Manter suas comunicações seguras é um dos desafios mais difíceis. Esteja você falando sobre segredos de negócios, comunicando-se com seu advogado ou trocando informações privadas, é imperativo manter as informações confidenciais bem, confidenciais.

 

O que é OPSEC?

 

OPSEC significa segurança de operações. É um conjunto de práticas usadas pelos militares dos EUA para evitar que detalhes de suas operações sejam comprometidos. Essas práticas foram adotadas pelo setor privado para identificar vulnerabilidades em seu tratamento de dados.

Ao executar a OPSEC, os gerentes de segurança analisam todas as operações de negócios da perspectiva do invasor. Eles pesquisam tudo, desde o comportamento dos funcionários até o monitoramento da mídia social, entendendo como hackers em potencial podem explorar vulnerabilidades nos processos, operações, software e hardware de sua organização

 

Por que a OPSEC é tão importante?

 

O objetivo da OPSEC é ensinar os gerentes de TI a pensar da perspectiva do invasor. Isso permite que eles identifiquem proativamente os pontos fracos e reduzam o risco de ameaças internas, ataques cibernéticos, espionagem e outras ameaças potenciais às suas operações. Não realizar OPSEC suficiente é caro: de acordo com a segurança da IBM, uma violação média de dados custa US$ 4,2 milhões.

Em um nível individual, a OPSEC torna você um alvo mais difícil para crimes cibernéticos, como fraude ou roubo de identidade. Conforme você se inscreve em serviços, instala aplicativos, deixa comentários nas mídias sociais e navega na Internet, você deixa fragmentos de dados pessoais que os invasores podem reunir em um perfil abrangente. A OPSEC pode ajudar a amarrar essas pontas soltas e manter seus dados seguros.

 

Quais são as cinco etapas da OPSEC? 

 

O processo de OPSEC, conforme descrito pelos militares dos EUA, inclui cinco etapas.

 

1. Identificação de informações críticas

 

Quais detalhes pessoais você deseja manter privados? A primeira coisa que vem à mente é a sua informação crítica. No contexto de uma conversa digital, é principalmente o conteúdo e os metadados que irão expor você. O conteúdo é a própria conversa, enquanto os metadados descrevem as informações relacionadas a essas informações. Os metadados incluem com quem você fala, quando, a duração e a frequência das conversas.

É fácil ocultar o conteúdo de uma mensagem, mas ocultar os metadados continua difícil. Aplicativos como o Signal prometem não manter metadados, mas, com certeza, você pode ter que executar seu próprio servidor OTR (não é uma façanha trivial e sobrecarregada com riscos exclusivos).

 

2. Análise de ameaças

 

De quem você gostaria de manter seus dados pessoais longe? Se você está apenas escondendo informações de seu perseguidor ou vizinho, seus riscos e vulnerabilidades são muito diferentes do que se você estivesse enfrentando um poderoso estado-nação. A partir daí, você pode desenvolver um perfil de cada ameaça. Você pode pensar nos recursos que eles têm à sua disposição e descobrir o que eles estão procurando. Isso lhe dará informações suficientes para considerar a próxima pergunta.

 

3. Análise de vulnerabilidades

 

Onde eles podem atacar? A terceira etapa é a parte mais desafiadora da conscientização da OPSEC, pois suas vulnerabilidades são potencialmente infinitas. Você precisa ser capaz de confiar em seu dispositivo , sistema operacional, aplicativos e quaisquer programas instalados. Backdoors podem permitir que agências de inteligência acessem seus dados, e uma programação malfeita pode vazar informações sem o seu conhecimento.

Vulnerabilidades também existem ao longo da cadeia de comunicação ou com alguém com quem você está falando. Isso é difícil de avaliar, pois você pode não saber quais sistemas estão sendo executados entre você e eles.

Seu parceiro de bate-papo pode não ter os mesmos incentivos para manter as informações privadas . Talvez estejam em um país onde as autoridades são menos repressivas. Ou talvez eles simplesmente não se importem tanto com a privacidade quanto você.

É essencial incluir o OPSEC das pessoas com quem você está se comunicando em seu modelo OPSEC, mesmo que seja difícil e inclua incertezas. Existem muitas maneiras de mitigar vulnerabilidades, você pode, por exemplo, distanciar-se de seu parceiro de bate-papo revelando apenas as informações estritamente necessárias sobre você.

Infelizmente, os pontos fracos mais desafiadores e problemáticos geralmente estão fora do que é possível por meio da tecnologia. Os invasores podem usar engenharia social para imitar uma pessoa confiável ou funcionário do governo. Eles também podem recorrer a meios físicos, como trocar seu SIM, roubar cartões de caixa eletrônico e oferecer pontos de acesso Wi-Fi comprometidos.

 

4. Avaliação de risco

 

Quais vulnerabilidades são mais prováveis ​​de acontecer? Sua lista de vulnerabilidades provavelmente será muito longa. Mas nem todas as ameaças são igualmente relevantes. Alguns podem não ser relevantes.

Nesta etapa, combine a etapa 2 com a etapa 3 para verificar as ameaças e avaliar como elas podem explorar suas vulnerabilidades.

Uma ameaça pode incluir um hacker sofisticado ou alguém compartilhando sua casa. Cada um precisa ser abordado de forma diferente. Por exemplo, uma senha escrita em um pedaço de papel tem baixo risco de ser descoberta por um hacker, mas há um alto risco de que um colega de quarto bisbilhoteiro possa encontrá-la.

Elimine ameaças desnecessárias de sua lista e marque o restante como alto, médio ou baixo risco.

 

5. Aplicação de medidas OPSEC apropriadas

 

Na última etapa, planeje suas ações. Aborde primeiro as ameaças mais altas e, em seguida, trabalhe para os riscos mais baixos. Alguns serão inevitáveis, mas podem ser minimizados. Incluímos uma lista de exemplos para você começar.

 

Exemplos de OPSEC

 

Para alguns, a OPSEC pode parecer um conceito rebuscado, reservado apenas para militares ou especialistas em segurança cibernética. No entanto, a O