Escolar Documentos
Profissional Documentos
Cultura Documentos
ISBN 978-85-99388-75-4
22-129089 CDD-005.8
1 https://www.senior.com.br/blog/o-que-significa-ser-digital
6
1. 17 de dezembro de 2016: Fundação Libertas sofre ação mali-
ciosa de hackers que compactaram e criptografaram arquivos
SAIBA COMO UM ATAQUE dos atendentes e de mais seis máquinas de usuários, afetando o
tado pode se agravar ainda mais, quando não sabemos nem onde
11
Veja, a seguir, exemplo de aplicação de diagnóstico: ⚠ PONTOS DE ATENÇÃO
Atende Atende Não Não O resultado de diagnóstico dessa natureza, invariavelmente,
Requisito Status
Total Parcial Atende Aplicável choca – e decepciona – os tomadores de decisão e colabo-
1.1.5 - Política radores de um modo geral, em razão da elevada quantidade
Política de aprovada de “não conformidades” revelada. Desconsiderando-se os
Segurança da pelo C.D. em pontos fora da curva, a constatação de requisitos atendi-
Informação 00/00/00;
aprovada contudo dos plenamente em organizações que realizam seu primeiro
X diagnóstico é significativamente inferior à de requisitos que
pela alta sem acesso
administração garantido não atendem ou atendem parcialmente. E isto é a visão do
e divulgada a todos os
p/ as partes dirigentes e
apocalipse? De forma alguma.
interessadas. colaboradores. Primeiramente, temos que ter em mente que os “frameworks”
É recomendável, ainda, a classificação dos requisitos que disponíveis resultaram de pesquisas muito bem elaboradas,
não atendem plenamente por prioridade de atendimento, envolvendo instituições e profissionais renomados e com
que pode levar em consideração ações imediatas, ações de grande expertise no assunto, de modo que as práticas ne-
médio prazo e ações de longo prazo, conforme os níveis les elencadas são a quintessência das melhores práticas e
12
Então, muita calma nessa hora. Não saia desesperado na bus- ✅ BENEFÍCIOS
ca de atendimento pleno de todos os requisitos. Lembre-se
do seu foco estratégico que é a gestão de planos de benefí- A realização de um diagnóstico do ambiente tecnológico é de
cios e dos recursos garantidores desses planos. Portanto, a extrema importância para a identificação do nível de confor-
não ser que sua intenção seja a busca – planejada – por selo midade da infraestrutura tecnológica da entidade e, também,
de certificação em algum “framework” de tecnologia especí- para o conhecimento – cultura organizacional – de todo o seu
fico ou queira mudar o foco estratégico de sua entidade – o quadro corporativo, quanto ao tipo de ameaça que estamos
que não é aconselhável – procure distinguir, no resultado do expostos e possíveis soluções. Isto permitirá a redução do seu
diagnóstico, aquilo que é necessário, aquilo que é desejável risco operacional, com reflexos diretos na mitigação do risco
e aquilo que é dispensável em termos de segurança para do negócio, conforme segue:
entidades com a sua característica, porte, complexidade e ■ racionalização da utilização do uso de recursos de tecnologia;
níveis de risco. E como o diagnóstico torna-se um “revelador
de dificuldades”, lembre-se de que sempre haverá alguém ■ melhoria no gerenciamento de capacidade de serviços de TI;
querendo “vender facilidades”. ■ viabilização de transição de ambiente de TI de reativo para
Uma vez realizada a mencionada distinção, e feito alinha- proativo;
mento de expectativas, crie um projeto para implantação dos
Orientação (ou Comunicação). A harmonia entre esses dois parte de todos os colaboradores da organização, inclusive
ambientes é que vai nos permitir usufruir dos benefícios das prestadores de serviços. Sendo uma espécie de mandato,
decisões baseadas no 5W2H. Então, convidamos nossas enti- não pode ser descumprido, em hipótese alguma, sob pena
dades a darem um passeio pelo “mundo dos controles inter- de ficar evidente um ato irregular de gestão. Lembre-se, en-
nos”, fascinante para alguns, entediante e burocrático para tão, de que na política devem estar contidas proposições de
outros, mas obrigatório para todos que buscam, através da ações objetivas e não detalhes de funcionamento.
mitigação de riscos, evidenciar o ato regular de gestão. Nesse
Na sequência, falaremos dos demais documentos que, de
momento, vale revisitar o Manual de Controles Internos, pu-
4 Committee of Sponsoring Organizations of the Treadway Comimission – iniciativa conjunta de cinco organizações profissionais dedicada a ajudar no
desempenho das organizações através do desenvolvimento de liderança inovadora que aprimora o controle interno, o gerenciamento de riscos, a
governança e a prevenção de fraudes.
16
acordo com as estruturas de cada entidade, podem apre- ações relacionadas à segurança da informação e alinha-
sentar diferentes nomenclaturas. Estamos nos referindo a mento com o gerenciamento estratégico de riscos da EFPC,
manuais operacionais, processos organizacionais, instru- é recomendável que sua elaboração leve em consideração,
ções normativas, instruções de trabalho, descrições de pro- além de boas práticas, os requerimentos legais, regulató-
cedimento, enfim, todos aqueles documentos necessários rios e contratuais associados à segurança da informação.
ao entendimento do “como” fazer. Trata-se, portanto, de um
■ Política de Privacidade e Tratamento de Dados Pessoais:
elenco de documentos de caráter operacional, vinculados
Com o propósito de definir diretrizes voltadas para
incondicionalmente às determinações da(s) política(s). Este
assegurar que o uso de dados pessoais tratados pela EFPC
elenco de documentos deve estabelecer, de forma clara e no
restrinja-se, apenas, às finalidades consentidas, direta
requerido nível de detalhe, a forma como os gestores irão
ou indiretamente pelos seus titulares, nos termos da Lei
conduzir suas ações visando atingir os objetivos estratégi-
Geral de Proteção de Dados – LGPD, a EFPC evidencia seu
cos da organização.
compromisso com o devido sigilo dos dados utilizados. Por
Então, mãos à obra! isso, às vezes é tratada, simplesmente, como Política de
Privacidade. O uso de “cookies” deve ser abordado.
POLÍTICAS ■ Política de Gestão de Documentos e Dados: Com foco no
19
4. # 4.1. Parte I – Processo de Conscientização e Treinamento
SAIBA COMO TORNAR “Prato do dia: FEIJOADA COMPLETA!!!”. Este é, sem dúvida alguma,
um ícone da culinária popular brasileira, com presença garantida
SEUS PROCESSOS DE T.I. nos cardápios de restaurantes de norte a sul do País. Em algumas
regiões, tradicionalmente servida às quartas-feiras e, em outras,
ROBUSTOS E CAPAZES aos sábados, para a satisfação dos mais variados perfis de fiéis
consumidores. Gorda ou magra, a depender do gosto freguês, a
DE PREVENIR ATAQUES Feijoada vem mantendo sua posição de sucesso gastronômico,
CIBERNÉTICOS não apenas pela sua diversidade de sabor, como também, pelo seu
valor nutritivo, custo acessível e seu papel – catalizador – social.
De fato, motivos não faltam para justificar este sucesso e, para
chegarmos até eles, a palavra-chave é PROCESSO. Afinal, estamos
falando de um prato cujo preparo envolve uma diversidade de
ingredientes, com etapas e momentos de cozimentos distintos,
temperos na medida correta e que exige um planejamento de
dias, orientado por uma receita testada e fielmente seguida. Não
6 Fonte: https://canaltech.com.br/seguranca/3-milhoes-de-ataques-em-2020-ja-tentaram-explorar-sistemas-desatualizados-173889/.
23
que é impossível evitá-los; entretanto cabe às empresas de- # 4.4. Parte IV – Gestão de Redes
finirem seus processos de segurança, controles e suas políti-
Desde os primórdios, a relação de contar – ou computar – já
cas, dando diretrizes para os aspectos físicos, tecnológicos e
intrigava a humanidade. Fazendo valer este argumento, po-
humanos da segurança da informação, a fim de se minimizar
demos pensar que a criação de computadores teve início na
a efetivação dos ataques recebidos, tornando seu ambiente
idade antiga, com a criação do “ábaco”, no século V a.C., como
mais robusto e seguro.
o primeiro instrumento mecânico de computação.
Só pela segurança da informação em si, já se requer cuida-
Antes do advento de computadores dotados com algum tipo
dos primorosos nos processos de coleta, guarda, tratamento,
de telecomunicação, a conexão entre máquinas calculadoras
compartilhamento e descarte de dados. Mas, com o advento
e computadores antigos era realizada por usuários humanos
da Lei Geral de Proteção de Dados, os cuidados com os dados
através do carregamento de instruções entre eles. De lá pra
pessoais em uma empresa devem estar intrínsecos, verda-
cá, grandes avanços vêm sendo conquistados com desta-
deiramente, nesses processos. Por esta razão, a edição do
que para a evolução gradual das redes de sistemas compu-
Saiba Como deste mês será dedicada, mais especificamente,
tacionais nas décadas de 1950 e 1960, 1970, 1980, 1990 e anos
a processos relacionados com a proteção de dados pessoais.
2000.
O Apêndice III deste material de referência apresenta um
Os avanços de revoluções digitais ocorridos em todo mundo
24
“Nada mais nada menos que um filme sobre Alan Turing. # 4.5. Parte V – Testes e Desenvolvimentos
Conhecido como o pai da computação e no desenvolvi-
Temos apresentado ao longo da nossa série de edições do
mento de algoritmos. Neste filme, um drama sobre uma
“Saiba Como” que é extremamente importante para as or-
história real passada durante a Segunda Guerra Mundial,
ganizações, independentemente do seu porte, manter me-
Turing trabalha para inteligência britânica especializada
canismos de segurança da informação para garantir ou mi-
em quebra de códigos.
nimizar possíveis ameaças que possam comprometer o seu
No filme vemos Turing trabalhando para conseguir de- negócio. Esses mecanismos devem ter controles adequados
sencriptar mensagens alemãs. Ao conseguir quebrar os e que sejam incluídas em procedimentos, processos, políti-
códigos criptografados dos alemães, ele deu uma grande cas, estruturas organizacionais, dentre outros.
vantagem aos aliados, o que resultou no principal fator
Para tanto, é necessário investir na segurança adequada
para o fim da Segunda Guerra Mundial.”
para os seus dados, pois, caso isso não ocorra, a organização
Uma boa estrutura de tecnologia da informação é essencial estará fadada a possíveis ataques cibernéticos, que possam
para que seus dados não estejam apenas ordenados, mas a vir ocasionar, por exemplo, prejuízos financeiros, riscos de
também seguros. Sem gestão de rede, temer pela segurança imagem perante o mercado, sendo que em algumas situa-
dos seus dados é uma realidade justificada, pois são altos os ções podem ser irreversíveis. Sendo assim, não dar a devida
25
No sítio eletrônico do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados (IBRASPD), uma matéria foi divul-
gada com os ataques cibernéticos ocorridos no período de janeiro a dezembro de 2020 e que tiveram repercussão na mídia,
conforme tabela abaixo:
26
Nota-se que ao todo foram 36 (trinta e seis) empresas de ■ Funcionais: visam validar as funções e as especificações de
diversos segmentos e portes que sofreram incidentes no requisitos do próprio sistema, ou seja, é o que o sistema faz;
exercício de 2020 e que podem ter ocorrido, inclusive, por
falta de realização de “testes e desenvolvimentos” que são ■ Não funcionais: visam avaliar a carga, portabilidade, perfor-
um dos instrumentos fundamentais para garantir que quan- mance, usabilidade, dentre outros, ou seja, é como o sistema
do da implantação de um procedimento, ou seja, a sua execu- trabalha;
ção, possa ocorrer de forma mais segura e correta, visando ■ Estruturais: são ligados aos componentes e integração do
assim, evitar possíveis riscos de falha nos sistemas. Em razão sistema; e
disso, a atual edição do “Saiba Como” vai abordar o processo
de testes e desenvolvimentos. ■ Mudança de regressão e confirmação: visam validar se o
sistema está funcionando como o esperado, suprindo a exis-
Confira-se na tabela abaixo e a título de exemplo, alguns co- tência de alguma falha introduzida ou não coberta no início.
mentários sobre o método desenvolvido e que deve ser imple-
mentado nas rotinas das áreas de Tecnologia da Informação Por fim, como sugestões de práticas que devem ser conside-
pelas organizações, que é o “teste de penetração”. Esse teste, radas na busca de segurança da informação dentro das orga-
também conhecido como intrusão, visa realizar a simulação de nizações em relação à gestão de testes e desenvolvimentos,
ataques por profissionais da área direcionados para detectar conforme Checklist-ISO27701 e Cys Controls - Frameworks,
27
# 4.6. Parte VI – Identificação de Incidentes e Testes de precauções, a possibilidade de ser alvo de um crime ciberné-
Vulnerabilidades tico continua existindo. Ao mesmo tempo em que os desen-
volvedores de sistemas de segurança digital e especialistas
Não adianta chorar sobre o leite derramado!
no combate aos ataques cibernéticos seguem avançando, os
Aposto que você já ouviu essa frase muitas vezes e em muitos criminosos fazem o mesmo.
contextos... Mas e então? Não há o que se fazer diante do leite
Invasão dos servidores, vazamento de dados, bloqueio ao
derramado?
acesso às informações, pedidos de “resgate” dos cibercrimi-
Essa frase visa nos levar à reflexão de que não adianta ficar nosos… são muitas as formas como os hackers podem alvejar
apenas arrependido e frustrado por não ter evitado a ocorrên- o nosso negócio. Nesse sentido, se a natureza dos ataques é
cia de um fato não desejado. Ela pretende nos levar à busca determinante para definir a conduta, certas providências po-
pela solução do problema e, claro, à identificação das oportu- dem e devem ser tomadas em todas as situações.
nidades de melhorias para que o fato não ocorra novamente.
Sendo assim, caso sua entidade sofra um desses ataques, há
Sendo assim, se você não conseguiu evitar que o leite fosse ações que podem ser feitas para minimizar os impactos da
derramado, chamemos o gato! ação criminosa.
Durante a pandemia em curso houve um aumento massivo no Portanto, se apesar de todas as ferramentas de mitigação
34
#
APÊNDICES
Apêndice I
Programa de Conscientização e Treinamento
4. Treinamentos de autenticação segura Envolver todos os membros da força de trabalho, no sentido de entende-
a todos os funcionários. rem sobre a importância de habilitar e utilizar a autenticação segura.
36
Apêndice I
8. Treinamento de funcionários na Envolver todos os funcionários e terceiros da entidade para que eles pos-
identificação e comunicação de sam identificar os indicadores de incidentes mais comuns e relatar esses
incidentes. incidentes à área de segurança para tratamento.
9. Garantia de que o time de Certificar que todas as equipes de desenvolvimento de software recebam
desenvolvimento de software seja treinamento para escrever código seguro para seu ambiente, assim como
37
Apêndice II
Programa de Gestão de Contas e Usuários
38
Apêndice II
10. Autenticação de múltiplos fatores Obrigar, em todo acesso remoto à rede da organização, a criptografia de da-
para todo logon remoto dos em trânsito e o controle de acesso utilizar autenticação Multifator (MFA).
9 Do inglês Multifactor Authentication, consiste em uma ação que confirma a autenticidade do usuário que efetua a requisição de um
determinado serviço na web.
39
Apêndice II
14. Criptografia de todas as credenciais Criptografar ou gerar todas as credenciais de autenticação para o arma-
de autenticação zenamento.
10 O servidor on premise tem sua implantação fixada no local da empresa e requer um planejamento mais detalhado.
11 Ação de hospedar ou manter um site em uma rede.
40
Apêndice II
41
Apêndice III
Programa de Proteção de Dados Pessoais
1. Identificação e documentação dos Identificar e documentar os propósitos específicos pelos quais os dados
propósitos específicos pessoais serão tratados.
4. Obtenção e registro de Obter e registrar o consentimento dos titulares de dados pessoais de acor-
consentimento do com os processos documentados.
42
Apêndice III
8. Registros relativos ao tratamento de Determinar e manter de forma segura os registros necessários ao supor-
dados pessoais te às suas obrigações para o tratamento dos dados pessoais.
15. Realizar inventário das informações Realizar inventário dos dados armazenados, processados ou transmitidos
sigilosas pelos sistemas de tecnologia da organização.
B. GUARDA
17. Garantir backups regulares Verificar que todos os dados do sistema sejam regularmente copiados
automáticos automaticamente para um backup.
44
Apêndice III
21. Manter inventário das informações Manter inventário dos dados armazenados, processados ou transmitidos
sigilosas pelos sistemas de tecnologia da organização.
45
Apêndice III
25. Monitorar e detectar qualquer uso Monitorar todo o tráfego que sai da organização e detecção de qualquer
não autorizado de criptografia uso não autorizado de criptografia.
26. Criptografar dados de dispositivos Utilizar mecanismos criptográficos aprovados para proteger os dados
móveis corporativos armazenados em todos os dispositivos móveis.
28. Gerenciar configurações de leitura/ Configurar os sistemas para não gravar dados em mídia removível exter-
gravação de mídia removível externa na, se não houver real necessidade comercial de oferecer suporte a estes
de sistemas. tipos de dispositivos.
46
Apêndice III
32. Aplicar controle de acesso aos Utilizar ferramenta automatizada que previna a perda de dados baseada
47
Apêndice III
37. Registros de dados pessoais Registrar a divulgação de dados pessoais para terceiros, incluindo quais
divulgados para terceiros dados pessoais foram divulgados, para quem e quando.
48
Apêndice III
40. Divulgação de subcontratados Divulgar para o cliente qualquer uso de subcontratados para tratar dados
usados para tratar dados pessoais pessoais, antes do uso.
41. Contratação de subcontratado para Subcontratar somente agente para tratar dados pessoais com base no
tratar dados pessoais contrato do cliente.
Utilizar, pelo menos, três fontes de tempo sincronizadas a partir das quais
1. Três Fontes de Data / Hora todos os servidores e dispositivos de rede recuperam informações de
Sincronizadas tempo regularmente, para que os registros de data e hora nos logs sejam
consistentes.
Verificar se o armazenamento de logs locais foi ativado em todos os siste-
2. Activate Audit Logging
mas e dispositivos de rede.
50
Apêndice IV
51
Apêndice IV
17. Configurações de Segurança Padrão Manter padrões de configuração de segurança documentados para todos
Para Dispositivos de Rede os dispositivos de rede autorizados.
19. Ferramentas Automatizadas Para Realizar um comparativo de toda a configuração dos dispositivos de rede
Verificação das Configurações Padrão com as configurações de segurança aprovadas definidas para cada dispo-
de Dispositivos sitivo de rede em uso, reportando quaisquer desvios encontrados.
24. Inventário dos Limites de Rede Manter um inventário atualizado de todos os limites de rede da organização.
53
Apêndice IV
28. Sistemas de Monitoramento Para Configurar os sistemas de monitoramento para registrar pacotes de rede
Registrar Pacotes de Rede que passam por cada um dos limites de rede da organização.
54
Apêndice IV
Habilitar a filtragem de firewall entre VLANs para garantir que apenas sis-
35. Filtragem de Firewall Entre VLANs temas autorizados possam se comunicar com outros sistemas críticos para
execução suas funcionalidades específicas.
37. Inventário de Pontos de Acesso Manter um inventário de pontos de acesso sem fio autorizados conectados
39. Sistema de Detecção de Intrusão em Utilizar um sistema de detecção de intrusão sem fio (WIDS) para detectar e
Redes Sem Fio alertar sobre pontos de acesso sem fio não autorizados conectados à rede.
55
Apêndice IV
42. Rede Sem Fio Separada Para Realizar a criação de uma rede sem fio separada para dispositivos pessoais
Dispositivos Pessoais e Não ou não confiáveis. O acesso corporativo desta rede deve ser tratado como
Confiáveis não confiável, filtrado e auditado de acordo.
56
Apêndice V
Programa de Testes e Desenvolvimentos
57
Apêndice V
58
Apêndice V
3. Resposta a Incidentes Elaborar padrões que abranjam toda a organização para reporte de incidentes
60
Apêndice VII
Programa de Gestão de Aplicações e Dispositivos
61
Apêndice VII
6. Certificados de Cliente para Disponibilizar certificados em clientes para autenticar ativos de hardware
Autenticação de Ativos que se conectam de forma confiável à rede da organização.
7. Sistema de AntiMalware Com Utilizar de software anti-malware gerenciado para monitoria e defesa con-
Gerência Centralizada tínua de cada uma das estações de trabalho e servidores da organização.
11. Dispositivos Para Não Executar Configurar para que dispositivos não possam executar automaticamente
Conteúdo Automaticamente conteúdo em mídia removível.
62
Apêndice VII
13. Logs de Auditoria de Linha de Habilitar os logs de auditoria de linha de comando para comandos shells,
Comando como Microsoft PowerShell e Bash.
14. Portas, Serviços e Protocolos Ativos Associar as portas, serviços e protocolos de cada ativo de hardware aos
ao Inventário de Ativos ao seu respectivo registro no inventário de ativos.
63
Apêndice VII
19. Acesso Sem Fio Nos Dispositivos Desativar acesso sem fio em dispositivos que não tenham uma finalidade
Onde o Mesmo Não For Necessário comercial para acesso a rede sem fio.
Configurar o acesso sem fio em máquinas clientes que tenham uma fi-
20. Acesso Wireless em Dispositivos nalidade comercial em que seja essencial o acesso sem fio, nestes casos
Clientes a conexão habilitada deverá permitir o acesso apenas a redes sem fio
autorizadas, restringindo o acesso as demais redes sem fio.
64
Apêndice VII
65
Apêndice VII
66
Apêndice VII
38. Processo para Aceite e Estabelecer um processo para aceitar e solucionar relatórios de vulnerabi-
Encaminhamento de Relatórios de lidades de softwares (Bug Tracking), incluindo um meio para entidades ex-
Vulnerabilidades de Software ternas entrarem em contato com o time de segurança da sua organização.
68
Apêndice VIII
69
COORDENADOR
Antônio Carlos Bastos d’Almeida
FORLUZ
DE GOVERNANÇA MEMBROS
Adilson Lopes Camelo
E RISCOS OABPREV-MG
Alessander Luís Brito e Silva
PREVIDÊNCIA USIMINAS
Clarissa Sofia Freitas Zanon da Silva
MAIS PREVIDÊNCIA
Gabriel Lara de Paula
FORLUZ
Hubner Nazario Braga