# O que são controles de segurança?

Áreas frequentemente negligenciadas ao estabelecer resiliência de segurança no trabalho e em casa.

---

## O que são controles de segurança?

Os controles de segurança são a espinha dorsal de qualquer estratégia de segurança robusta, servindo como as medidas que as organizações implementam para proteger seus ativos — pessoas, propriedades ou dados — contra uma infinidade de riscos e ameaças de segurança. Esses controles são meticulosamente projetados para prevenir, detectar, combater ou minimizar o impacto de incidentes de segurança sobre propriedades físicas, informações, sistemas computacionais ou outros ativos valiosos. Ao entender e implementar controles de segurança eficazes, as organizações podem criar um ambiente fortalecido que garanta a segurança e a integridade de suas operações.

## O cenário de SaaS e o estado do BYOD

Bree Fowler, redatora sênior da CNET, conduziu uma mesa-redonda no Bitwarden Open Source Security Summit 2024 entre Schlomo Schapiro, engenheiro principal da Tektit Consulting, e Bjoern Sjut, diretor-gerente de produtividade e TI da Front Row. A conversa explorou as tendências e os desafios atuais da resiliência de segurança e da adoção pelos funcionários. Ela trouxe recomendações de ambos os especialistas sobre como melhorar a segurança geral por meio de controles de segurança estratégicos e bem planejados.

Schapiro iniciou a conversa destacando a ameaça representada pelas tecnologias de software como serviço (SaaS).

> “A maioria das empresas ignora completamente ou subestima a ameaça representada pelo cenário atual de SaaS”, disse Schapiro. “Elas basicamente depositam confiança cega em seus fornecedores de SaaS e abrem mão da propriedade total de seu perímetro. Esse é um dos maiores erros que as empresas cometem. Elas deixam seu perímetro se tornar uma cerca frágil, cheia de buracos, que no fim são brechas que hackers podem explorar. Como setor, precisamos acompanhar a realidade.”

Sjut também destacou a importância dos perímetros, observando que a enorme migração para aplicativos em nuvem tornou os perímetros mais opacos. Sua principal preocupação, no entanto, estava no fato de que as pessoas estão muito mais móveis. “Se não quisermos equipar todos com dispositivos dedicados e específicos, precisamos lidar com os desafios impostos por um ambiente de traga seu próprio dispositivo (BYOD). Em conjunto com essas ferramentas em nuvem, isso significa que temos mais vetores de ataque nos dispositivos e por meio dos aplicativos.”

Embora dispositivos BYOD possam representar riscos de segurança, as organizações podem reforçar suas defesas com ferramentas como gerenciadores de senhas. O Bitwarden oferece acesso multiplataforma para aplicativos móveis, de navegador e desktop, viabilizando um ambiente com senhas e dispositivos ilimitados.

[![Vimeo Video](https://vumbnail.com/1015905668.jpg)](https://vimeo.com/1015905668)
*[Watch on Vimeo](https://vimeo.com/1015905668)*

## Juntando as peças para equilibrar medidas de segurança e produtividade

A maioria das organizações lida com muitas partes móveis para fortalecer a segurança. Para evitar que coisas importantes passem despercebidas, Shapiro acredita que “as empresas precisam garantir que todo aplicativo introduzido em sua pilha use autenticação federada com seu provedor de identidade principal. Um dos piores cenários é ter contas ou aplicativos que não são bem compreendidos e que permanecem ativos depois que um funcionário deixa a organização.”

Sjut enfatiza que a segurança não deve se restringir a “um recurso corporativo. Como setor, todos devemos defender a segurança integrada para não acabarmos em uma posição em que precisemos tapar buracos com muitas medidas diferentes.”

Os profissionais de segurança precisam juntar todas as peças e descobrir o que funciona melhor para eles. Os controles são essenciais para mitigar riscos de negócios e garantir a segurança de forma eficaz.

> “Queremos encontrar o equilíbrio certo entre segurança e produtividade. Acho que um erro que muitas empresas cometem é colocar na agenda uma meta de segurança que pode impedir as pessoas de serem produtivas. Isso as torna menos seguras no longo prazo, porque os funcionários criam sua própria TI sombra, totalmente fora dos limites dos controles de segurança da empresa. Na nossa visão, trata-se de equilíbrio, aliado a uma abordagem baseada em riscos.” - Bjoern Sjut

Se as organizações querem que seus departamentos de segurança sejam eficazes, elas precisam acolher e capacitar os usuários para que realizem seu trabalho com eficiência.

> “É sempre importante ser acessível como departamento de TI. Você quer criar um ambiente em que o caminho de menor resistência para o usuário não contorne a sua segurança.” - Schlomo Schapiro

Funcionários que não conseguem compartilhar arquivos de trabalho relevantes com clientes ou membros da equipe têm maior probabilidade de contornar os protocolos de segurança. A única forma de se proteger contra isso é garantir que “os funcionários se sintam apoiados em sua produtividade. Trata-se realmente de colaboração e de encontrar o equilíbrio certo entre produtividade e segurança (Sjut).”

Gerenciadores de senhas podem ajudar os usuários a navegar pelo equilíbrio delicado entre segurança e produtividade. Eles oferecem um caminho rápido e eficiente para criar, gerenciar e proteger senhas. Gerenciadores de senhas confiáveis, como o Bitwarden, também incluem ferramentas de MFA que os usuários podem aproveitar para uma camada extra de segurança, como o Bitwarden Authenticator integrado ou o aplicativo Bitwarden Authenticator independente.

## Leia mais:

[Como criar a melhor pilha de tecnologias de cibersegurança para sua empresa](https://bitwarden.com/pt-br/blog/best-cybersecurity-for-business/)

## Treinamento de conscientização em segurança: mitigando atritos e considerando vulnerabilidades humanas

As pessoas tendem naturalmente a evitar atritos, inclusive os causados por políticas de segurança. Fowler perguntou a Schapiro e Sjut como eles incentivam melhor os funcionários a evitar contornar as melhores práticas de segurança.

> “Minha recomendação pessoal é pensar em seus usuários como desenvolvedores cidadãos. É importante permitir que seus funcionários usem os sistemas que você fornece. É importante ser acessível, estender uma mão amiga e priorizar a capacitação dos usuários.” - Schlomo Schapiro

Sjut observou que, em muitas empresas, pode ser desafiador para os usuários descobrir como devem obter acesso a uma ferramenta de que precisam. Isso é particularmente comum em empresas de médio porte, porque a empresa pode ser grande o suficiente para perder de vista todas as ferramentas disponíveis, mas não grande o bastante para haver supervisão corporativa.

> “Na minha opinião, muitas empresas gerenciam sua TI de forma incorreta. Elas não a gerenciam como uma defensora do status quo. Gerenciam mais como uma unidade de gestão de instalações, para manter tudo funcionando. Pouquíssimas organizações de TI têm o objetivo de tornar as pessoas mais produtivas.” - Bjoern Sjut

## Erros que as empresas cometem ao estabelecer resiliência de segurança — e o que podem fazer diferente

Schapiro enfatizou a importância de ter controle sobre os perímetros de SaaS e de contar com um plano sólido para recuperar backups — incluindo testes de rotina para garantir que todos entendam seu papel. As organizações devem se concentrar em proteger e manter sistemas críticos para evitar violações e garantir que eles permaneçam funcionais e seguros contra possíveis ataques.

Sjut afirmou que, além dos backups, muitas empresas não têm realmente uma compreensão robusta de identidade, inclusive em relação às pessoas com quem colaboram, como freelancers.

“A quantidade de Contas do Google pessoais usadas para gerenciar dados do Google Analytics me deixa perplexo”, disse Sjut. “A maioria das empresas precisa lidar com identidades digitais. Minha impressão geral é que raramente há alguém que se sinta responsável pelas identidades digitais dentro da organização. As empresas precisam entender seu provedor de identidade principal, como as identidades funcionam e se elas estão sob controle. Quanto mais pessoas fazem login em aplicações em nuvem em um dispositivo pessoal sem que o empregador entenda essa identidade, mais difícil é mitigar os danos.”

## Quais são os tipos de controles de segurança?

### Controles de segurança física

Os controles de segurança podem ser amplamente categorizados em três tipos principais: controles físicos, técnicos e administrativos. Cada tipo desempenha um papel fundamental na criação de uma estrutura de segurança abrangente. Ao integrar esses três tipos de controles, as organizações podem criar uma estratégia de defesa em múltiplas camadas que aborda diversos aspectos de segurança.

- Os controles físicos incluem medidas como sistemas de controle de acesso, câmeras de vigilância e sistemas de alarme. 
- Os controles técnicos abrangem ferramentas e tecnologias como gerenciadores de senhas, firewalls, sistemas de detecção de intrusão e criptografia. 
- Os controles administrativos envolvem políticas, procedimentos e programas de treinamento projetados para gerenciar e governar a postura geral de segurança de uma organização. 

### Controles técnicos de segurança

Os controles técnicos de segurança são essenciais para proteger os ativos digitais de uma organização, incluindo sistemas de computador, redes e dados. Esses controles envolvem uma variedade de tecnologias e práticas projetadas para prevenir, detectar e responder a ameaças cibernéticas, incluindo criptografia, firewalls, controles de acesso, antivírus e detecção de malware. Eles são indispensáveis para proteger contra ameaças cibernéticas como invasões, malware e ransomware, além de garantir a integridade e a confidencialidade dos ativos digitais.

Gerenciadores de senhas como o Bitwarden oferecem [relatórios sobre a integridade das senhas](https://bitwarden.com/pt-br/blog/stay-secure-with-vault-health-reports/), senhas expostas ou reutilizadas, senhas fracas, sites não seguros, logins em duas etapas inativos e violações de dados conhecidas.

### Controles administrativos de segurança

Os controles administrativos de segurança são medidas projetadas para gerenciar e governar a postura de segurança de uma organização por meio de políticas, procedimentos e treinamento. Esses controles são essenciais para orientar o comportamento dos funcionários e garantir a conformidade com padrões de segurança. Os controles administrativos de segurança são cruciais para proteger contra ameaças internas, engenharia social e falhas de conformidade, além de assegurar uma abordagem abrangente para a gestão de segurança.

- Diretrizes claras sobre políticas e procedimentos de segurança ajudam os funcionários a entender seus papéis e responsabilidades na manutenção da segurança, garantindo a aplicação consistente das medidas de segurança.
- Educar os funcionários sobre as melhores práticas de segurança e possíveis ameaças ajuda a criar uma cultura consciente de segurança e reduz o risco de erro humano.
- Planos de resposta a incidentes permitem que as organizações respondam rapidamente a incidentes de segurança, minimizando danos e garantindo uma resposta coordenada.
- Aderir a requisitos regulatórios e de conformidade, como HIPAA e PCI-DSS, garante que as organizações cumpram suas obrigações legais e protejam informações sensíveis.
- Identificar e mitigar rotineiramente os riscos de segurança ajuda as organizações a evitar possíveis ameaças e manter uma postura de segurança robusta.

## Comece a usar o Bitwarden

Controles de segurança são medidas indispensáveis que as organizações devem implementar para proteger seus ativos contra uma ampla variedade de riscos e ameaças de segurança. Entender os diferentes tipos de controles de segurança — físicos, técnicos e administrativos — e suas funções é crucial para desenvolver uma estratégia de segurança eficaz. Além disso, estar ciente de áreas comumente negligenciadas, como treinamentos de conscientização em segurança e controles de segurança física, pode ajudar as organizações a lidar com possíveis vulnerabilidades. Ao adotar uma [abordagem abrangente](https://bitwarden.com/pt-br/blog/strengthen-business-it-security-with-best-practices-for-360-security/) que inclua uma combinação desses controles, as organizações podem garantir a confidencialidade, a integridade e a disponibilidade de suas informações e ativos, aprimorando assim sua resiliência geral de segurança.

## Tenha agora uma segurança de senhas poderosa e confiável. Escolha seu plano.

## Pessoal

### Acabou de começar?

*Obtenha o gerenciamento básico de senhas hoje mesmo. Sempre gratuito.*

[Criar conta gratuita](https://bitwarden.com/go/start-free/)

---

### Premium

**$1.65** *por mês*

*Cobrado anualmente por US$ 19,80*

Aproveite recursos premium

- Autenticador integrado
- Anexos de arquivos
- Acesso de emergência
- Bloqueador de phishing
- Relatórios de segurança e muito mais

Compartilhe itens do cofre com mais um usuário

[Criar conta Premium](https://bitwarden.com/go/start-premium/)

---

### Famílias

**$3.99** *por mês*

*Até 6 usuários, cobrado anualmente por US$ 47,88*

Proteja os logins da sua família

- 6 contas premium
- Compartilhamento ilimitado
- Coleções ilimitadas
- Armazenamento da organização

Compartilhe itens do cofre entre seis pessoas

[Iniciar teste gratuito do Families](https://bitwarden.com/go/start-families-trial/)

---

Preços exibidos em USD e baseados em uma assinatura anual. Impostos não incluídos.

## Empresas

### Teams

*Para equipes e empresas em crescimento que precisam avançar rapidamente.*

**$4** *por mês / por usuário, cobrado anualmente*

**Sem concessões**

Todos os recursos Premium, além de recursos avançados como:

- Compartilhe credenciais com segurança
- Audite atividades com logs de eventos
- Sincronize seu diretório existente
- Automatize o provisionamento com SCIM

[Iniciar teste gratuito](https://bitwarden.com/go/start-teams-trial/)

---

### Enterprise

*Para empresas que precisam de proteção e controle avançados.*

**$6** *por mês / por usuário, cobrado anualmente*

**Proteção máxima**

Todos os recursos Premium e Teams, além de recursos de nível empresarial como:

- Controle de acesso granular
- Integração com SSO sem senha
- Recuperação de conta fácil
- Flexibilidade para auto-hospedagem
- Remediação de riscos com o Access Intelligence [novo]
- Plano Families gratuito para todos os usuários

[Iniciar teste gratuito](https://bitwarden.com/go/start-enterprise-trial/)

---

### Fale com vendas

*Para grandes organizações, fale com um especialista sobre um plano sob medida e saiba como a Bitwarden pode:*

*por mês*

- Reduzir riscos de cibersegurança
- Aumentar a produtividade
- Integrar-se perfeitamente

A Bitwarden se adapta a empresas de qualquer porte para levar segurança de senhas à sua organização

[Fale com Vendas](https://bitwarden.com/talk-to-sales)

---

Preços exibidos em USD e com base em uma assinatura anual. Impostos não incluídos.