8.8 KiB
meta_title, title, icon, description
| meta_title | title | icon | description |
|---|---|---|---|
| Modelo de ameaças: o primeiro passo na sua jornada de privacidade - Privacy Guides | Modelo de ameaças | O que são modelos de ameaça? | Equilibrar segurança, privacidade e usabilidade é uma das primeiras e mais difíceis tarefas que enfrentará na sua jornada de privacidade. |
Equilibrar segurança, privacidade e usabilidade é uma das primeiras e mais difíceis tarefas que enfrentará na sua jornada de privacidade. Tudo implica cedências: quanto mais seguro algo é, mais restritivo ou inconveniente é geralmente, etc. Muitas vezes, as pessoas descobrem que o problema com as ferramentas que consideram recomendadas é que são muito difíceis de começar a usar!
Se quisesse usar as ferramentas mais seguras disponíveis, teria que sacrificar muito a usabilidade. E, mesmo assim, ==nada é totalmente seguro.== Há alta segurança, mas nunca total segurança. É por isso que os modelos de ameaça são importantes.
Então, quais são esses modelos de ameaças, afinal?
==Um modelo de ameaças é uma lista das ameaças mais prováveis aos seus empreendimentos de segurança e privacidade.== Como é impossível proteger-se contra cada ataque (ou atacante), deve-se concentrar nas ameaças mais prováveis. Na segurança do computador, uma ameaça é um evento que pode minar os seus esforços para permanecer privado e seguro.
Concentrar-se nas ameaças que são importantes para si, reduz a quantidade de reflexão e pensamento destinados à proteção necessária, para que possa escolher as ferramentas certas para o trabalho que pretende realizar.
Crie o seu modelo de ameaças
Para identificar o que pode acontecer às coisas que valoriza e determinar de quem precisa de as proteger, responda a estas cinco perguntas:
- O que é que eu quero proteger?
- De quem eu quero protegê-lo?
- Qual é a probabilidade de eu precisar de o proteger?
- Quão más são as consequências se eu falhar?
- Quantos problemas estou disposto a enfrentar para tentar evitar possíveis consequências?
O que é que eu quero proteger?
Um "bem" é algo que você valoriza e quer proteger. No contexto da segurança digital, ==um ativo é geralmente algum tipo de informação.== Por exemplo, os seus e-mails, listas de contactos, mensagens instantâneas ou localização e arquivos são todos ativos possíveis. Os seus próprios dispositivos também podem ser bens.
Faça uma lista dos seus bens: dados que guarda, onde são guardados, quem tem acesso a eles e o que impede outros de lhes acederem.
De quem eu quero protegê-lo?
Para responder a esta pergunta, é importante identificar quem pode querer ter como alvo você ou as suas informações. ==Uma pessoa ou entidade que representa uma ameaça aos seus ativos é um “adversário”.== Exemplos de potenciais adversários são o seu chefe, o seu ex-parceiro, o seu concorrente comercial, o seu governo ou um hacker numa rede pública.
Faça uma lista dos seus adversários ou daqueles que podem querer apropriar-se dos seus ativos. A sua lista pode incluir indivíduos, agências governamentais ou corporações.
Dependendo de quem são os seus adversários, em algumas circunstâncias, essa lista pode ser algo que vai querer destruir depois de concluir o planeamento de segurança.
Qual é a probabilidade de eu precisar de o proteger?
==Risco é a probabilidade de que uma ameaça específica contra um ativo específico realmente ocorra.== Ele anda de mãos dadas com a capacidade. Embora a sua operadora de telemóvel tenha a capacidade de aceder a todos os seus dados, o risco de que eles coloquem os seus dados particulares online para prejudicar a sua reputação é baixo.
É importante distinguir entre o que pode acontecer e a probabilidade de acontecer. Por exemplo, há uma ameaça de colapso do seu edifício, mas o risco de isso acontecer é muito maior em São Francisco (onde os terramotos são comuns) do que em Estocolmo (onde são raros).
A avaliação de riscos é um processo pessoal e subjetivo. Muitas pessoas consideram certas ameaças inaceitáveis, independentemente da probabilidade de ocorrência, porque a mera presença da ameaça não vale o custo. Noutros casos, as pessoas desconsideram os altos riscos, porque não veem a ameaça como um problema.
Escreva quais as ameaças que leva a sério, e quais as que podem ser muito raras ou inofensivas (ou muito difíceis de combater).
Quão más são as consequências se eu falhar?
Há muitas formas de um adversário poder ter acesso aos seus dados. Por exemplo, um adversário pode ler as suas comunicações privadas no momento em que elas passam pela rede, e podem apagar ou corromper os seus dados.
==Os motivos dos adversários diferem amplamente, assim como as suas táticas.== Um governo que tenta impedir a disseminação de um vídeo que mostra violência policial, pode-se contentar em simplesmente apagá-lo ou reduzir a disponibilidade desse vídeo. Em contraste, um adversário político pode desejar ter acesso a conteúdo secreto e publicar esse conteúdo sem que disso dê conta.
O planeamento de segurança envolve compreender quão más podem ser as consequências se um adversário conseguir ter acesso a um dos seus ativos. Para determinar isso, deve considerar a capacidade do seu adversário. Por exemplo, a sua operadora de telemóvel tem acesso a todos os seus registos telefónicos. Um hacker numa rede Wi-Fi aberta pode aceder às suas comunicações não encriptadas. O seu governo pode ter capacidades mais fortes.
Escreva o que o seu adversário pode querer fazer com os seus dados privados.
Quantos problemas estou disposto a enfrentar para tentar evitar possíveis consequências?
==Não há opção perfeita para a segurança.== Nem todos têm as mesmas prioridades, preocupações ou acesso aos recursos. A avaliação de risco permitir-lhe-á planear a estratégia certa, equilibrando conveniência, custo e privacidade.
Por exemplo, um advogado que representa um cliente num caso de segurança nacional pode estar disposto a ir mais longe para proteger as comunicações sobre esse caso, como o uso de e-mail encriptado, do que uma mãe que envia regularmente e-mails com vídeos engraçados de gatos para a sua filha.
Escreva as opções que você tem disponíveis para ajudar a mitigar as suas ameaças únicas. Verifique se tem alguma restrição financeira, técnica ou social.
Experimente você mesmo: Proteger os seus bens
Estas perguntas podem aplicar-se a uma ampla variedade de situações, online e offline. Numa demonstração genérica de como estas questões funcionam, vamos construir um plano para manter a sua casa e os seus bens seguros.
O que deseja proteger? (Ou, o que é que tem que vale a pena proteger?) :
Os seus bens podem incluir joias, aparelhos eletrónicos, documentos importantes ou fotos.
De quem quer protegê-los? :
Os seus adversários podem incluir assaltantes, companheiros de quarto ou convidados.
Qual é a probabilidade de precisar de os proteger? :
O seu bairro tem um histórico de assaltos? Quão confiáveis são os seus colegas de quarto ou convidados? Quais são as capacidades dos seus adversários? Quais são os riscos que deve considerar?
Quão más são as consequências se falhar? :
Tem alguma coisa na sua casa que não possa substituir? Tem tempo ou dinheiro para substituir essas coisas? Tem um seguro de casa que cubra roubo de bens?
Quantos problemas está disposto a passar para evitar essas consequências? :
Está disposto a comprar um cofre para documentos sensíveis? Tem dinheiro para comprar um aloquete de alta qualidade? Tem tempo para abrir uma caixa de segurança no seu banco e guardar lá os seus valores?
Só depois de se ter feito estas perguntas é que estará em condições de avaliar que medidas tomar. Se os seus bens são valiosos, mas a probabilidade de um arrombamento é baixa, então poderá não querer investir muito dinheiro numa fechadura. Mas, se a probabilidade de arrombamento for alta, convém obter a melhor fechadura do mercado e considerar a instalação de um sistema de segurança.
Fazer um plano de segurança ajudá-lo-á a entender as ameaças que são únicas e a avaliar os seus ativos, os seus adversários e as capacidades dos seus adversários, juntamente com a probabilidade de riscos que enfrenta.
Leitura Adicional
Para as pessoas que procuram aumentar a sua privacidade e segurança online, compilámos uma lista de ameaças comuns que os nossos visitantes enfrentam ou objetivos que nossos visitantes têm, para lhe dar alguma inspiração e demonstrar a base das nossas recomendações.