E-book

5 etapas
para começar ou aprimorar
a segurança da informação
na sua empresa
Sumário

Introdução3

Problemas ou soluções em evidência5

Cuidados essenciais com a informação da sua empresa6

1. Identificação6

2. Proteção7

3. Detecção8

4. Resposta9

5. Recuperação10

Segurança digital na Vivo Empresas11

2
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.
Introdução

Estamos nos tornando cada vez mais habilidosos no ambiente digital.

Infelizmente, os criminosos também ficaram mais à vontade para atuar nes-
se meio. Assim, ataques cibernéticos continuam acontecendo, superando
novas, múltiplas e sofisticadas camadas de segurança.

Startups e empresas de tecnologia em todo o mundo têm investido em so-

luções para barrar ou, ao menos, minimizar os impactos de ameaças que
chegam por todos os lados. Mas nem sempre o que falta é inovação.

A verdade é que três em cada quatro

companhias não estão protegendo
corretamente suas informações.

3
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.
É o que revela a sexta edição de um estudo anual, realizado pela IBM, o Cyber
Resilient Organization Study 2021, que, no último ano, ouviu mais de 3.600 pro-
fissionais de tecnologia da informação (TI) e segurança.

A pesquisa revelou que:

4
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.
 Problemas ou soluções
em evidência

Forma de malware (software intencionalmente feito para causar

danos) que bloqueia o acesso do usuário aos seus arquivos ou
dispositivos, exigindo um pagamento online anônimo para que a
permissão seja restaurada.

Solução que coleta e correlaciona dados, automaticamente, em

várias camadas de segurança (e-mail, endpoint, servidor, workloads
em nuvem e rede), para reduzir a complexidade e detectar ameaças
de maneira mais rápida.

Abordagem de segurança focada na avaliação contínua de cada

conexão que permite acesso a recursos da empresa, protegendo e
ajustando privilégios com base no perfil de risco. É o princípio do
“não acredite em nada, verifique tudo”.

Fonte: Cyber Resilient Organization Study 2021 | IBM, divulgado em 2021.

5
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.
Cuidados essenciais com a
informação da sua empresa

Neste infográfico, resumimos os passos do NIST Cyber Security Framework,

protocolo de segurança cibernética do National Institute of Standards and
Technology, referência mundial.

O protocolo é organizado em cinco funções principais que, quando consideradas

em conjunto, oferecem uma visão abrangente do ciclo de vida do gerenciamento
de riscos ao longo do tempo.

1. Identificação
Desenvolva uma compreensão organizacional para gerenciar os riscos em
sistemas, ativos, dados e recursos.

Identifique processos e ativos críticos da empresa

É preciso ter clareza das atividades essenciais que precisam
continuar, para que a organização não seja afetada.

Documente fluxos de informações

Não basta entender os tipos de materiais que a
companhia coleta e utiliza. É importante saber onde
estão localizados e como são utilizados.

Mantenha um inventário de hardware e software

Computadores e softwares são os principais pontos

de entrada de agentes maliciosos. É importante
ter um inventário, ainda que seja simples.

6
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.
 Estabeleça políticas para a segurança cibernética que contenham
funções e responsabilidades

Deve-se descrever expectativas de como as

atividades de segurança vão proteger informações
e sistemas, e atender a processos críticos.

Identifique ameaças, vulnerabilidades e riscos aos ativos

Ameaças internas e externas devem ser identificadas,
avaliadas e documentadas em registros de riscos.

2. Proteção
Desenvolva e implemente medidas seguras para garantir a entrega dos serviços.

Gerencie o acesso a ativos e informações

Cada funcionário deve ter uma conta exclusiva e
passar por etapas de autenticação antes de ter
acesso a dados, computadores e aplicativos.

Proteja dados confidenciais

Informações confidenciais devem ser protegidas por
criptografia ao serem armazenadas e transmitidas.

Realize backups regulares

Muitos sistemas operacionais têm recursos integrados de

backup, mas soluções de software e em nuvem também
estão disponíveis para automatizar o processo.

Proteja seus dispositivos

Considere a instalação de firewalls baseados em

hosts e produtos de segurança de endpoint. Utilize
configurações uniformes nos dispositivos,

7
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.
 Gerencie vulnerabilidades de dispositivos
Atualize o sistema operacional e os aplicativos,
de preferência, de forma automática. Solucione
vulnerabilidades com alta probabilidade e/ou impacto.

Treine usuários
Garanta que os colaboradores conheçam suas responsabilidades,
além das políticas e dos procedimentos de segurança da empresa.

3. Detecção
Desenvolva e implemente atividades para identificar a ocorrência de um evento
de segurança cibernética.

Teste e atualize os processos de detecção

A equipe deve estar ciente de suas funções em detectar e denunciar
ações suspeitas à própria organização e às autoridades jurídicas.

Conheça os fluxos de dados esperados na sua empresa

Se você souber quais e como são os dados esperados pela
sua companhia, maior será a probabilidade de perceber
algo destoante. Caso tenha provedor de serviços, discuta o
monitoramento de fluxos e relatórios de informações.

Mantenha e monitore registros

Esse passo é essencial para identificar anomalias nos

computadores e aplicativos. Use ferramentas que agregam
registros e buscam padrões ou inconsistências.

Entenda o impacto de eventos de segurança cibernética

Caso haja um incidente, sua empresa precisará agir de forma

rápida e cuidadosa para entender sua amplitude. Busque ajuda
e comunique parceiros, órgãos de fiscalização e investidores.

8
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.
4. Resposta
Desenvolva e implemente atividades para agir durante a detecção de um evento
de segurança cibernética.

Garanta que os planos de resposta sejam testados

Cada indivíduo deve saber suas responsabilidades na

execução. Quanto melhor preparada a organização
estiver, maior a probabilidade de um retorno eficaz.

Garanta que os planos de resposta estejam atualizados

Testar a ideia (e a execução durante um incidente)
revelará a necessidade de melhorias. É preciso
atualizar os planos com as lições aprendidas.

Coordene com partes interessadas internas e externas

É importante certificar-se de que os planos de resposta
e as atualizações de sua empresa incluam as partes
interessadas e os provedores de serviços.

9
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.
5. Recuperação
Desenvolva e implemente atividades para manter os planos de resiliência e
restaurar quaisquer recursos ou serviços afetados.

Comunique-se com as partes interessadas

Parte da recuperação de dados depende de uma comunicação

eficaz. Os planos devem considerar como, quando e
quais informações serão divididas com os interessados,
para que eles recebam apenas o que for necessário.

Garanta que os planos de recuperação estejam atualizados

Testar a execução dos planos aprimora a
conscientização de funcionários e parceiros.

Gerencie relações públicas e a reputação da empresa

Envolva as áreas de relações públicas e comunicação

para que o compartilhamento de informações não
seja reativo, mas, preciso, completo e oportuno.

Fonte: Introdução ao Framework de Segurança Cibernética do NIST: Um guia de iniciação rápida

NIST, publicado em 2021.

10
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.
Segurança digital na Vivo Empresas

Nosso passo a passo resumiu as etapas essenciais para proteger a sua

organização. Não é simples, mas é imprescindível. E você não precisa cuidar de
tudo sozinho.

A Vivo Empresas tem soluções de tecnologia para cobrir todo o seu negócio,
com atendimento personalizado e consultivo. De acordo com as características
do projeto, você será atendido por uma equipe especializada em tecnologia,
capaz de propor as melhores soluções para cada caso.

Aproveite para assistir aos Webinars Vivo Empresas, que reúnem conteúdos
exclusivos sobre os mais diversos temas de transformação digital e tecnologia
aplicada aos negócios.

Um dos episódios mais acessados trata exatamente sobre cibersegurança,

discutindo como detectar e responder às ameaças cibernéticas.

11
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua
prévia autorização.