Este conteúdo foi atualizado pela última vez em maio de 2024 e representa o status quo no momento em que foi escrito. As políticas e os sistemas de segurança da Google podem mudar no futuro, à medida que melhoramos continuamente a proteção dos nossos clientes.
A principal prioridade da Google é manter um ambiente seguro para os dados dos clientes. Para ajudar a proteger os dados dos clientes, executamos uma operação de segurança de informações líder da indústria que combina processos rigorosos, uma equipa de resposta a incidentes especializada e uma infraestrutura de segurança de informações e privacidade de várias camadas. Este documento explica a nossa abordagem baseada em princípios para gerir e responder a incidentes de dados no Google Cloud.
A Alteração ao Tratamento de Dados do Cloud define um incidente de dados como "uma violação da segurança da Google que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados aos Dados do Cliente em sistemas geridos ou controlados pela Google". Embora tomemos medidas para resolver ameaças previsíveis aos dados e sistemas, os incidentes de dados não incluem atividades ou tentativas falhadas que não comprometam a segurança dos dados do cliente. Por exemplo, as tentativas de início de sessão falhadas, os pings, as análises de portas, os ataques de negação de serviço e outros ataques à rede em firewalls ou sistemas em rede não se qualificam como incidentes de dados.
A resposta a incidentes é um aspeto fundamental do nosso programa geral de segurança e privacidade. Temos um processo rigoroso para gerir incidentes de dados. Este processo especifica ações, encaminhamentos, mitigação, resolução e notificação de quaisquer incidentes que afetem a confidencialidade, a integridade ou a disponibilidade dos dados do cliente.
Para saber mais sobre como protegemos Google Cloud, consulte a vista geral do design de segurança da infraestrutura e a Google Cloud segurança.
Resposta a incidentes de dados
O nosso programa de resposta a incidentes é gerido por equipas de especialistas em resposta a incidentes em muitas funções especializadas para garantir que cada resposta é bem adaptada aos desafios apresentados por cada incidente. Consoante a natureza do incidente, a equipa de resposta profissional pode incluir especialistas das seguintes equipas:
- Gestão de incidentes e encaminhamento
- Engenharia de produtos
- Engenharia de fiabilidade de sites
- Segurança e privacidade na nuvem
- Investigação forense digital
- Investigações globais
- Deteção e resposta
- Segurança, privacidade e aconselhamento jurídico sobre produtos
- Confiança e segurança
- Tecnologia contra abusos
- Cloud Customer Care
Os especialistas destas equipas estão envolvidos de várias formas. Por exemplo, os comandantes de incidentes coordenam a resposta a incidentes e, quando necessário, a equipa de análise forense digital realiza investigações forenses e monitoriza os ataques em curso. Os engenheiros de produtos trabalham para limitar o impacto nos clientes e fornecer soluções para corrigir os produtos afetados. A consultoria trabalha com membros da equipa de segurança e privacidade adequada para implementar a estratégia da Google sobre a recolha de provas, interagir com as autoridades policiais e os reguladores governamentais, e prestar aconselhamento sobre questões e requisitos legais. O apoio ao cliente responde às consultas e aos pedidos dos clientes de informações e assistência adicionais.
Organização da equipa
Quando declaramos um incidente, designamos um comandante de incidente que coordena a resposta e a resolução do incidente. O comandante do incidente seleciona especialistas de diferentes equipas e forma uma equipa de resposta. O comandante do incidente delega a responsabilidade pela gestão de diferentes aspetos do incidente a estes especialistas e gere o incidente desde o momento da declaração até ao encerramento. O diagrama seguinte representa um exemplo de organização de várias funções e as respetivas responsabilidades durante a resposta a incidentes. Consoante o tipo de incidente, podem ser atribuídas funções diferentes.
Processo de resposta a incidentes de dados
Cada incidente de dados é único e o objetivo do processo de resposta a incidentes de dados é proteger os dados dos clientes, restaurar o serviço normal o mais rapidamente possível e cumprir os requisitos de conformidade regulamentar e contratual. A tabela seguinte descreve os principais passos no programa de resposta a incidentes da Google.
| Passo do incidente | Objetivo | Descrição |
|---|---|---|
| Identificação | Deteção | Os processos automáticos e manuais detetam potenciais vulnerabilidades e incidentes. |
| Relatórios | Os processos automáticos e manuais comunicam o problema à equipa de resposta a incidentes. | |
| Coordenação | Triagem | Ocorrem as seguintes atividades:
|
| Interação da equipa de resposta a emergências | Ocorrem as seguintes atividades:
|
|
| Resolução | Investigação | Ocorrem as seguintes atividades:
|
| Contenção e recuperação | O responsável pelas operações toma medidas imediatas para concluir o seguinte:
|
|
| Comunicação | Ocorrem as seguintes atividades:
|
|
| Encerramento | Lições aprendidas | Ocorrem as seguintes atividades:
|
| Melhoria contínua | Programação | As equipas, a formação, os processos, os recursos e as ferramentas necessários são mantidos. |
| Prevenção | As equipas melhoram o programa de resposta a incidentes com base nas lições aprendidas. |
As secções seguintes descrevem cada passo mais detalhadamente.
Identificação
A identificação antecipada e precisa de incidentes é fundamental para uma gestão de incidentes eficaz. O foco da fase de identificação é monitorizar eventos de segurança para detetar e comunicar potenciais incidentes de dados.
A equipa de deteção de incidentes usa ferramentas de deteção, sinais e mecanismos de alerta avançados que fornecem uma indicação precoce de potenciais incidentes. As nossas fontes de deteção de incidentes incluem o seguinte:
Análise automática de registos de rede e sistema: a análise automática do tráfego de rede e do acesso ao sistema ajuda a identificar atividades suspeitas, abusivas ou não autorizadas, e encaminha-as para a equipa de segurança.
Testes: a equipa de segurança analisa ativamente as ameaças de segurança através de testes de penetração, medidas de controlo de qualidade (QA), deteção de intrusões e revisões de segurança de software.
Revisões do código interno: a revisão do código-fonte deteta vulnerabilidades ocultas, falhas de conceção e verifica se os principais controlos de segurança estão implementados.
Ferramentas e processos específicos do produto: sempre que possível, são usadas ferramentas automáticas específicas da função da equipa para melhorar a nossa capacidade de detetar incidentes ao nível do produto.
Deteção de anomalias de utilização: usamos camadas de sistemas de aprendizagem automática para diferenciar a atividade dos utilizadores segura da anómala em navegadores, dispositivos, inícios de sessão em aplicações e outros eventos de utilização.
Alertas de segurança de centros de dados e serviços no local de trabalho: os alertas de segurança nos centros de dados analisam incidentes que possam afetar a nossa infraestrutura.
Funcionários da Google: um funcionário da Google deteta uma anomalia e comunica-a.
Vulnerability Reward Program da Google: As potenciais vulnerabilidades técnicas em extensões de navegador, aplicações para dispositivos móveis e Web pertencentes à Google que afetam a confidencialidade ou a integridade dos dados do utilizador são por vezes denunciadas por investigadores de segurança externos.
Coordenação
Quando é comunicado um incidente, o responsável de intervenção de serviço revê e avalia a natureza do relatório de incidente para determinar se representa um potencial incidente de dados e inicia o nosso processo de resposta a incidentes.
Após a confirmação, o responsável avalia a natureza do incidente e implementa uma abordagem coordenada à resposta. Nesta fase, a resposta inclui a conclusão da avaliação de triagem do incidente, o ajuste da respetiva gravidade, se necessário, e a ativação da equipa de resposta a incidentes necessária com responsáveis operacionais e técnicos adequados que reveem os factos e identificam as principais áreas que requerem investigação. Designamos um responsável de produto e um responsável jurídico para tomar decisões importantes sobre a forma de responder. Em seguida, o responsável atribui a responsabilidade pela investigação e os factos são reunidos. Se necessário, é declarado um incidente e é atribuído um comandante do incidente.
Muitos aspetos da nossa resposta dependem da avaliação da gravidade, que se baseia em factos importantes recolhidos e analisados pela equipa de resposta a incidentes. Estes factos importantes incluem o seguinte:
Potencial de danos para os clientes, terceiros e a Google
Natureza do incidente (por exemplo, se os dados foram potencialmente destruídos, acedidos ou alterados)
Tipo de dados que podem ser afetados
Impacto do incidente na capacidade dos nossos clientes de usar o serviço
Estado do incidente (por exemplo, se o incidente está isolado, a decorrer ou contido)
O comandante do incidente e outros responsáveis reavaliam periodicamente estes fatores ao longo do esforço de resposta à medida que as novas informações evoluem para garantir que a nossa resposta é atribuída aos recursos e à urgência adequados. Os eventos que apresentam o impacto mais crítico têm a gravidade mais elevada atribuída. É nomeado um responsável de comunicações para desenvolver um plano de comunicações com outros responsáveis.
Resolução
Na fase de resolução, o foco é a investigação da causa principal, a limitação do impacto do incidente, a resolução de riscos de segurança imediatos (se existirem), a implementação das correções necessárias como parte da remediação e a recuperação dos sistemas, dados e serviços afetados.
Sempre que possível, os dados afetados são restaurados para o estado original. Consoante o que for razoável e necessário num incidente específico, podemos tomar várias medidas diferentes para resolver um incidente. Por exemplo, pode ser necessária uma investigação técnica ou forense para reconstruir a causa principal de um problema ou identificar qualquer impacto nos dados dos clientes. Podemos tentar recuperar cópias dos dados das nossas cópias de segurança se os dados forem alterados ou destruídos de forma inadequada.
Um aspeto fundamental da correção é notificar os clientes quando os incidentes afetam os respetivos dados. Os factos principais são avaliados ao longo do incidente para determinar se o incidente afetou os dados dos clientes. Se for adequado notificar os clientes, o responsável pelo incidente inicia o processo de notificação. O responsável pelas comunicações desenvolve um plano de comunicação com a contribuição dos responsáveis pelos produtos e pelos assuntos jurídicos, informa os afetados e apoia os pedidos dos clientes após a notificação com a ajuda do apoio ao cliente.
Esforçamo-nos por fornecer notificações rápidas, claras e precisas que contenham os detalhes conhecidos do incidente de dados, os passos que tomámos para mitigar os potenciais riscos e as ações que recomendamos que os clientes tomem para resolver o incidente. Fazemos o nosso melhor para fornecer uma imagem clara do incidente, para que os clientes possam avaliar e cumprir as suas próprias obrigações de notificação.
Encerramento
Após a remediação e a resolução bem-sucedidas de um incidente de dados, a equipa de resposta a incidentes avalia as lições aprendidas com o incidente. Quando o incidente levanta problemas críticos, o responsável pelo incidente pode iniciar uma análise post mortem. Durante este processo, a equipa de resposta a incidentes revê as causas do incidente e a nossa resposta, e identifica áreas importantes para melhoria. Em alguns casos, isto pode exigir discussões com diferentes equipas de produtos, engenharia e operações, bem como trabalho de melhoria dos produtos. Se for necessário trabalho de acompanhamento, a equipa de resposta a incidentes desenvolve um plano de ação para concluir esse trabalho e atribui gestores de projetos para liderar o esforço a longo prazo. O incidente é encerrado após a conclusão dos esforços de remediação.
Melhoria contínua
Na Google, esforçamo-nos por aprender com cada incidente e implementar medidas preventivas para evitar incidentes futuros.
As estatísticas acionáveis da análise de incidentes permitem-nos melhorar as nossas ferramentas, a formação, os processos, o programa geral de proteção de dados de segurança e privacidade, as políticas de segurança e os esforços de resposta. As principais aprendizagens também facilitam a priorização dos esforços de engenharia e a criação de melhores produtos.
Os profissionais de segurança e privacidade melhoram o nosso programa através da revisão dos nossos planos de segurança para todas as redes, sistemas e serviços, e da disponibilização de serviços de consultoria específicos do projeto às equipas de produtos e engenharia. Os profissionais de segurança e privacidade implementam a aprendizagem automática, a análise de dados e outras técnicas inovadoras para monitorizar a atividade suspeita nas nossas redes, resolver ameaças à segurança das informações, realizar avaliações e auditorias de segurança de rotina e contratar especialistas externos para realizar avaliações de segurança regulares. Além disso, o Project Zero tem como objetivo impedir ataques direcionados através da comunicação de erros aos fornecedores de software e do respetivo registo numa base de dados externa.
Realizamos campanhas de formação e sensibilização regulares para impulsionar a inovação em segurança e privacidade de dados. Os funcionários dedicados à resposta a incidentes recebem formação em análise forense e no processamento de provas, incluindo a utilização de ferramentas de terceiros e proprietárias. Os testes de processos e procedimentos de resposta a incidentes são realizados para áreas importantes, como sistemas que armazenam informações confidenciais dos clientes. Estes testes têm em consideração vários cenários, incluindo ameaças internas e vulnerabilidades de software, e ajudam-nos a preparar-nos melhor para incidentes de segurança e privacidade.
Os nossos processos são testados regularmente como parte dos nossos programas ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 e FedRAMP para fornecer aos nossos clientes e reguladores uma validação independente dos nossos controlos de segurança, privacidade e conformidade. Para ver uma lista de certificações de terceiros para Google Cloud, consulte o Centro de recursos de conformidade.
Resumo
A proteção de dados é fundamental para a nossa empresa. Investimos continuamente no nosso programa de segurança, recursos e conhecimentos especializados gerais, o que permite aos nossos clientes confiar em nós para responder eficazmente em caso de incidente, proteger os dados dos clientes e manter a elevada fiabilidade que os clientes esperam de um serviço Google.
O nosso programa de resposta a incidentes de classe mundial disponibiliza estas funções importantes:
Um processo criado com base em técnicas líderes da indústria para resolver incidentes e refinado para funcionar de forma eficiente à escala da Google.
Sistemas de monitorização, análise de dados e serviços de aprendizagem automática pioneiros para detetar e conter proativamente os incidentes.
Especialistas dedicados que podem responder a qualquer tipo ou dimensão de incidente de dados.
Um processo desenvolvido para notificar atempadamente os clientes afetados, alinhado com os compromissos da Google nos respetivos termos de utilização e contratos com os clientes.
Próximos passos
Para saber mais sobre a gestão de incidentes, leia o capítulo 17 de Building secure and reliable systems (livro da O'Reilly).
Para saber como implementar a segurança para cargas de trabalho de clientes no Google Cloud, consulte o projeto de bases empresariais e o Google Cloud Framework bem arquitetado.