrente e grave. Com a chegada das leis de proteção de dados no mundo, e mais especificamente a LGPD aqui no Brasil, a relevância do tema só aumenta e está mais forte do que nunca.

A Modelagem de Ameaças busca identificar, comunicar e entender ameaças, além de estabelecer maneiras de mitigar essas ameaças. Essa técnica pode ser aplicada a situações envolvendo hardware, software e perímetro físico, por exemplo. Isso acontece quando a equipe toma o posicionamento de um potencial invasor e questiona: O que estou protegendo? Como alguém pode invadir? O que posso fazer para mitigar esse risco? Será que fiz um bom trabalho?

Além de contribuir para a proteção das informações, fazer a Modelagem de Ameaças é uma maneira de fazer um time se aproximar cada vez mais de uma cultura de segurança da informação, onde todos entendem as ameaças e tem uma mentalidade voltada para a proteção de dados. 

Outros exemplos de situações em que o Threat Modeling pode ser aplicado e como responder aos questionamentos chave da metodologia é um pouco do que falei nessa Lightning Talk. 

Fica o questionamento: Quando você irá começar a realizar a Modelagem de Ameaças na sua organização?