Este conteúdo foi atualizado pela última vez em setembro de 2022 e representa o estado do momento em que foi escrito. Os sistemas e as políticas de segurança do Google podem mudar no futuro, à medida que a proteção dos clientes é aprimorada.
A maior prioridade do Google é manter um ambiente seguro para os dados do cliente. Para ajudar a proteger os dados dos clientes, executamos uma operação de segurança da informação líder do setor que combina processos rigorosos, uma equipe especializada em resposta a incidentes e uma infraestrutura de segurança e privacidade de informações em várias camadas. Neste documento, destacamos a abordagem baseada em nossos princípios para gerenciar e responder a incidentes de dados no Google Cloud.
O Adendo sobre processamento de dados do Cloud definem um incidente de dados como "uma violação da segurança do Google que gera destruição, perda, alteração, divulgação não autorizada de ou acesso acidental ou ilegal a Dados do Cliente em sistemas gerenciados ou controlados pelo Google". Tomamos medidas para lidar com ameaças previsíveis a dados e sistemas, mas os incidentes de dados não incluem tentativas malsucedidas ou atividades que não comprometem a segurança dos dados do cliente. Por exemplo, os incidentes de dados não são tentativas malsucedidas de login, pings, varreduras de porta, ataques de negação de serviço e outros ataques a firewalls ou sistemas em rede.
A resposta a incidentes é um aspecto fundamental do nosso programa geral de segurança e privacidade. Temos um processo rigoroso para gerenciar incidentes de dados. Esse processo especifica ações, encaminhamentos, mitigação, resolução e notificação de quaisquer incidentes em potencial que afetam a confidencialidade, a integridade ou a disponibilidade dos dados do cliente.
Para saber mais sobre como protegemos o Google Cloud, consulte a Visão geral do design de segurança da infraestrutura e a Segurança do Google Cloud.
Resposta a incidentes de dados
O programa de resposta a incidentes do Google é gerenciado por equipes de especialistas em incidentes, em várias funções especializadas, para garantir que as respostas sejam bem adaptadas aos desafios apresentados pelos incidentes. Dependendo da natureza do incidente, a equipe de resposta profissional pode incluir especialistas das seguintes equipes:
- Gerenciamento de incidentes na nuvem
- Engenharia de produto
- Engenharia de confiabilidade do site
- Segurança e privacidade na nuvem
- Análise forense digital
- Investigações globais
- Detecção de sinais
- Segurança, privacidade e aconselhamento de produtos
- Garantia e segurança
- Tecnologia de combate ao abuso
- Cloud Customer Care
Os especialistas dessas equipes estão envolvidos de várias maneiras. Por exemplo, os comandantes de incidentes coordenam a resposta a incidentes e, quando necessário, a equipe de análise forense digital realiza investigações forenses e rastreia os ataques em andamento. Os engenheiros de produto trabalham para limitar o efeito nos clientes e fornecer soluções para corrigir os produtos afetados. A equipe jurídica trabalha com membros da equipe de segurança e privacidade apropriada para implementar a estratégia do Google na coleta de provas, trabalhar com as autoridades policiais e reguladoras do governo e aconselhar sobre questões e requisitos legais. A equipe de suporte responde às solicitações dos clientes e solicita mais informações e assistência.
Organização da equipe
Quando declaramos um incidente, nomeamos um comandante do incidente que coordena a resposta e a resolução do incidente. O comandante do incidente seleciona especialistas de equipes diferentes e forma uma equipe de resposta. O comandante do incidente delega a responsabilidade de administrar diferentes aspectos do incidente a esses profissionais e gerencia o incidente desde o momento da declaração até o fechamento. O diagrama a seguir descreve essa organização com vários papéis e as respectivas responsabilidades durante a resposta a incidentes.
Processo de resposta a incidentes de dados
Cada incidente de dados é único e o objetivo do processo de resposta a incidentes de dados é proteger os dados dos clientes, restaurar o serviço normal o mais rápido possível e atender aos requisitos de conformidade regulamentares e contratuais. A tabela a seguir descreve as principais etapas do programa de resposta a incidentes do Google.
| Etapa do incidente | Meta | Descrição |
|---|---|---|
| Identificação | Detecção | Processos automatizados e manuais detectam possíveis vulnerabilidades e incidentes. |
| Relatórios | Processos automatizados e manuais informam o problema para a equipe de resposta a incidentes. | |
| Coordenação | Triagem | As atividades a seguir ocorrem:
|
| Engajamento da equipe de resposta | As atividades a seguir ocorrem:
|
|
| Resolução | Investigação | As atividades a seguir ocorrem:
|
| Contenção e recuperação | O líder de operações realiza seguintes etapas imediatas para:
|
|
| Comunicação | As atividades a seguir ocorrem:
|
|
| Fechamento | Lições aprendidas | As atividades a seguir ocorrem:
|
| Melhoria contínua | Desenvolvimento de programa | Equipes, treinamentos, processos, recursos e ferramentas necessários são mantidos. |
| Prevenção | As equipes melhoram o programa de resposta a incidentes com base nas lições aprendidas. |
As seções a seguir descrevem cada etapa em mais detalhes.
Identificação
A identificação precoce e precisa dos incidentes é fundamental para o gerenciamento eficaz de incidentes. O foco da fase de identificação é monitorar ocorrências de segurança para detectar e relatar possíveis incidentes de dados.
A equipe de detecção de incidentes emprega ferramentas avançadas de detecção, sinais e mecanismos de alerta que indicam possíveis incidentes antecipadamente. Nossas origens de detecção de incidentes incluem:
Análise automatizada de registros de rede e sistema: a análise automatizada do tráfego de rede e do acesso ao sistema ajuda a identificar atividades suspeitas, abusivas ou não autorizadas e as encaminha para a equipe de segurança.
Testes: a equipe de segurança rastreia ativamente ameaças de segurança usando testes de penetração, medidas de garantia de qualidade (QA, na sigla em inglês), detecção de invasão e análises de segurança de software.
Análises de código interno: a análise do código-fonte descobre vulnerabilidades ocultas, falhas de design e verifica se os principais controles de segurança foram implementados.
Ferramentas e processos específicos do produto: ferramentas automatizadas específicas para a função da equipe são empregadas sempre que possível para aprimorar a capacidade do Google de detectar incidentes no nível do produto.
Detecção de anomalias de uso: nós empregamos várias camadas de sistemas de machine learning para diferenciar atividades seguras de anormais de usuários em navegadores, dispositivos, logins de aplicativos e outros eventos de uso.
Alertas de segurança de data centers e serviços no local de trabalho:os alertas de segurança nos data centers verificam incidentes que podem afetar nossa infraestrutura.
Funcionários do Google: um funcionário do Google detecta uma anomalia e a informa.
Programa de recompensa para descobertas de vulnerabilidades do Google: pesquisadores de segurança externos às vezes relatam vulnerabilidades técnicas potenciais em extensões de navegador, dispositivos móveis e aplicativos da Web pertencentes ao Google, que afetam a confidencialidade ou a integridade dos dados do usuário.
Coordenação
Quando um incidente é relatado, o responsável responde e avalia a natureza do relatório do incidente para determinar se ele representa um possível incidente de dados e inicia nosso processo de resposta a incidentes.
Após a confirmação, o atendente entrega o incidente a um comandante do incidente, que avalia a natureza do incidente e implementa uma abordagem coordenada para a resposta. Nesse cenário, a resposta inclui a conclusão da avaliação da triagem do incidente, ajustando sua gravidade, se for preciso, e ativando a equipe de resposta a incidentes necessária com chefes operacionais/técnicos apropriados que revisem os fatos e identifiquem as principais áreas que requerem investigação. Nomeamos um responsável por produtos e um responsável jurídico para tomar decisões importantes sobre como responder. O comandante do incidente atribui a responsabilidade pela investigação e os fatos são reunidos.
Muitos aspectos da nossa resposta dependem da avaliação da gravidade, que é baseada nos principais fatos que são coletados e analisados pela equipe de resposta a incidentes. Os principais fatos são:
Potencial para prejudicar clientes, terceiros e o Google
Natureza do incidente (por exemplo, se os dados foram possivelmente destruídos, acessados ou estão indisponíveis)
Tipos de dados que podem ser afetados
O impacto do incidente na capacidade dos nossos clientes de usar o serviço
O status do incidente (por exemplo, se o incidente foi isolado, está em andamento ou foi contido);
O comandante do incidente e outros responsáveis reavaliam periodicamente esses fatores ao longo do trabalho de resposta, à medida que novas informações evoluem, para garantir que a nossa resposta receba os recursos e a urgência apropriados. É atribuída maior gravidade aos eventos que apresentam impactos mais críticos. Um responsável pelas comunicações é nomeado para desenvolver um plano de comunicação com outros responsáveis.
Resolução
Nesse estágio, o foco está na investigação da causa raiz, limitando o impacto do incidente, resolvendo possíveis riscos de segurança imediatos, implementando as correções necessárias como parte da remediação e recuperando os sistemas, dados e serviços afetados.
Os dados afetados são restaurados para o estado original sempre que possível. Dependendo do que é razoável e necessário em um incidente específico, podemos adotar várias medidas diferentes para resolver um incidente. Por exemplo, pode haver necessidade de investigação técnica ou forense para reconstruir a causa raiz de um problema ou identificar qualquer efeito nos dados do cliente. Podemos tentar recuperar cópias dos dados das cópias de backup caso os dados sejam alterados ou destruídos de forma inadequada.
Um aspecto importante da remediação é notificar os clientes quando os incidentes afetarem os dados deles. Os principais fatos são avaliados ao longo do incidente para determinar se o incidente afetou os dados. Se for apropriado notificar os clientes, o comandante do incidente inicia o processo de notificação. O responsável pelas comunicações desenvolve um plano de comunicação com informações do produto e dos responsáveis jurídicos, informa as pessoas afetadas e aceita as solicitações dos clientes após a notificação, com a ajuda do atendimento ao cliente.
Fazemos o possível para fornecer notificações rápidas, claras e precisas com os detalhes conhecidos do incidente de dados, as medidas que tomamos para mitigar os possíveis riscos e as ações que recomendamos que os clientes realizem para lidar com o incidente. Fazemos o melhor possível para fornecer uma imagem clara do incidente, para que os clientes possam avaliar e cumprir as próprias obrigações de notificação.
Fechamento
Após a correção e resolução bem-sucedida de um incidente de dados, a equipe de resposta a incidentes avalia as lições aprendidas do incidente. Quando o incidente levanta questões críticas, o comandante do incidente pode iniciar uma análise post mortem. Durante esse processo, a equipe de resposta a incidentes analisa as causas do incidente e nossa resposta e identifica as principais áreas de melhoria. Em alguns casos, isso pode exigir discussões com diferentes equipes de produtos, engenharia e operações e o trabalho de aprimoramento de produtos. Se for necessário um trabalho de acompanhamento, a equipe de resposta a incidentes desenvolve um plano de ação para concluir esse trabalho e designa gerentes de projeto para liderar o esforço de longo prazo. O incidente é encerrado após a conclusão dos trabalhos de remediação.
Melhoria contínua
No Google, nos esforçamos para aprender com os incidentes individualmente e implementar medidas preventivas para evitar incidentes futuros.
Os insights úteis da análise de incidentes permitem aprimorar nossas ferramentas, treinamento, processos, programa geral de segurança de dados e privacidade, políticas de segurança e esforços de resposta. Os principais aprendizados também facilitam a priorização dos trabalhos de engenharia e a construção de melhores produtos.
Profissionais de segurança e privacidade melhoram nosso programa revisando nossos planos de segurança para todos os sistemas, redes e serviços e fornecendo serviços de consultoria específicos do projeto para equipes de produtos e engenharia. Profissionais de segurança e privacidade implantam machine learning, análise de dados e outras técnicas inovadoras para monitorar atividades suspeitas nas nossas redes, lidar com ameaças à segurança da informação, realizar avaliações e auditorias de segurança rotineiras e interagir com especialistas de fora para realizar avaliações de segurança regulares. Além disso, o Projeto Zero tem como objetivo evitar ataques direcionados relatando bugs para fornecedores de software e filtrando-os em um banco de dados externo.
Fazemos campanhas de treinamento e reconhecimento regularmente para promover a inovação em segurança e privacidade de dados. A equipe dedicada de resposta a incidentes é treinada em análise forense e no manuseio de provas, incluindo o uso de ferramentas proprietárias e de terceiros. O teste de processos e procedimentos de resposta a incidentes é realizado para as principais áreas, como sistemas que armazenam informações confidenciais de clientes. Esses testes consideram uma variedade de cenários, incluindo ameaças internas e vulnerabilidades de software, e nos preparam para enfrentar incidentes de segurança e privacidade.
Nossos processos são testados regularmente como parte de nossos programas ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 e FedRAMP para fornecer aos nossos clientes e regulamentadores uma verificação independente dos nossos controles de segurança, privacidade e conformidade. Para ver uma lista de certificações de terceiros do Google Cloud, consulte a Central de recursos de conformidade.
Resumo
Proteger os dados é fundamental para nossos negócios. Investimos continuamente em nosso programa geral de segurança, recursos e experiência. Por esse motivo, temos a confiança de nossos clientes para responder com eficácia em caso de incidente, proteger seus dados e manter a alta confiabilidade que os clientes esperam de um serviço do Google.
Nosso programa de resposta a incidentes de nível internacional oferece estas funções principais:
Um processo baseado nas técnicas líderes do setor para resolver incidentes, e refinado para operar de maneira eficiente na escala do Google.
Pioneirismo em sistemas de monitoramento, análise de dados e serviços de machine learning para detectar e conter incidentes de maneira proativa.
Especialistas dedicados que podem responder a qualquer tipo ou tamanho de incidente de dados.
Um processo maduro para notificar prontamente os clientes afetados, de acordo com os compromissos do Google, descritos em nossos termos de serviço e contratos com clientes.
O que vem em seguida?
Para saber mais sobre como protegemos nossa infraestrutura, leia Como criar sistemas seguros e confiáveis (livro da O'Reilly) (em inglês).
Para saber mais sobre como implementar a segurança para cargas de trabalho do cliente no Google Cloud, consulte o Blueprint de bases empresariais e o Framework de arquitetura.