ISO 27001

As 5 principais
maneiras dos seus
colaboradores
serem hackeados
e como evitá-las.

Dependemos de tal forma da conectividade de dados

e da internet que é difícil imaginar o nosso cotidiano
sem ela.

Pesquisas mostram que passamos, em média, 6,7

horas por dia on-line1 e, com a proliferação da Internet
das Coisas, são poucas as chances de acompanharmos
as informações que compartilhamos e como as
compartilhamos.

1
https://www.slideshare.net/wearesocialsg/digital-in-2017-global-overview
 Um negócio pequeno é um
grande negócio para os
criminosos cibernéticos
50% de todos os ataques cibernéticos
têm como alvo pequenas empresas. Os
hackers se aproveitam do fato de que as
pequenas empresas não têm o mesmo
nível de defesa cibernética que as
grandes organizações têm.

Ao contrário da crença Um modelo formal para a

implementação em toda a
popular, as pequenas organização é a norma internacional
O que a certificação
empresas são bem mais de sistema de gestão de segurança 27001 significa para
suscetíveis a ataques da informação (SGSI) ISO 27001 a sua organização
(Tecnologia da informação –
cibernéticos do que as Técnicas de Segurança – Sistemas Quando os sistemas de
grandes organizações, de gestão de segurança da segurança da informação
informação – Requisitos). Esta
constituindo quase 50% não são devidamente
fornece às organizações um modelo
de todos os ataques de melhores práticas para gerenciados e mantidos,
identificar, analisar e, então, as organizações correm o
virtuais2. Quando implementar controles para risco de sofrer graves
consideramos que os gerenciar os riscos de segurança da perdas financeiras e de
colaboradores informação e proteger a integridade
reputação.
de dados essenciais aos negócios.
transportam dados
Mesmo antes da sua organização A ISO 27001 pode ajudar a
corporativos confidenciais obter formalmente a certificação garantir que a sua
em seus laptops, para a ISO 27001, já é possível organização tenha os
smartphones e tablets começar a promover uma cultura de
‘conscientização cibernética’ entre
controles certos em vigor
56% das vezes3, a adoção os seus colaboradores. para reduzir o risco de
de alguma melhor prática graves ameaças à
Confira as cinco principais maneiras
de cibersegurança torna- como os colaboradores podem ser segurança dos dados e
hackeados e os hábitos simples que evitar que os pontos
se essencial para proteger podem ser implementados para fracos do sistema sejam
a resiliência da sua fortalecer a resiliência da sua explorados.
organização. organização frente às ameaças de
ataques cibernéticos.

2
http://www.inc.com/joseph-steinberg/small-businesses-beware-half-of-all-cyber-attacks-target-you.html
3
http://blog.trendmicro.com/trendlabs-security-intelligence/the-weakest-link-in-data-protection-infographic/

Lloyd’s Register
 1 Phishing de e-mail
Phishing é uma das técnicas mais
comuns usadas pelos criminosos
virtuais para enganar as pessoas
on-line.
Os autores das fraudes tentam extrair informações
pessoais confidenciais e instalar softwares maliciosos
nos dispositivos usando o e-mail.

Diversos tipos diferentes de ataques de phishing de e-mail são utilizados dependendo da vítima-alvo:

Phishing em massa Spear phishing Whaling

Los invasores promueven una gran Ataques personalizados dirigidos Una forma de spear phishing cuyos
red de ataques con la esperanza de a un grupo o individuo específico objetivos son ejecutivos importantes
que alguien caiga en la trampa utilizando información personal dentro de una organización, como un
CEO o un CFO

Alvos de phishing de e-mail

Folha de
CFO RH Financeiro pagamento COO Especialistas

47% 25% 13% 8% 5% 1%

Source: Proofpoint

Há também o voice phishing (ou passar por uma autoridade usando de texto para enganar as pessoas e
vishing), em que o autor do ataque táticas de intimidação, e o phishing fazer com que revelem informações
solicita informações pessoais ou por SMS (ou smishing) em que os privadas ou infectam os seus
financeiras por telefone, fazendo-se autores da fraude usam mensagens smartphones com malware.

2 Phishing em mídias sociais

Os sites de mídia social são o local perfeito para os criminosos virtuais. Relatórios anteriores estimaram que os
custos anuais com relação a crimes virtuais nos EUA poderiam chegar a US$100 bilhões.

Provavelmente isso ocorre porque

interagimos em mídias sociais sob a falsa
sensação de privacidade e familiaridade
ao nos conectarmos com pessoas que já
conhecemos.

Se a sua organização tem equipes que lidam
bastante com mídia social como parte de
seus trabalhos diários, como Atendimento ao
Cliente, Marketing Digital ou departamentos
de Comunicação, elas devem saber como
identificar possíveis postagens perigosas. As
repercussões das fraudes, cujos autores usam
a marca da sua organização para dar golpes
em clientes reais, podem ser extremamente
danosas, não só financeiramente mas
também em termos de reputação.
Sempre utilizamos centros de dados em
conformidade com o Cyber Essentials e a ISO
27001 para hospedar a nossa plataforma e
adotamos procedimentos internos que demandam
altos níveis de segurança da informação. Essa
acreditação fortalece ainda mais a nossa posição
como parceiros de confiança.
David Cocks
CEO da CloudTrade

As 5 principais maneiras dos seus colaboradores serem hackeados e como evitá-las | 03

 3 Pontos de acesso via WiFi públicos
Redes WiFi públicas estão em
toda parte – cafeterias, hotéis,
aeroportos, entre outras áreas
de uso coletivo. Até mesmo
o colaborador com maior
‘conscientização cibernética’ entre
os demais pode cair na armadilha de
se conectar a redes WiFi inseguras,
devido a a sua necessidade de se
manter conectado.
Os dados transmitidos em uma
rede WiFi sem segurança podem
ser facilmente hackeados por uma
outra pessoa na mesma rede. Uma
vez conectado, os invasores podem
acessar dispositivos remotamente
– desde fotos pessoais até aquele
e-mail altamente confidencial do seu
CFO.
Se os hackers obtiverem as senhas,
eles as usarão para acessar outras
contas, incluindo perfis de mídia
social, a partir dos quais eles se
envolvem em violações mais graves,
como o roubo de identidade on-line.

4
Transações on-line, aplicativos móveis e downloads de
softwares
Tendemos a achar que atividades
online ‘inofensivas’, como
o download de softwares, o
processamento de pagamentos e
o acesso a dados relacionados a A decisão de obter a certificação ISO 27001 nunca
trabalho em nossos smartphones,
não colocam em risco a segurança
foi só por obter uma certificação de sucesso. Era
virtual. uma questão de fortalecer o crescimento dos nossos
Muitas vezes, os colaboradores não negócios e as suas atividades, para fornecer os níveis
estão cientes dos riscos, podendo de resiliência e confiança esperados pelos clientes
inadvertidamente instalar um
que utilizam nossos serviços.
malware em dispositivos fornecidos
pela empresa ou dar aos criminosos John Hall
virtuais acesso a redes corporativas. CEO da MyLife Digital

5 Colaboradores desonestos
Tendemos a baixar nossa guarda quando se trata dos dispositivos em nosso local de trabalho.

Apesar de, na maioria das vezes, todos nós precisamos estar cientes de desonesto que esteja tentando
confiarmos em nossos colegas, com que podemos estar compartilhando prejudicar os sistemas de TI da
a espionagem virtual em ascensão, um escritório com um colaborador organização.

Lloyd’s Register
Como proteger a sua organização
de ataques cibernéticos
Se você, assim como 74% das empresas, acredita que os colaboradores são o seu elo mais fraco
em termos de cibersegurança, então as chances da sua empresa se manter resiliente aumentam
consideravelmente quando os colaboradores estão equipados com as ferramentas certas para
proteção dos ativos digitais da organização, assim como de si mesmos.
Considere essas dicas básicas para fortalecer a resiliência virtual da sua organização:
Determine um treinamento básico
de segurança da informação
O treinamento dos colaboradores
deve estar associado à promoção
de uma cultura de conscientização
dos riscos cibernéticos em toda
a organização. Garanta que
todos tenham, pelo menos, um
entendimento básico sobre a
segurança da informação e o que
isso significa para os negócios. Como
parte do treinamento, apresente
a eles hábitos simples que se
adaptem aos seus cotidianos – como
o bloqueio dos seus dispositivos
sempre que estiverem distantes;
nunca conectar dispositivos USB
desconhecidos em seus notebooks;
e saber como identificar atividades
de phishing on-line. Por exemplo,
um mantra simples para combater
phishing de e-mail é “Na dúvida,
delete!” O treinamento é importante,
mas nunca deve ser tratado como
uma única linha de defesa contra
qualquer risco virtual substancial.
Perceba que ninguém está seguro
Compreender que todo mundo é
um alvo em potencial representa
metade da batalha ganha. Ajude-os a
conhecer as realidades de um ataque
cibernético e analise-o de uma forma
que seja simples de entender e fácil
de compartilhar com outras pessoas.
É importante conscientizá-los sobre
o fato de que estarem sujeitos a um
crime virtual é basicamente o mesmo
que ter os seus carros roubados
ou suas casas arrombadas quando
menos se espera.
As 5 principais maneiras dos seus colaboradores serem hackeados e como evitá-las | 05
Implemente um cronograma de a sua influência em outras partes
backup do sistema pode ajudar a conter
o alcance dos danos. Em resumo,
Se, com frequência, você faz um
forneça às pessoas acesso aos
backup de dados importantes em
sistemas e dados de que elas
redes remotas, as chances são
estritamente precisam para realizar
grandes de que uma cópia recente
seus trabalhos, e não para todo o
esteja acessível, caso ocorra um
resto.
ataque cibernético, de modo que os
dados seriam mantidos separados da Nunca compartilhe a sua senha
fonte da violação.
Cada colaborador que acessa um
Use criptografia o máximo possível sistema deve ter credenciais únicas
de login. Essa abordagem não só
No mundo da cibersegurança,
melhora a capacidade de auditar as
nunca se está totalmente seguro.
atividades das pessoas em caso de
Hoje em dia, o armazenamento de
violação, mas também as estimula a
dados, confidenciais ou não, em um
proteger melhor as suas senhas. Não
formato criptografado é tão simples
há necessidade nenhuma de contar
quanto comprar um dispositivo
a alguém qual é a sua senha, e caso
de armazenamento USB pré-
você o faça, altera-a o mais rápido
criptografado. A criptografia também
possível.
está integrada em muitas versões do
Windows e, além disso, há diversas Implemente uma política para
ferramentas de criptografia gratuitas senhas
disponíveis.
Costuma-se exigir senhas complexas,
Adapte os níveis de acesso do mas isso faz com que as pessoas as
colaborador sempre que necessário escrevam ou reutilizem variações
delas. Uma estratégia simples
Muitas vezes, um hacker realiza
é pensar em uma sentença
uma infiltração intencional ao ser
como ‘Kevin é o pai número 1 do
contratado como colaborador de
mundo!’ e construí-la como uma
meio expediente ou de nível iniciante.
senha ‘Keop#1dM!’ Para sistemas
Quando os níveis de acesso dos
extremamente confidenciais,
colaboradores são fornecidos de
considere formas mais fortes de
acordo com a função estratégica
autenticação como a biométrica ou
desempenhada por estes dentro
que envolva vários fatores.
da empresa, isso reduz as chances
de uma situação de ‘ataque e
fuga’. Mesmo que um hacker viole
a segurança de uma única pessoa
que ocupa um cargo sênior, limitar
Reconheça o lado sombrio das
mídias sociais
O phishing nas mídias sociais
pode ser um pesadelo para as
organizações. O roubo de identidade
on-line tem sérias consequências e
um único perfil falso pode destruir o
valor da marca construído ao longo
de décadas. Para piorar a situação,
66% dos usuários do Facebook nos
EUA não sabem como utilizar os
controles de privacidade, e 15%
admitem que nunca verificaram as
suas configurações de privacidade e
segurança. Implemente tecnologia
para garantir que a mídia social
seja mantida dentro de limites de
segurança toleráveis e conscientize os
colaboradores sobre como identificar
tentativas de phishing nos vários
canais das mídias sociais.
Instale um software de segurança
Isso é óbvio, mas sempre é bom
repetir. Todos os dispositivos de
computadores, incluindo tablets
e smartphones pessoais, que
contêm informações confidenciais
ou que serão adicionados à rede
com outros dispositivos, exigem
softwares de segurança. Vários
pacotes populares e econômicos
que incluem antivírus, firewall,
antispam e outras tecnologias
benéficas estão disponíveis on-
line. Estes devem ser configurados
como ‘atualização automática’ para
garantir que o software antivírus seja
constantemente atualizado, incluindo
defesas contra novas ameaças
cibernéticas e tipos de malware cada
vez mais avançados.
Lloyd’s Register
Contaminação cruzada de
dispositivos pessoais é real
Os colaboradores que acessam
sistemas corporativos através
dos seus notebooks pessoais ou
smartphones apresentam o risco de
contaminação cruzada a partir de
atividades pessoais de navegação. Se
é permitido que as pessoas utilizem
dispositivos pessoais para atividades
relacionadas ao trabalho, é bom
se certificar de que há segurança
adequada nesses dispositivos e impor
o uso por meio de tecnologia.
Considere a
certificação ISO
27001
A coisa mais perigosa que você pode
fazer é subestimar o valor que um
profissional de segurança da
informação pode trazer para a sua
organização. Fornecedores de
auditoria de terceira parte
independente como o LR podem
ajudar com a elaboração da sua
abordagem e modelo para
implementar a cibersegurança em
toda a organização.
O custo da contratação de um
especialista pagará por si mesmo
muitas vezes, em termos de tempo,
dinheiro e transtornos economizados.
Afinal, não é uma questão de “se”,
mas de “quando” a sua organização
se tornará um alvo.
As pequenas empresas cometem o
erro caro de achar que os seus dados
têm pouca importância comparados
às grandes organizações e, portanto,
negligenciam qualquer forma de
cibersegurança. Os hackers se
aproveitam dessa crença, o que
explica por que as pequenas
empresas são as vítimas 50% das
vezes.
Com uma política e um modelo fortes
de segurança da informação em vigor,
a sua organização estará mais apta a
evitar e prever problemas de
cibersegurança e terá os processos
certos estabelecidos para lidar com
eles quando surgirem.
A forma mais reconhecida de se fazer
isso é por meio da certificação ISO
27001. Em resumo, a ISO 27001 é a
‘linguagem comum’ do mundo
quando se trata de avaliar, tratar e
gerenciar riscos relacionados às
informações.
Algumas das vantagens da
certificação ISO 27001 são:
– Como a única norma internacional
auditável que define os requisitos
de SGSI, a certificação ISO 27001
garante conformidade com os
requisitos legais, contratuais e
regulatórios.
– Flexibilidade para integrar a ISO
27001 a outros sistemas de gestão
importantes como a ISO 9001 e a
ISO 14001, tendo em conta que a
versão mais recente da norma está
alinhada com a estrutura de alto
nível.
– Ter um modelo de gestão em vigor
para todas as organizações,
independentemente do tamanho,
do setor ou local, como um ponto
de partida para gerenciar os riscos
cibernéticos.
– Obter vantagem competitiva,
melhorando a capacidade da sua
organização de conquistar novos
negócios e reter a base existente de
clientes.
– Reduzir os custos envolvidos ao ter
que agendar auditorias repetidas de
clientes e proteger contra perdas
financeiras associadas a violações
de dados.
– Maior conscientização cibernética
de toda a organização, e não só da
TI, ao estabelecer com clareza o
risco cibernético aplicado ao
trabalho diário dos colaboradores.
Nossa
especialidade
A informação é um dos ativos mais
valiosos e essenciais aos negócios
para qualquer organização. No atual
mundo hiperconectado, as
organizações estão expostas a
ameaças em grande escala à
segurança da informação e a ataques
cibernéticos devastadores,
independentemente do tamanho, do
setor ou da região.
Quando os sistemas de segurança da
informação não são devidamente
gerenciados e mantidos, as
organizações correm o risco de sofrer
graves perdas financeiras e de
reputação.
Garantir que a sua organização tenha
os controles certos em vigor para
reduzir o risco de ameaças sérias à
segurança dos dados e evitar que os
pontos fracos do sistema sejam
explorados não é mais opcional.
A metodologia exclusiva de auditorias do LR
ajuda a gerenciar os seus sistemas e riscos
para melhorar e proteger o desempenho
atual e futuro de sua organização.
As 5 principais maneiras dos seus colaboradores serem hackeados e como evitá-las | 07
Isso é assim principalmente desde a
publicação do Regulamento Europeu
de Proteção aos Dados Pessoais
(General Data Protection Regulation
– GDPR), que impõe requisitos mais
rigorosos e multas mais severas às
organizações em caso de violações de
dados.
O LR é pioneiro no desenvolvimento
de normas e está envolvido com
auditoria e certificação de sistemas de
gestão de segurança da informação
(SGSI) há muitos anos.
Nosso portfólio de clientes de
destaque nos setores de finanças,
telecomunicações, software, Internet,
consultoria, justiça e governamentais
acredita na capacidade do LR de
entregar auditorias de alta qualidade,
consistentes e imparciais com o total
apoio de um pacote de suporte
especializado.
Nossos auditores são especialistas em
sistemas de gestão, com qualificação
em segurança da informação e outros
aspectos da TI, cuja visão objetiva
dará a você a confiança em suas
próprias medidas de segurança,
consideradas as melhores práticas do
setor.
Sobre o LR
O LR é líder no fornecimento de
serviços de auditoria profissionais
com reconhecimento mundial. Somos
especializados em conformidade de
sistemas de gestão em um amplo
espectro de normas, esquemas e
serviços de melhoria de negócios,
incluindo programas personalizados
de treinamento e auditoria. Somos
reconhecidos por cerca de 50
organismos de acreditação e
fornecemos nossos serviços para
clientes em mais de 120 países.
Nossa exclusiva metodologia de
auditoria leva seus sistemas de gestão
da conformidade até o desempenho,
a fim de reduzir o risco aos negócios e
aumentar a eficácia, a eficiência e a
melhoria contínua de seus sistemas
de gestão.
O LR faz parte do Grupo Lloyd’s
Register e em nossa essência
encontrase a instituição sem fins
lucrativos, a Fundação LR. A maioria
das organizações faz algo para ganhar
dinheiro, mas, no Lloyd’s Register,
ganhamos dinheiro para fazer algo.
Como uma porcentagem de nosso
lucro é destinada à Fundação LR,
sempre que você escolher o LR, você
não apenas está obtendo os melhores
serviços de auditoria profissional do
mercado, mas está ajudando a fazer a
diferença em nosso mundo.
Com a nossa grande variedade de
serviços de auditoria e treinamento, o
LR está ajudando as organizações em
todo o mundo a realizar a transição
para as normas ISO novas e revisadas.
Oferecemos diversos serviços de
avaliação, assim como treinamentos
abertos e in company, todos com o
objetivo de ajudar a garantir que as
organizações, em todo o mundo,
tenham uma transição efetiva para as
novas normas.
Nossos Serviços de
Avaliação e
Treinamento em
Segurança da
Informação
Fornecemos uma variedade de
serviços de avaliação presenciais e
on-line, adequados para
organizações de todos os tamanhos
e regiões, ajudando a sua empresa a
aproveitar ao máximo as normas.
Treinamento
A variedade de serviços de
treinamentos personalizados e
pacotes de cursos do LR ajuda as
organizações em qualquer estágio
do seu SGSI.
Nossos cursos incluem:
• Introdução à ISO 27001:2013
• Implementação da ISO 27001:2013
• ISO 27001:2013 Auditor Interno e
Auditor Líder
• Treinamento em conscientização
sobre EU GDPR (presencial, in
company ou e-learning)
Certificação Monitoramento
Geralmente, trata-se de um processo
de duas fases, que consiste na
Assim que tivermos aprovado o seu
SGSI, realizaremos visitas de
análise do sistema e em uma Monitoramento regulares, para
avaliação inicial, cuja duração verificar a efetividade constante do
depende do porte e da natureza da seu sistema. Isso dá a você e à sua
organização. alta direção a garantia de que os
sistemas de gestão estão
O seu gerente de desenvolvimento funcionando e melhorando de forma
de negócios irá elaborar uma solução contínua.
para atender às suas necessidades
específicas, enquanto nossos Auditoria
auditores estarão disponíveis para
Fornecemos Auditorias de Impacto
ajudá-lo com a adoção de uma
para a Proteção de Dados a
metodologia prática. Esta é uma das
várias maneiras de agregar valor ao organizações que querem estar em
processo de auditoria. conformidade com os novos
requisitos introduzidos pelo EU GDPR
Gap Analysis (European General Data Protection
Regulation).
Esta atividade realizada pelo auditor
oferece a oportunidade de se As empresas que buscam combinar o
concentrar nas áreas críticas e de seu sistema de gestão com um
alto risco ou nos pontos fracos de seu sistema de gestão existente (como o
sistema, a fim de criar um sistema de qualidade) também podem se
que possa ser certificado. Ela beneficiar com uma auditoria
também pode examinar como os coordenada e um programa de
sistemas ou procedimentos de monitoramento. Este serviço está em
gestão existentes podem ser usados contínuo desenvolvimento.
em sua norma escolhida.
Se você estiver nas fases iniciais de
implementação de seu sistema de
gestão ou procurando uma
“simulação” antes da visita de
auditoria, o escopo da gap analysis
pode ser decidido com seu auditor
ou gerente de desenvolvimento de
negócios com flexibilidade na
escolha do escopo e da duração da
visita.
Entre em contato Lloyd’s Register
Rua Helena, 235 - 11º andar
W www.lr.org/br
Vila Olímpia - São Paulo/SP
E brasil@lr.org
04552-050
T +55 11 3523-3940
Brasil
Tomamos cuidado para garantir que todas as informações
fornecidas sejam precisas e atuais. No entanto, o Lloyd’s
Register não se responsabiliza por imprecisões ou alterações
nas informações.
Lloyd’s Register é o nome comercial de Lloyd’s Register Group
Limited e suas subsidiárias. Para detalhes adicionais, acesse
www.lr.org/entities © Lloyd’s Register Group Limited 2019.