Melhores práticas de segurança

Proteção de Rede

A D2L utiliza uma abordagem em camadas para proteger sua infraestrutura e recursos de rede.

  • Firewalls de inspeção de pacotes com filtragem com estado de perímetro e roteadores terminais bloqueiam protocolos não reconhecidos e ajudam a proteger contra tráfego de rede não autorizado, vírus e malware.
  • Sistema de detecção de intrusões (IDS) Sistemas de prevenção de intrusões (IPS) detectam e bloqueiam tráfego de rede não autorizado. As configurações de assinaturas são revisadas e atualizadas periodicamente para as versões mais comuns e em momentos específicos para as versões de alta prioridade.
  • A tecnologia de inspeção profunda de pacotes está implantada para permitir investigações, quando necessário.
  • A segmentação VLAN ajuda a manter a segmentação do tráfego e os firewalls internos separam o tráfego entre os limites das redes.
  • A tecnologia de Gestão de Eventos e Segurança da Informação (SIEM) está implantada em toda a infraestrutura D2L. Essa tecnologia coleta e agrega eventos de terminais e armazena os eventos em um local central para análises, alertas de segurança e correlações.

Transmissão Segura

  • Conexão ao ambiente Brightspace por meio de protocolos TLS com criptografia RSA®, garantindo aos clientes conexão segura do navegador a nossos serviços.
  • Sessões de usuário individual são identificadas e reverificadas a cada transação, utilizando um token exclusivo criado no momento do login.

Monitoramento de Negação de Serviço

  • A D2L utiliza tecnologia de rede interna como firewalls, WAFs e IDS/IPS para garantir a proteção contra ataques de negação de serviço (DoS).
  • A D2L utiliza provedores terceirizados de serviço para proteger contra ataques de negação de serviço distribuído (DDoS). Esse serviço oferece detecção e mitigação de ataques volumétricos DDoS.

Patching e Gestão de Vulnerabilidades

  • Hardening do sistema
  • Patching e vulnerabilidades
    • A D2L testa todos os códigos contra vulnerabilidades de segurança antes do lançamento e varre periodicamente suas redes e sistemas para detectar vulnerabilidades.
      • Todos os meses, depois da “quinta-feira dos patchs”, acontece uma reunião de um grupo com representantes das equipes do Brightspace Cloud, QA, Desenvolvimento de Produto e Implementação para revisar os patches da Microsoft® e avaliar a criticidade, risco e possíveis efeitos para os serviços da D2L. Os patches podem ser submetidos a processos de QA antes de sua implementação agendada durante o próximo período de manutenção.
  • Avaliações anuais de terceiros
    • A D2L utiliza um provedor terceirizado para realizar anualmente varreduras de penetração e vulnerabilidade na plataforma Brightspace.

Proteção e Ameaça de Terminais

  • Há softwares antivírus instalados nos computadores pessoais de toda a equipe de suporte e desenvolvimento. O antivírus é gerenciado de forma central para garantir que todos os arquivos DAT estejam atualizados. Através de relatórios centralizados, garantimos que as infecções de softwares maliciosos sejam isoladas e, quando necessário, as medidas adequadas sejam tomadas.

Segurança do Aplicativo

  • O aplicativo é desenvolvido utilizando os 10 princípios do Projeto Open Web Application Security Project (OWASP) e com diversos componentes de segurança integrados em sua estrutura. Analistas de segurança fazem buscas regulares por vulnerabilidades nas revisões do código, varreduras do aplicativo e testes de penetração realizados internamente. Provedores terceirizados validam os controles técnicos realizando testes de vulnerabilidade do aplicativo e penetração de rede agendados periodicamente.

Gestão de Incidentes

A D2L definiu um processo de Gestão de Incidentes de Privacidade e Segurança para abordar esse tipo de incidente. O processo pode ser iniciado por um cliente da D2L, um funcionário interno da D2L ou pelo público. Caso um incidente de segurança seja identificado, deve-se respeitar o procedimento geral a seguir.

  • Monitoramento e ciência: O incidente de segurança e/ou privacidade é identificado e comunicado à Equipe de Resposta de Incidentes de Segurança (SIRT).
  • Detecção e análise (triagem): O incidente é avaliado para determinar a gravidade, prioridade, abrangência e impacto. Esse passo pode exigir que se preservem evidências e atividades contenção.
  • Mitigação: São criadas e executadas recomendações para contenção, erradicação e/ou recuperação do incidente em questão.
  • Recuperação: A contenção foi concluída.  Quando aplicável, a varredura de ambientes ocorre para garantir que a mitigação esteja completa.
  • Comunicação: Essa etapa pode incluir comunicação com equipes de recursos internos, partes interessadas e clientes da D2L.  Com base nas conclusões da triagem e da análise, as comunicações são criadas, aprovadas e compartilhadas.
  • Atividade pós-incidente: Nessa etapa, são determinados os aprendizados e é feita a coleta de feedback para melhorar processos e procedimentos de resposta a incidentes.  Quando for o caso, a causa-raiz é identificada e documentada.

Provedores e Prestadores de Serviço

  • A D2L submete todos os provedores e prestadores de serviço a análises para garantir que eles também ofereçam um nível adequado de segurança.

Conscientização sobre Segurança

  • A D2L tem um programa de conscientização sobre segurança que serve para garantir que os funcionários entendam a importância da segurança e como ela afeta suas rotinas de trabalho.
  • Funcionários recém-contratados devem passar por um treinamento sobre segurança. A conclusão do treinamento é auditada ao longo do ano.
  • A equipe de Segurança da Informação utiliza diversas fontes de inteligência contra ameaças de segurança para estar sempre por dentro das ameaças de segurança mais recentes. Essas informações são disseminadas em campanhas periódicas de conscientização para ajudar a garantir que a equipe da D2L conheça essas ameaças e saiba o que fazer caso elas sejam encontradas.

 

Voltar à Visão Geral de Segurança da D2L