O que é um destino de segurança?
Um destino de segurança (ST) é o nome de um documento criado por uma empresa ou empresa de segurança de tecnologia da informação (TI) em relação a um aplicativo ou empresa específica com a qual está trabalhando. Por exemplo, um desenvolvedor de software específico que cria programas antivírus pode fornecer um ST para um programa específico para documentar os tipos de ameaças à segurança que ele foi projetado para detectar e lidar com um cliente. Um destino de segurança também pode ser emitido por um serviço de segurança de TI para uma empresa em particular com a qual está trabalhando, detalhando maneiras específicas pelas quais a empresa está vulnerável a ataques e fornece informações sobre como a segurança pode ser aumentada para essa empresa.
O nome "destino de segurança" refere-se ao documento real elaborado por uma empresa de segurança de TI para detalhar maneiras pelas quais essa empresa pode ajudar a proteger outras pessoas. As informações específicas fornecidas neste tipo de documento podem variar dependendo dos tipos de ameaças que uma empresa pode estar enfrentando ou dos serviços que as empresas podem fornecer. Em geral, no entanto, um alvo de segurança geralmente fornece informações abrangentes sobre as necessidades de segurança de um indivíduo ou empresa e como essas necessidades podem ser atendidas.
Um desenvolvedor de software pode, por exemplo, estabelecer um destino de segurança para indicar os tipos de ameaças com as quais um novo programa de segurança pode lidar. O alvo de segurança para um novo programa antivírus pode indicar os tipos de vírus e outros malwares com os quais o software pode encontrar e lidar com um cliente. Se houver algum problema específico neste programa com falsos positivos ou não encontrar determinadas formas de malware, isso poderá ser incluído no documento. Todas essas informações são normalmente fornecidas em referência ao objetivo de avaliação (TOE), que normalmente é uma empresa específica que pode usar um determinado produto ou serviço.
O alvo de segurança gerado por um serviço de segurança de TI também pode lidar com as necessidades e ameaças específicas de uma empresa em particular. Nesse caso, o TOE não é apenas a própria empresa, mas também arquivos e tipos de informações específicos que a empresa possui. Depois que o TOE é nomeado e detalhado, o alvo de segurança geralmente fornece informações sobre como as ameaças podem ser tratadas, embora de uma maneira bastante geral que não forneça assistência de segurança sem o uso dos serviços da empresa. Todas essas informações são normalmente criadas e fornecidas usando Critérios Comuns para Avaliação de Segurança da Tecnologia da Informação ou "critérios comuns", que se refere a um conjunto de padrões utilizados no setor de TI e segurança.