Segurança Cibernética

Dados Internacionais de Catalogação na Publicação (CIP)
(Câmara Brasileira do Livro, SP, Brasil)
Segurança cibernética [livro eletrônico] : saiba

como-- / organização Comissão Técnica Leste de
Governança e Riscos. -- 1. ed. -- São Paulo :
ABRAPP - Associação Brasileira das Entidades
Fechadas e Previdência Complementar, 2022.
PDF.
ISBN 978-85-99388-75-4
1. Cibernética 2. Cibernética - Medidas de

segurança I. Comissão Técnica Leste de Governança e
Riscos.
22-129089 CDD-005.8
Índices para catálogo sistemático:
1. Segurança : Redes de computadores : Ciência da

computação 005.8
Aline Graziele Benitez - Bibliotecária - CRB-1/3129

ÍNDICE
Introdução - Saiba como ... 06
1. Um ataque cibernético pode transformar a gestão de sua entidade em um pesadelo! 07
2. Tirar proveito de um diagnóstico do ambiente tecnológico para planejar ações de mitigação de ataques cibernéticos 08
3. A documentação de processos pode contribuir para criação de ambiente tecnológico resiliente a ataques cibernético 15
4. Tornar seus processos de T.I. robustos e capazes de prevenir ataques cibernéticos 20
4.1 Parte I – Processo de Conscientização e Treinamento 20
4.2 Parte II – Gestão de Contas e Usuários 22
4.3 Parte III – Proteção de Dados Pessoais 23
4.4 Parte IV – Gestão de Redes 24
4.5 Parte V – Testes e Desenvolvimentos 25
4.6 Parte VI – Identificação de Incidentes e Testes de Vulnerabilidades 28
4.7 Parte VII – Gestão de Aplicações e Dispositivos 31
4.8 Parte VIII – Processo de Compliance 32
ÍNDICE
Apêndice I – Programa de Treinamento e Conscientização 36
Apêndice II – Programa de Gestão de Contas e Usuários 38
Apêndice III – Programa de Proteção de Dados Pessoais 42
Apêndice IV – Programara de Gestão de Redes 50
Apêndice V – Programa de Testes e Desenvolvimentos 57
Apêndice VI – Programa de Identificação de Incidentes e Testes de Vulnerabilidade 60
Apêndice VII – Programa de Gestão de Aplicações e Dispositivos 61
Apêndice VIII – Programa de Compliance 68
Comissão Regional Leste de Governança e Riscos 70
“Ser digital é muito além de tecnologia,
INTRODUÇÃO mas sim uma mudança genuína de cultura
e de ‘mindset’. Significa, para uma empresa,
incorporar a lógica de funcionamento das
Esta definição de organismo digital, extraída da Senior Blog1,
nos remete a uma reflexão sobre a importância do processo de tecnologias digitais, independentemente
aprendizagem na gestão de riscos. O ser humano aprende com seus de utilizar ou não plataformas concretas,
próprios erros e acertos, com as constantes ameaças e oportunidades lógica essa que assenta na conectividade,
que o rodeiam. Enfim, aprende com crises como as vividas pelo nosso na interatividade, na emoção e na intuição,
segmento de previdência complementar ao longo de décadas.
na velocidade, e na criatividade”.
Crises não são marcadas apenas pelas incertezas, angústias e
sofrimentos. Elas nos provocam a reagir com inovação, termo que
nos permitimos a acrescentar à definição apresentada no primeiro
parágrafo. Inovamos, sem dúvida, a ponto de atingirmos um novo patamar de organização. O sistema fechado de previdência
complementar torna-se, atualmente, mais digital do que se imaginava. Mudanças em nosso modo de pensar e de agir,
decorrentes desse processo de aprendizado, nos levaram a menor dependência de espaços físicos, de documentos impressos
e outras formas analógicas de operação. Estamos nos preparando para fazer parte de uma “economia digital” em ascensão.
São muitos os benefícios trazidos por essa “mudança genuína de cultura e de mindset”. Por outro lado, não podemos
Segurança Cibernética | Saiba como...

negligenciar o fato de que ela nos arremete a um patamar mais elevado de risco operacional: - o sinistro mundo dos crimes
cibernéticos.
Atenta a este tipo de crime, que pode paralisar uma organização, trazendo prejuízos relevantes a todo o seu público
interessado, a Comissão Técnica Regional Leste de Governança e Risco da Abrapp, atendendo demanda dessa Associação,
divulgou uma série de informativos mensais, buscando disponibilizar para as suas associadas os principais pontos de atenção
e oportunidades de melhorias com relação à prevenção a crimes cibernéticos.
Este material de referência consolida as edições dos citados informativos periódicos.
Comissão Técnica Leste de Governança e Riscos
1 https://www.senior.com.br/blog/o-que-significa-ser-digital
6
1. 17 de dezembro de 2016: Fundação Libertas sofre ação mali-
ciosa de hackers que compactaram e criptografaram arquivos
SAIBA COMO UM ATAQUE dos atendentes e de mais seis máquinas de usuários, afetando o
CIBERNÉTICO PODE funcionamento dos seus sistemas operacionais. Resumindo, os

servidores da Entidade ficaram inoperantes por quatro dias, as
TRANSFORMAR A GESTÃO estações de trabalho por 15 dias e a intranet não foi mais restabe-
lecida na sua forma original. Mensagens indicando a compactação
DE SUA ENTIDADE EM ocorrida e e-mail de contato dos “sequestradores” surgiram nas
telas dos desktops.
UM PESADELO! 3 de novembro de 2020: Superior Tribunal de Justiça brasileiro
é alvo de ataque cibernético do tipo ransomware em que todo o
acervo de processos da Corte foi “sequestrado”, com o uso de crip-
tografia, sendo exigido pagamento de resgate pelos dados. Como
resultado da ação, site fora do ar por 8 dias e prazos processuais,
audiências e sessões de julgamento suspensos por 7 dias.

25 de novembro de 2020: Embraer passa a operar em regime de
contingência em função de ataque de hackers que invadiram sis-
temas e obtiveram acesso a um ambiente de arquivos da gigante
brasileira de aviação, vazando informações e exigindo pagamento
para resgate de dados sequestrados. A Embraer precisou desati-
var boa parte de seus servidores.
Em tempos de pandemia, com grande parte de nossas entidades
trabalhando sob regime de contingência – home office – ações ma-
liciosas dessa natureza se constituem nas piores ameaças à ges-
tão dos planos de benefícios. Adicionalmente, essas ações podem
trazer sérias consequências relacionadas com o cumprimento ao
7
disposto na Lei Geral de Proteção de Dados Pessoais. Andrea Melo, da A Melo IT Governance & Security Consulting,
alerta para o fato de que, atualmente, estamos assistindo a
Preocupada com o fato, a Abrapp, por meio de seu Colegiado
uma elevação do número de ataques cibernéticos, notada-
de Coordenadores de Comissões de Governança e Riscos,
mente em função do aumento de usuários trabalhando em
solicitou à sua Comissão Regional Leste estudo sobre o tema
regime de home office, por conta da pandemia.
Ataques Cibernéticos, explorando os riscos dessas ações so-
bre a governança e gestão dos planos de benefícios. Para Rodrigo Nunes, da Tripla Tecnologia da Informação e Ser-
tanto, a Comissão programou a divulgação de uma série de viços, ressalta que a frequência com que esses ataques
pronunciamentos sobre o tema como forma de contribuir ocorrem é muito preocupante, pois de acordo com a RSA
para a mitigação de riscos decorrentes desse tipo de ameaça. Security, em 2020 houve um aumento de 72% nos ataques
cibernéticos em todo mundo. Já no Brasil, segundo Nunes,
Nesta primeira edição, introdutória, abordaremos aspectos
esse aumento foi de 350%, colocando nosso País entre os
conceituais básicos e considerações preliminares com o in-
mais afetados no mundo por ataques maliciosos. “É extrema-
tuito de conscientizar nossas entidades acerca da gravida-
mente preocupante, pois estudos especializados apontam
de dessa ameaça e da importância de planejar e implantar
que apenas 5% das empresas estão devidamente protegi-
medidas mitigadoras. A partir das próximas edições, aborda-
das e preparadas para responder a um ciberataque. Um dos
remos ações planejadas que podem ser tomadas para miti-

fatos mais importantes é que a maior parte das empresas já
gação desses riscos.
sofreu algum tipo de violação de segurança, porém não tem
Conceitualmente, ataque cibernético consiste em prática CONHECIMENTO dos fatos; uma empresa que não está pre-
utilizada por hackers para obtenção de acesso não autori- parada e organizada para identificar ataques, vazamentos
zado a redes, servidores, sistemas operacionais, softwares e ameaças é explorada por anos sem tomar nenhuma ação.”
e sites. É o que relata Wolder Fonseca, da VANTEC Soluções
Os tipos mais comuns dessa ameaça, segundo Wolder Fon-
Tecnológicas, para quem os objetivos dessas ações são dis-
seca, dizem respeito a: (i) golpes de doação, tais como DDOS
tintos, geralmente visando expor dados sigilosos, acessar,
(ataque com intuito de “ derrubar “ou impedir” acesso aos sis-
alterar, impedir ou destruir dados, vender informações com
temas/ site) Phishing/Spear-Phishing (muito utilizado e umas
base nos dados obtidos, fornecer, impedir acessos aos sis-
das formas mais fáceis de chegar aos usuários), aplicativos
temas (site e base de dados) ou mesmo falsificar sites para
móveis, Vishing (utilização de redes sociais); e (ii) Ransomwa-
obtenção de dados bancários, dentre outros.
8
re, tipo malware capaz de restringir acesso aos dados (blo- requer engajamento do CEO ao chão de fábrica. Os padrões
queio/criptografia) com posterior cobrança de pagamento e frameworks citados em conjunto com soluções de ciber-
de resgate em criptomoeda para restabelecer acesso (irre- segurança e iniciativas de conscientização têm se mostrado
versíveis em 98% do casos). Este último merece destaque o melhor caminho para essa elevação de maturidade”.
como uma das piores ameaças cibernéticas, pela sua capaci-
dade de causar indisponibilidade de sistemas por horas, dias
ou até semanas, dependendo do ambiente de contingência. ✍ LIÇÕES APRENDIDAS
De acordo com Rodrigo Nunes, 95% das violações de segu-
Tatiane Baia Rodrigues, Gerente de Tecnologia da
rança são causadas por erro humano e, com relação a téc-
Informação da Fundação Libertas, salienta que
nicas de ataque, frequentemente são iniciadas por pessoas
importantes lições podem e devem ser aprendidas
dentro das próprias organizações, como por exemplo, cola-
a partir de episódios como o ocorrido na sua
boradores.
Entidade. No que diz respeito a gestão de pessoas e
Evitar ou minimizar os impactos de ações maliciosas como conflitos, a Fundação passou a promover constante
estas exige estabelecimento de protocolos que, segundo An- capacitação técnica e de conhecimento, integração,
drea Melo, passam por criptografias com chaves fortes, an- comprometimento, controle emocional, habilidades e

tivírus, monitoramento de vulnerabilidades técnicas na rede relacionamento interpessoal. Com relação ao ambiente
interna e sistemas, conscientização de usuários, segurança de informática, atenção maior se voltou para os aspectos
em redes, equipe competente em cybersecurity, ferramen- de segurança e revisão periódica de políticas e boas
tas para apoio em prevenção de incidentes para verificação práticas que, por sua vez, são fatores indispensáveis. Por
de eventos de segurança da informação, dentre outras. Wol- fim, destaca a conveniência de estabelecimento de boa
der Fonseca sugere, também, treinamento das equipes de parceria entre fornecedores de softwares e prestadores
tecnologia, manutenção atualizada dos sistemas, planos de de serviços da TI, sobretudo para solução de problemas
continuidade de negócios e abolição de softwares piratas e em momento de urgência.
forte política de segurança da informação. Rodrigo Nunes
menciona, ainda, que “... a única forma de minimizar o risco é
elevando a maturidade de segurança da informação e isso
9
2. Verdade seja dita: - “qualquer caminho serve para quem não
sabe onde ir2”. E a desorientação estratégica percebida neste di-
SAIBA COMO TIRAR
1
tado pode se agravar ainda mais, quando não sabemos nem onde
PROVEITO DE UM estamos. Afinal, origem e destino são condições básicas para o

estabelecimento de uma trajetória.
DIAGNÓSTICO DO Então, pense nisso caso ainda não tenha razoável noção do grau de
exposição de sua entidade a ataques de hackers. Provavelmente,
AMBIENTE TECNOLÓGICO isto esteja associado a uma tímida percepção da abrangência e da
PARA PLANEJAR AÇÕES DE eficácia das atuais práticas voltadas para a segurança de dados em
sua entidade. Portanto, um diagnóstico do ambiente de tecnologia
MITIGAÇÃO DE ATAQUES da informação – para se conhecer a origem da trajetória – pode ser
o primeiro e decisivo passo para definirmos onde vamos chegar,
CIBERNÉTICOS. ou seja, a mitigação desse risco.
Abordaremos, nesta publicação, aspectos relacionados com for-
ma, modelagem, pontos de atenção e benefícios proporcionados

por um diagnóstico do ambiente de tecnologia de sua entidade.
FORMA
O diagnóstico do ambiente de tecnologia pode ser conduzido
tanto internamente, com equipe própria de colaboradores trei-
nada em verificação de cumprimento e aderência de normas,
quanto externamente, com a contratação de serviço de empresa
especializada. Obviamente, a primeira forma de condução é uma
2 Expressão eternizada em Alice no País das Maravilhas, de Lewis Carroll, deri-

vada da célebre expressão do filósofo, escritor e político Séneca: “Não existe
vento favorável a quem não sabe onde deseja ir”.
10
alternativa restrita a entidades de maior porte, que possuam não governamental com objetivo de desenvolver e promover
áreas de auditoria interna e/ou de compliance capacitadas. normas que possam ser utilizadas por todos os países do
Sendo assim, a contratação de serviços surge como a solu- mundo, neste caso com foco em tecnologia da informação,
ção mais apropriada – ou única – para a grande maioria de compreendendo a ISO/IEC 27001 - Tecnologia da Informação
nossas entidades. - Técnicas de Segurança - Sistemas de Gestão de Seguran-
ça da Informação - Requisitos, ISO/IEC 27002 - Tecnologia
Em ambos os casos, os executores do diagnóstico devem
da Informação – Técnicas de Segurança - Código de Prática
se basear em modelos contendo diretrizes e requisitos au-
para Controles de Segurança da Informação e ISO/IEC 27701
ditáveis abrangendo, dentre outros temas, documentação,
- Técnicas de Segurança para Gestão da Privacidade da Infor-
execução e controle de processos, ambientes de aprovação,
mação - Requisitos e Diretrizes (disponível em https://www.
critérios de segurança, comunicação e tratamento de inci-
iso.org/isoiec-27001-information-security.html); e
dentes, capacitação de pessoas, comumente denominados
“frameworks”. ■ NIST Cyber Security Framework – fornece estrutura e
série de processos, padrões, diretrizes e práticas de seguran-
MODELAGEM ça para organizações do setor privado nos Estados Unidos,
contemplando cinco funções básicas: Identificar, proteger;
Existem opções consagradas de “frameworks” à disposição
detectar, responder e recuperar (disponível em https://www.

para esta finalidade de diagnóstico, que podem ser utilizadas
nist.gov/cyberframework).
isolada ou combinadamente. Nesta publicação, destacamos:
A técnica usualmente utilizada para realização deste tipo de
■ “CIS Control” – conjunto prescritivo e priorizado de prá-
diagnóstico consiste na realização de entrevistas com pes-
ticas recomendadas de segurança cibernética e ações de-
soas chave e obtenção, de acordo com as circunstâncias, de
fensivas, desenvolvido pela Center for Internet Security®,
evidências documentais das afirmações obtidas. As entrevis-
que pode ajudar a evitar os ataques mais disseminados e
tas são orientadas pelos requisitos do “framework” escolhi-
perigosos (disponível em https://learn.cisecurity.org/cis-con-
do, buscando classificá-los quanto ao grau de atendimento:
trols-download);
Atende Plenamente, Atende Parcialmente, Não Atende ou
■ Família ISO 27000 – conjunto de normas emitidas pela Não Aplicável e gerar recomendações de adoção ou melho-
International Organization for Standardization, organização ria de práticas não aderentes.
11
Veja, a seguir, exemplo de aplicação de diagnóstico: ⚠ PONTOS DE ATENÇÃO
Atende Atende Não Não O resultado de diagnóstico dessa natureza, invariavelmente,
Requisito Status
Total Parcial Atende Aplicável choca – e decepciona – os tomadores de decisão e colabo-
1.1.5 - Política radores de um modo geral, em razão da elevada quantidade
Política de aprovada de “não conformidades” revelada. Desconsiderando-se os
Segurança da pelo C.D. em pontos fora da curva, a constatação de requisitos atendi-
Informação 00/00/00;
aprovada contudo dos plenamente em organizações que realizam seu primeiro
X diagnóstico é significativamente inferior à de requisitos que
pela alta sem acesso
administração garantido não atendem ou atendem parcialmente. E isto é a visão do
e divulgada a todos os
p/ as partes dirigentes e
apocalipse? De forma alguma.
interessadas. colaboradores. Primeiramente, temos que ter em mente que os “frameworks”
É recomendável, ainda, a classificação dos requisitos que disponíveis resultaram de pesquisas muito bem elaboradas,
não atendem plenamente por prioridade de atendimento, envolvendo instituições e profissionais renomados e com
que pode levar em consideração ações imediatas, ações de grande expertise no assunto, de modo que as práticas ne-
médio prazo e ações de longo prazo, conforme os níveis les elencadas são a quintessência das melhores práticas e

de criticidade e urgência dos requisitos e as precedências técnicas aplicáveis. Algo que costumamos apelidar de “Pa-
das ações. No nosso exemplo, caberia uma recomendação drão FIFA”, presente em sua plenitude, talvez, somente em
de aplicação imediata de disponibilização e divulgação da organizações como o “Pentágono” ou renomadas “data-ware
Política de Segurança da Informação, incluindo campanhas houses”. Alguns níveis de certificação – como é o caso do
de conscientização. TIER-IV – são inatingíveis até para grande parte das empre-
sas de tecnologia.
Uma vez concluído, o resultado do diagnóstico é discutido
com as áreas envolvidas para confirmação de sua integrida- Em seguida, entenda que o cumprimento irrestrito dos re-
de e, na sequência, apresentado à alta administração. quisitos em sua plenitude pode levar sua entidade a um
consumo de recursos muito além das suas disponibilidades
orçamentárias.
12
Então, muita calma nessa hora. Não saia desesperado na bus- ✅ BENEFÍCIOS
ca de atendimento pleno de todos os requisitos. Lembre-se
do seu foco estratégico que é a gestão de planos de benefí- A realização de um diagnóstico do ambiente tecnológico é de
cios e dos recursos garantidores desses planos. Portanto, a extrema importância para a identificação do nível de confor-
não ser que sua intenção seja a busca – planejada – por selo midade da infraestrutura tecnológica da entidade e, também,
de certificação em algum “framework” de tecnologia especí- para o conhecimento – cultura organizacional – de todo o seu
fico ou queira mudar o foco estratégico de sua entidade – o quadro corporativo, quanto ao tipo de ameaça que estamos
que não é aconselhável – procure distinguir, no resultado do expostos e possíveis soluções. Isto permitirá a redução do seu
diagnóstico, aquilo que é necessário, aquilo que é desejável risco operacional, com reflexos diretos na mitigação do risco
e aquilo que é dispensável em termos de segurança para do negócio, conforme segue:
entidades com a sua característica, porte, complexidade e ■ racionalização da utilização do uso de recursos de tecnologia;
níveis de risco. E como o diagnóstico torna-se um “revelador
de dificuldades”, lembre-se de que sempre haverá alguém ■ melhoria no gerenciamento de capacidade de serviços de TI;
querendo “vender facilidades”. ■ viabilização de transição de ambiente de TI de reativo para
Uma vez realizada a mencionada distinção, e feito alinha- proativo;
mento de expectativas, crie um projeto para implantação dos

■ transição da atuação de TI de operacional para tática e
necessários aprimoramentos, considerando a classificação estratégica;
das prioridades de ações, de curto, médio e longo prazos.
■ melhor gerenciamento do conhecimento e de pessoas;
E lembrem-se, a Conecta pode auxilia-los na busca por par-
ceiros para realização deste diagnóstico. ■ melhoria na qualidade dos serviços e comunicação de TI;
■ melhoria da integração entre TI e necessidades pelo porte da
entidade;
■ implantação de indicadores: - onde estou, para onde vou?;
■ melhoria da percepção de entrega da TI; e
■ solução para interrupções na disponibilidade dos serviços de TI.
13
Como consequência de todos os benefícios citados, pode-
mos destacar a implementação de um processo contínuo
de aprimoramento, que não se limita a apontar os impactos
imediatos do ambiente de Segurança da Informação, mas a
longo prazo, a trazer maior assertividade para a gestão.
Agora que você já tem condições de conhecer o ponto de
origem e de vislumbrar o ponto de destino, comece a trilhar
a sua trajetória rumo à mitigação do risco de ataques ciber-
néticos em sua entidade.

14
3. Os investigadores de acidentes aéreos utilizam uma expressão
muito chocante, mas bem apropriada, que revela a importância
SAIBA COMO A que o setor da aviação civil e militar atribui à documentação dos
DOCUMENTAÇÃO DE processos de segurança de fabricação, manutenção e uso das
aeronaves, assim como do controle do tráfego aéreo: - “Regula-
PROCESSOS PODE CONTRIBUIR mento Se Escreve Com Sangue”3. De fato, o aprendizado obtido
1
com falhas ocorridas tem um valor inestimável para o estabe-

PARA CRIAÇÃO DE AMBIENTE lecimento de melhores práticas e consequente aprimoramento
TECNOLÓGICO RESILIENTE A contínuo dos processos praticados em qualquer área do conhe-
cimento humano.
ATAQUES CIBERNÉTICO. Em nossa publicação anterior, buscamos conscientizar as EFPC
acerca da importância da realização de diagnóstico de suas áreas
de tecnologia para conhecimento do nível de aderência de seus
processos às melhores práticas de prevenção a ameaças ciberné-
ticas. Como passo seguinte, a partir desta edição, vamos explorar
capítulos desse repertório de melhores práticas, iniciando com

o estabelecimento de políticas e demais normativos internos de
segurança.
Certamente, você já enfrentou várias ameaças de diversas na-
turezas. Talvez não tão dramáticas quanto àquela que nos refe-
rimos na introdução deste assunto, mas que não deixam de ser
ameaças. O que elas têm em comum? O fato de provocarem dois
questionamentos imediatos diante da ocorrência: - O que fazer?
Como fazer? E deles derivam outras questões bem significativas,
como quem, quando, onde, quanto e por quê fazer, que podem
3 Série de TV “Mayday, desastres aéreos! ” – National Geographic.

15
orbitar tanto nos níveis estratégicos quanto operacionais blicado pela Comissão Técnica de Controles Internos e Com-
de gestão. Estamos diante, como pode ver, das famosas pliance da Abrapp, para melhor compreensão dos conceitos
questões 5W2H, ferramenta de gestão de grande ajuda no que serão aqui utilizados.
desenvolvimento de soluções e tomada de decisões. Mas
Vamos iniciar falando de política, documento associado à
você pretende esperar o incidente acontecer para iniciar
questão “o que” fazer, do nosso 5W2H. Questão como esta
este processo? Certamente, não. Tudo isto deve estar pre-
tem elevado valor estratégico e, por isso, expressa interesses
viamente estabelecido para que as chances de ocorrência
dos proprietários na condução dos seus negócios; ou seja,
de falhas sejam remotas e, caso venham a ocorrer, para que
resultados desejados. A política estabelece, portanto, dire-
você não saia tomando decisões precipitadas ou impróprias
trizes a serem seguidas pela gestão, sem entrar no mérito
para a ocasião. Lembre-se, nessa hora você estará no “olho
de “como” executá-las. Por este motivo, o documento deve,
do furacão”.
necessariamente, ser conciso, claro, objetivo e formalmen-
A importância da documentação de processos, vale salientar, te aprovado em instância superior da administração, onde
vai muito além de uma tábua de salvação para momentos os interesses dos proprietários do negócio encontram-se
de crise. Ela garante o perfeito funcionamento de dois am- representados, ou seja, no Conselho Deliberativo. E por es-
bientes de controle cruciais para as organizações, descritos tabelecerem diretrizes de atuação abrangentes, devem ser
no COSO4: - O Ambiente de Autorização e o Ambiente de publicados de forma a garantir o amplo conhecimento por

2
Orientação (ou Comunicação). A harmonia entre esses dois parte de todos os colaboradores da organização, inclusive
ambientes é que vai nos permitir usufruir dos benefícios das prestadores de serviços. Sendo uma espécie de mandato,
decisões baseadas no 5W2H. Então, convidamos nossas enti- não pode ser descumprido, em hipótese alguma, sob pena
dades a darem um passeio pelo “mundo dos controles inter- de ficar evidente um ato irregular de gestão. Lembre-se, en-
nos”, fascinante para alguns, entediante e burocrático para tão, de que na política devem estar contidas proposições de
outros, mas obrigatório para todos que buscam, através da ações objetivas e não detalhes de funcionamento.
mitigação de riscos, evidenciar o ato regular de gestão. Nesse
Na sequência, falaremos dos demais documentos que, de
momento, vale revisitar o Manual de Controles Internos, pu-
4 Committee of Sponsoring Organizations of the Treadway Comimission – iniciativa conjunta de cinco organizações profissionais dedicada a ajudar no
desempenho das organizações através do desenvolvimento de liderança inovadora que aprimora o controle interno, o gerenciamento de riscos, a
governança e a prevenção de fraudes.
16
acordo com as estruturas de cada entidade, podem apre- ações relacionadas à segurança da informação e alinha-
sentar diferentes nomenclaturas. Estamos nos referindo a mento com o gerenciamento estratégico de riscos da EFPC,
manuais operacionais, processos organizacionais, instru- é recomendável que sua elaboração leve em consideração,
ções normativas, instruções de trabalho, descrições de pro- além de boas práticas, os requerimentos legais, regulató-
cedimento, enfim, todos aqueles documentos necessários rios e contratuais associados à segurança da informação.
ao entendimento do “como” fazer. Trata-se, portanto, de um
■ Política de Privacidade e Tratamento de Dados Pessoais:
elenco de documentos de caráter operacional, vinculados
Com o propósito de definir diretrizes voltadas para
incondicionalmente às determinações da(s) política(s). Este
assegurar que o uso de dados pessoais tratados pela EFPC
elenco de documentos deve estabelecer, de forma clara e no
restrinja-se, apenas, às finalidades consentidas, direta
requerido nível de detalhe, a forma como os gestores irão
ou indiretamente pelos seus titulares, nos termos da Lei
conduzir suas ações visando atingir os objetivos estratégi-
Geral de Proteção de Dados – LGPD, a EFPC evidencia seu
cos da organização.
compromisso com o devido sigilo dos dados utilizados. Por
Então, mãos à obra! isso, às vezes é tratada, simplesmente, como Política de
Privacidade. O uso de “cookies” deve ser abordado.
POLÍTICAS ■ Política de Gestão de Documentos e Dados: Com foco no

princípio de Privacy by Default, o documento estabelece
É recomendável que compreendam, pelo menos, justificativa, diretrizes para a devida manipulação de informações den-
alinhamento corporativo, responsabilidades, alçadas, reso- tro da EFPC, levando em consideração a sua criticidade, o
lução de conflitos, comprometimento da alta administração, sigilo, o ciclo de vida dos dados e as condições de armaze-
reporte de desempenho, análise crítica e melhoria contínua. namento e descartes. Atenção deve ser dada às questões
Além disso, reiteramos, devem ser aprovadas pela instância contratuais relacionadas com os tratamentos de dados,
máxima de deliberação da EFPC e amplamente divulgadas a notadamente em função dos compartilhamentos a que
todas as suas partes interessadas. Seguem algumas suges- estão sujeitos.
tões de políticas:
■ Política de Resposta a Incidentes de Segurança: Com o
■ Política de Segurança da Informação: Para alcançar sua propósito de definir responsabilidades e ações que ga-
finalidade de estabelecer princípios que nortearão as rantam uma resposta rápida e eficiente aos incidentes de
17
segurança. Tais diretrizes devem permitir a identificação ■ Inventário de softwares e hardwares: O tratamento adequa-
dos tipos, volumes e custos derivados dos incidentes, bem do dos dados requer a identificação e documentação de todos
como a coleta e armazenamento de evidências, permitin- os “ativos” associados a recursos de processamento de infor-
do tanto o aprendizado com as falhas ocorridas quanto a mações. A localização de um equipamento – assim como de um
realização de diligências de responsabilização – adminis- sistema – deve ser definida de forma a minimizar o acesso não
trativa ou judiciais – aplicáveis. autorizado à área de trabalho (acesso desnecessário, ângulo
de visão etc) e a assegurar que não saiam da organização sem
Com vistas a racionalizar a publicação, o uso e a manutenção
autorização prévia.
de políticas envolvendo a área de tecnologia, a EFPC pode
adotar, como prática, a elaboração de um único documento ■ Inventário de dados pessoais: Também conhecido por Mapa
– Política de Segurança da Informação – passando as demais de Tráfego de Dados Pessoais, este levantamento tem por ob-
sugeridas a compor Apêndices desta. jetivo montar um banco de dados que assegure a conformida-
de da EFPC em relação à Lei Geral de Proteção de Dados. Reúne
informações relacionadas com descrição da tarefa, processo
DEMAIS DOCUMENTOS ao qual pertence, dados pessoais necessários, finalidade do tra-
tamento, forma de autorização de uso, compartilhamento, local
Para implementação das diretrizes aprovadas pelos proprie- de armazenamento, dentre outras informações necessárias ao

tários do negócio torna-se necessário o estabelecimento de cumprimento da LGPD.
procedimentos operacionais que permita o devido cumpri-
mento. Tais documentos compõem o Ambiente de Controle ■ Procedimentos de registro, tratamento e comunicação de inci-
Interno conhecido por Ambiente de Orientação (Comunica- dentes de segurança: Apresentando os detalhes das providências
ção). Devem, portanto, estar perfeitamente alinhados com as a serem tomadas na hipótese de ocorrência de incidentes relacio-
políticas, definindo “como” coloca-las em prática. nados com a segurança da informação e do seu ambiente de ge-
renciamento. Quando relativos a dados pessoais, devem abranger
Conforme comentado anteriormente, não é nosso propósi- as regras definidas pela Lei Geral de Proteção de Dados Pessoais.
to, nesta publicação, padronizar as nomenclaturas dos do-
cumentos operacionais. Portanto, os documentos listados a ■ Procedimentos de acessos físicos e lógicos: Envolvendo re-
seguir estão referenciados pelos seus conteúdos. gras e condições de liberação de acessos a ambientes físicos
e lógicos da EFPC.
18
■ Procedimentos de documentação de sistemas: Com o ob-
jetivo detalhar, para usuários e administradores, o modo
como os sistemas são operados e como realizar as suas
manutenções.
■ Procedimentos de produção e desenvolvimento: Envol-
vendo regras de desenvolvimento, produção e testes, in-
clusive de gestão da mudança.
■ Procedimentos de homologação de produtos: Registros
formais de que, além da área de tecnologia, os usuários
ou áreas solicitantes testaram e aprovaram as soluções
desenvolvidas.
■ Plano de contingências e continuidade de negócios: Con-
tendo regras para recuperação de desastres e para asse-
gurar a operacionalidade da EFPC diante de eventos que
causem interrupção parcial ou total de suas atividades.

Recomenda-se que testes de intrusões e contingências
estejam previstos no documento como procedimentos
regulares.
■ Matriz de Segregação de Funções: Também conhecida por
Matriz SOD, ela garante o estabelecimento de restrições de
acesso a funcionalidades de cada sistema de forma que as
operações realizadas por uma mesma pessoa não gerem
conflitos de interesses.
19
4. # 4.1. Parte I – Processo de Conscientização e Treinamento
SAIBA COMO TORNAR “Prato do dia: FEIJOADA COMPLETA!!!”. Este é, sem dúvida alguma,
um ícone da culinária popular brasileira, com presença garantida
SEUS PROCESSOS DE T.I. nos cardápios de restaurantes de norte a sul do País. Em algumas
regiões, tradicionalmente servida às quartas-feiras e, em outras,
ROBUSTOS E CAPAZES aos sábados, para a satisfação dos mais variados perfis de fiéis
consumidores. Gorda ou magra, a depender do gosto freguês, a
DE PREVENIR ATAQUES Feijoada vem mantendo sua posição de sucesso gastronômico,
CIBERNÉTICOS não apenas pela sua diversidade de sabor, como também, pelo seu
valor nutritivo, custo acessível e seu papel – catalizador – social.
De fato, motivos não faltam para justificar este sucesso e, para
chegarmos até eles, a palavra-chave é PROCESSO. Afinal, estamos
falando de um prato cujo preparo envolve uma diversidade de
ingredientes, com etapas e momentos de cozimentos distintos,
temperos na medida correta e que exige um planejamento de
dias, orientado por uma receita testada e fielmente seguida. Não

há, portanto, espaço para improvisos de última hora.
Assim como no preparo da nossa tradicional Feijoada, a prepara-
ção e a manutenção de um ambiente resiliente a ataques ciberné-
ticos em nossas entidades requerem processos planejados, bem
definidos e formalmente registrados e observados. A partir desta
edição, apresentaremos processos relacionados com a segurança
da área de tecnologia capazes de proporcionar a mitigação de
ameaças cibernéticas.
E nada mais conveniente e oportuno do que começarmos esta
série pelo Processo de Conscientização e Treinamento.
20
Este processo consiste, basicamente, na promoção do enga- nistração, deve trabalhar na criação e aplicação de um Pro-
jamento e da aptidão de todos os dirigentes, colaboradores grama de Treinamento e Conscientização, além de incentivar
e prestadores de serviços da entidade na busca e manuten- o respeito às políticas internas e o uso de canal de comuni-
ção contínuas de boas práticas de segurança da informação cação para consultas e reportes de desvios. O referido pro-
e de ambiente tecnológico eficiente e seguro, garantindo o grama compreende atividades coordenadas e planejadas de
desempenho apropriado de suas tarefas. acordo com as melhores especificações e as necessidades
de cada assunto abordado. As ações para conscientização
A execução do processo, portanto, não se limita à criação de
são diversas, não se limitando a: - criação de materiais cria-
políticas e estabelecimento de normativos internos volta-
tivos e atrativos, canais e ações fora do comum, palestras
dos para a segurança da informação, já que o fator humano
periódicas, treinamentos, aplicação de questionários, de jo-
é de suma importância para o cumprimento das diretrizes
gos e realização de sorteios.
estabelecidas.
O Apêndice I deste material de referência apresenta um
De acordo com a norma ABNT NBR ISO 27002, convém que
quadro resumo de todos os pontos que devem ser observa-
todos os colaboradores da organização recebam treinamen-
dos para perfeita aplicação do Programa de Treinamento e
to, educação e conscientização apropriados. Além disso, as
Conscientização.
políticas e os procedimentos organizacionais relevantes

para as suas funções devem ser regularmente atualizados,
sempre levando em consideração a segurança da informa-
ção e a proteção de dados.
Ainda nesta linha, a NIST 800-165 estabelece, para o seu pú-
1
blico alvo, que a conscientização de segurança seja obriga-

tória para todos os colaboradores, incluindo empregados,
contratados, estagiários e quem estiver envolvido, de alguma
forma, com sistemas de tecnologia da informação.
A área de Recursos Humanos, com o patrocínio da alta admi-
5 Nacional Institute of Standards and Technology (NIS) – U.S Department of Commerce)

21
# 4.2. Parte II – Gestão de Contas e Usuários tas e usuários para proteger suas informações e os cuidados
devem envolver tanto usuários internos quanto externos.
E mantenha a “guarda fechada” no ringue, pois as ameaças
O gerenciamento consiste em realizar o controle dos ativos e
continuam!!!. Desta vez, a vítima foi a Lojas Renner S.A., maior
dos recursos digitais corporativos, ou seja, verificar os privilé-
varejista de moda do Brasil em faturamento. Um ataque de
gios dos colaboradores, assim como as permissões de acesso
hacker, ocorrido numa quinta-feira, 19 de agosto de 2021, dei-
aos recursos tecnológicos e sistemas da empresa, permitindo
xou seu site sem funcionar até o sábado seguinte, ao passo
que cada colaborador tenha acesso apenas ao necessário para
que o seu aplicativo de compras somente foi restabelecido
executar sua função. Isso abrange os dispositivos, aplicativos,
no domingo. De acordo com a empresa, não houve contato
sistemas de armazenamento, redes e outros.
com os autores desse ataque e nem negociação de paga-
mento de resgate de qualquer espécie. Por meio do gerenciamento de contas e usuários, a área de TI
alcança um alto nível de controle sobre seus dados e sistemas,
E os casos não param por aí, já que os ataques cibernéti-
garante eficiência para que as atividades não sejam interrom-
cos cresceram significativamente durante a pandemia da
pidas e minimiza as vulnerabilidades ou brechas de segurança.
Covid-19, no mundo todo. Nesse cenário tão complexo e in-
Para isso, é necessário realizar o controle de acesso, processo
seguro, a grande preocupação para as organizações, de um
este realizado em três etapas, sendo todas de suma importân-
modo geral, é assegurar que ao fornecer aos seus usuários
cia para a perfeita implantação e gestão de contas e usuários.

acesso aos sistemas e dados institucionais, o seu ambiente
Cada etapa reforça um ponto importante a ser observado na
digital permaneça seguro. Por isso, não devemos nunca nos
gestão de segurança da informação, entre os quais podemos
esquecer de que qualquer usuário que tenha acesso a rede
destacar:
da organização e não tome as devidas precauções compro-
mete a segurança corporativa. 1) a autenticação determina a permissão e os acessos ce-
didos a cada usuário da entidade;
E nada mais apropriado, portanto, do que tratarmos nesta
edição da porta de entrada e saída das informações e da- 2) a autorização elenca o que cada usuário tem permissão
dos de uma empresa, descrevendo a importância do Proces- para acessar e realizar no sistema, ou seja, determina os
so de Gestão de Contas e Usuários. níveis de permissão e os delimita de acordo com a sua
função na entidade, devendo ser imediatamente revo-
Nesse sentido, as entidades devem realizar o controle de con-
gada em caso de desligamento do colaborador dessa; e
22
3) a auditoria visa verificar se o colaborador utilizou da sua # 4.3. Parte III – Proteção de Dados Pessoais
permissão de forma adequada ou mal intencionada e, por
Da realidade para o cinema ou do cinema para a realidade?
isso, o sistema realiza a coleta dos históricos de uso dos
Várias produções do cinema têm abordado, ao longo dos
recursos tecnológicos de cada usuário (esses dados são
anos, processos de segurança da informação e suas vulne-
utilizados para possíveis verificações futuras caso algum
rabilidades. Entre elas podemos destacar: Prenda-me se for
erro aconteça).
capaz (2002), FireWall-Segurança em Rede (2006), Hacker
É indispensável ao controle de contas e usuários investir em (2015).
uma ferramenta que possa garantir a segurança e eficiência
Não é de hoje que assuntos sobre segurança da informação
de seus sistemas, além de fornecer acesso adequado a todos
inspiram roteiros de cinema. Afinal, desde as mais simples
os usuários. Entre outros benefícios, ainda podemos desta-
abordagens e até as técnicas mais sofisticadas para roubar
car a redução da complexidade dos acessos, a hierarquização
dados e paralisar operações, todas parecem próximas de-
das permissões, a automação e a centralização da gestão.
mais da realidade da tecnologia da informação que atual-
O Apêndice II deste material de referência apresenta um mente vivemos.
quadro resumo de sugestões de pontos que devem ser ob-
O que serve para nos alertar sobre o quão importante e vul-
servados na gestão de contas e usuários.
neráveis são os processos relativos à segurança da infor-

mação, principalmente, no ambiente corporativo. Por isso,
devem ser criteriosamente, elaborados, avaliados e moni-
torados.
Um levantamento da Check Point Software Technologies6 2
pontou que em 2020 as tentativas de ataques cibernéticos

se intensificaram, atingindo 2,5 milhões de ocorrências re-
gistradas, em um período de apenas seis meses.
Diante desse volume de tentativas de ataques, percebe-se
6 Fonte: https://canaltech.com.br/seguranca/3-milhoes-de-ataques-em-2020-ja-tentaram-explorar-sistemas-desatualizados-173889/.
23
que é impossível evitá-los; entretanto cabe às empresas de- # 4.4. Parte IV – Gestão de Redes
finirem seus processos de segurança, controles e suas políti-
Desde os primórdios, a relação de contar – ou computar – já
cas, dando diretrizes para os aspectos físicos, tecnológicos e
intrigava a humanidade. Fazendo valer este argumento, po-
humanos da segurança da informação, a fim de se minimizar
demos pensar que a criação de computadores teve início na
a efetivação dos ataques recebidos, tornando seu ambiente
idade antiga, com a criação do “ábaco”, no século V a.C., como
mais robusto e seguro.
o primeiro instrumento mecânico de computação.
Só pela segurança da informação em si, já se requer cuida-
Antes do advento de computadores dotados com algum tipo
dos primorosos nos processos de coleta, guarda, tratamento,
de telecomunicação, a conexão entre máquinas calculadoras
compartilhamento e descarte de dados. Mas, com o advento
e computadores antigos era realizada por usuários humanos
da Lei Geral de Proteção de Dados, os cuidados com os dados
através do carregamento de instruções entre eles. De lá pra
pessoais em uma empresa devem estar intrínsecos, verda-
cá, grandes avanços vêm sendo conquistados com desta-
deiramente, nesses processos. Por esta razão, a edição do
que para a evolução gradual das redes de sistemas compu-
Saiba Como deste mês será dedicada, mais especificamente,
tacionais nas décadas de 1950 e 1960, 1970, 1980, 1990 e anos
a processos relacionados com a proteção de dados pessoais.
2000.
O Apêndice III deste material de referência apresenta um
Os avanços de revoluções digitais ocorridos em todo mundo

resumo com sugestões de práticas que devem ser consi-
nas últimas décadas, e principalmente neste momento de
derados na busca de segurança da informação, dentro das
pandemia, sem dúvida trouxeram muitas melhorias para a
organizações, em relação à coleta e tratamento, armazena-
vida pessoal e corporativa, colocando o universo em uma
mento, compartilhamento e descarte de dados, conforme
perspectiva de uma grande rede de informações. No entanto,
Checklist-ISO27701 e Cys Controls - Frameworks.
este universo traz consigo também um ar de complexidade
em relação a exposição a risco e segurança da informação,
o que exige uma eficaz gestão dessas redes.
O gerenciamento de rede ocupa uma posição estratégica
nos negócios. Tal fato pode ser verificado no filme: O jogo
da imitação (2014), cuja sinopse nos traz:
24
“Nada mais nada menos que um filme sobre Alan Turing. # 4.5. Parte V – Testes e Desenvolvimentos
Conhecido como o pai da computação e no desenvolvi-
Temos apresentado ao longo da nossa série de edições do
mento de algoritmos. Neste filme, um drama sobre uma
“Saiba Como” que é extremamente importante para as or-
história real passada durante a Segunda Guerra Mundial,
ganizações, independentemente do seu porte, manter me-
Turing trabalha para inteligência britânica especializada
canismos de segurança da informação para garantir ou mi-
em quebra de códigos.
nimizar possíveis ameaças que possam comprometer o seu
No filme vemos Turing trabalhando para conseguir de- negócio. Esses mecanismos devem ter controles adequados
sencriptar mensagens alemãs. Ao conseguir quebrar os e que sejam incluídas em procedimentos, processos, políti-
códigos criptografados dos alemães, ele deu uma grande cas, estruturas organizacionais, dentre outros.
vantagem aos aliados, o que resultou no principal fator
Para tanto, é necessário investir na segurança adequada
para o fim da Segunda Guerra Mundial.”
para os seus dados, pois, caso isso não ocorra, a organização
Uma boa estrutura de tecnologia da informação é essencial estará fadada a possíveis ataques cibernéticos, que possam
para que seus dados não estejam apenas ordenados, mas a vir ocasionar, por exemplo, prejuízos financeiros, riscos de
também seguros. Sem gestão de rede, temer pela segurança imagem perante o mercado, sendo que em algumas situa-
dos seus dados é uma realidade justificada, pois são altos os ções podem ser irreversíveis. Sendo assim, não dar a devida

riscos de sofrer ataques ou roubos de informações, confor- atenção à questão de segurança cibernética é colocar em
me sinopse do filme apresentada. riscos a própria empresa, seus clientes e parceiros.
O Apêndice IV deste material de referência apresenta um Há um ditado popular que diz “é melhor prevenir do que re-
resumo com sugestões de práticas que devem ser consi- mediar”, ou seja, é melhor mitigar um risco com ações pre-
derados na busca de segurança da informação, dentro das ventivas do que ter que reparar os danos depois, procurando
organizações, em relação à gestão de segurança em redes, medidas de soluções para as suas consequências.
conforme Checklist-ISO27701 e Cys Controls - Frameworks.
25
No sítio eletrônico do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados (IBRASPD), uma matéria foi divul-
gada com os ataques cibernéticos ocorridos no período de janeiro a dezembro de 2020 e que tiveram repercussão na mídia,
conforme tabela abaixo:

Fonte: https://www.ibraspd.org/incidentes
26
Nota-se que ao todo foram 36 (trinta e seis) empresas de ■ Funcionais: visam validar as funções e as especificações de
diversos segmentos e portes que sofreram incidentes no requisitos do próprio sistema, ou seja, é o que o sistema faz;
exercício de 2020 e que podem ter ocorrido, inclusive, por
falta de realização de “testes e desenvolvimentos” que são ■ Não funcionais: visam avaliar a carga, portabilidade, perfor-
um dos instrumentos fundamentais para garantir que quan- mance, usabilidade, dentre outros, ou seja, é como o sistema
do da implantação de um procedimento, ou seja, a sua execu- trabalha;
ção, possa ocorrer de forma mais segura e correta, visando ■ Estruturais: são ligados aos componentes e integração do
assim, evitar possíveis riscos de falha nos sistemas. Em razão sistema; e
disso, a atual edição do “Saiba Como” vai abordar o processo
de testes e desenvolvimentos. ■ Mudança de regressão e confirmação: visam validar se o
sistema está funcionando como o esperado, suprindo a exis-
Confira-se na tabela abaixo e a título de exemplo, alguns co- tência de alguma falha introduzida ou não coberta no início.
mentários sobre o método desenvolvido e que deve ser imple-
mentado nas rotinas das áreas de Tecnologia da Informação Por fim, como sugestões de práticas que devem ser conside-
pelas organizações, que é o “teste de penetração”. Esse teste, radas na busca de segurança da informação dentro das orga-
também conhecido como intrusão, visa realizar a simulação de nizações em relação à gestão de testes e desenvolvimentos,
ataques por profissionais da área direcionados para detectar conforme Checklist-ISO27701 e Cys Controls - Frameworks,

possíveis fragilidades na segurança dos dados da organização recomendamos a leitura do quadro resumo do Apêndice V
e mediante o seu resultado, é possível elaborar ou aperfeiço- deste material de referência.
ar uma estratégia mais eficiente de defesa. Na prática, esses
profissionais devem realizar testes nos sistemas que foram
contratados pela empresa e é como se comportassem como
um hacker no mundo real, permitindo assim, encontrar situa-
ções de insegurança e perigos.
Por oportuno, também existem outros tipos de testes de
software que podem ser realizados de acordo com o projeto que
será aplicado levando em consideração o seu grau de risco. Veja:
27
# 4.6. Parte VI – Identificação de Incidentes e Testes de precauções, a possibilidade de ser alvo de um crime ciberné-
Vulnerabilidades tico continua existindo. Ao mesmo tempo em que os desen-
volvedores de sistemas de segurança digital e especialistas
Não adianta chorar sobre o leite derramado!
no combate aos ataques cibernéticos seguem avançando, os
Aposto que você já ouviu essa frase muitas vezes e em muitos criminosos fazem o mesmo.
contextos... Mas e então? Não há o que se fazer diante do leite
Invasão dos servidores, vazamento de dados, bloqueio ao
derramado?
acesso às informações, pedidos de “resgate” dos cibercrimi-
Essa frase visa nos levar à reflexão de que não adianta ficar nosos… são muitas as formas como os hackers podem alvejar
apenas arrependido e frustrado por não ter evitado a ocorrên- o nosso negócio. Nesse sentido, se a natureza dos ataques é
cia de um fato não desejado. Ela pretende nos levar à busca determinante para definir a conduta, certas providências po-
pela solução do problema e, claro, à identificação das oportu- dem e devem ser tomadas em todas as situações.
nidades de melhorias para que o fato não ocorra novamente.
Sendo assim, caso sua entidade sofra um desses ataques, há
Sendo assim, se você não conseguiu evitar que o leite fosse ações que podem ser feitas para minimizar os impactos da
derramado, chamemos o gato! ação criminosa.
Durante a pandemia em curso houve um aumento massivo no Portanto, se apesar de todas as ferramentas de mitigação

número de ataques cibernéticos e em 2021 tivemos um dos desse risco, você se ver em um ciberataque, ao invés de se
maiores vazamentos de dados da história, dados de 223 mi- desesperar e pagar um resgate ou ceder à extorsão, saiba o
lhões de brasileiros no sistema nacional de saúde, crime este que fazer:
ainda sob investigação.
1) Identifique os sinais do possível ataque e comunique a
Se você já implementou tudo que sugerimos até aqui, nessa área de TI
série de posts, para se proteger de um ataque cibernético, cer-
Um dos indícios de alerta é o processamento lento de um
tamente a probabilidade de um incidente desta natureza em
ou mais computadores. Isso pode acontecer caso os ha-
sua empresa está muito reduzida e, ainda que ocorra, a chance
ckers estejam utilizando os recursos das máquinas nos
de danos também está reduzida.
“bastidores”, enviando dados ou e-mails infectados para
Mas é importante estar ciente de que, mesmo com todas as outro computador.
28
2) Notifique o incidente às autoridades 4) Reduza os danos nos sistemas internos
Como qualquer outra ação ilegal, o crime cibernético deve Algumas medidas imediatas são importantes para iniciar
ser comunicado à polícia. A partir daí, pode-se empreen- a contenção de danos. Isso envolve desconectar o ser-
der a correta investigação do caso. Para fundamentar o vidor e/ou computadores afetados do roteador ou rede
incidente, deve-se primeiro coletar evidências do ataque empresarial. Caso a conexão seja via wireless, desabilite as
hacker no negócio, incluindo capturas de telas, e-mails, funcionalidades de wi-fi no dispositivo em questão. Se o
arquivos e outros materiais. Se possível, registre também website da entidade foi alvo dos hackers, contate o serviço
o IP do criminoso. E claro: se houver vazamento de dados, de hospedagem do portal o quanto antes.
comunique também à Agência Nacional de Proteção de
Modificar as senhas dos serviços tende a evitar o agrava-
Dados - ANPD.
mento do problema. Isso porque pode levar um tempo entre
3) Identifique as causas a notificação do ataque e a ação efetiva do hacker. Na hora
da troca, invista em senhas fortes, que reúnam letras, nú-
É essencial descobrir qual foi a brecha de segurança, ou seja,
meros e caracteres especiais, além de totalizarem ao menos
como os hackers conseguiram acessar e invadir a rede.
8 dígitos. Vale a pena ressaltar que senhas fracas são uma
As principais causas de violação e vazamento de dados causa comum de invasão. Adicionalmente à força dessas

são: roubo ou perda de dispositivos, desatualização de credenciais, nunca utilize a mesma senha para diversos ser-
softwares ou sistemas de TI, malware (softwares malicio- viços. Caso ocorra um vazamento, afinal, diversas soluções
sos), senhas fracas ou roubadas e uso de redes inseguras corporativas serão prejudicadas em cadeia.
(incluindo o wi-fi público).
5) Acione os equipamentos reserva
Nesse cenário, como mencionamos, é preciso contar com o
Após um ataque, caso um dispositivo da infraestrutura de
apoio de um profissional especializado para a detecção da
TI tenha suas operações interrompidas, é primordial resta-
causa, caso a entidade não tenha essa expertise na equipe
belecer os serviços com agilidade. O tempo de inatividade
interna. Depois de determinado o “porquê”, é preciso inves-
não acarreta somente perda de produtividade da equipe,
tigar outros aspectos, tais como quais dados foram rou-
mas também prejudica a experiência do cliente.
bados ou acessados, quais contas e computadores foram
comprometidos e quem foi afetado.
29
É preciso ter em mente, ainda, que a desinfecção e o res- ajustes contínuos de segurança são elementos-chave para
tabelecimento dos equipamentos podem demandar ho- evitar que novos incidentes aconteçam.
ras, dias ou até mesmo semanas. Nesse sentido, é reco-
Garanta que as soluções de proteção estejam funcionando da
mendado contar com reservas dos equipamentos mais
forma apropriada, assim como a execução periódica dos ba-
críticos para os processos de trabalho.
ckups. Verifique se as atualizações de todos os sistemas estão
6) Investigue os impactos na entidade e nos clientes em dia, além de revisar o plano de disaster recovery e as de-
mais políticas de segurança da organização, cuja importância
Como o ataque impactou sua empresa? Os dados de clien-
já mencionamos aqui nessa série de posts.
tes estão envolvidos no incidente de segurança?
Identifique, ainda, se há necessidade de treinamento da equi-
Aqui, além da análise dos desdobramentos da ação hacker,
pe acerca das melhores práticas de cibersegurança.
é preciso restaurar os sistemas e informações afetados.
É aí que entra em cena a enorme importância de um bom Nesse cenário, muito mais do que remediar, a prevenção é a
backup, que permita recuperar dados íntegros e garantir chave. A jornada não é fácil, mas nada se compara aos po-
a continuidade do negócio. tenciais danos devastadores que as ciberameaças podem re-
presentar, afetando a reputação, a própria sobrevivência dos
Outro ponto de atenção: se houver vazamento e exposi-
negócios e até mesmo as vidas dos indivíduos cujos registros

ção dos dados corporativos ou informações pessoais dos
pessoais podem ser impactados.
clientes, deve-se entender as implicações legais do evento.
Portanto, se você seguir o quadro resumo do Apêndice VI des-
Além das etapas de notificação policial que já abordamos
te material de referência, essas etapas, você não só terá a sua
acima, é necessário informar os clientes sobre o incidente,
entidade mais protegida de um ataque cibernético, ou seja,
esclarecendo que todas as medidas cabíveis já estão em
menos vulnerável, como também conseguirá identificar mais
andamento.
rapidamente o ataque, caso o ocorra.
7) Revisite sua cibersegurança e aprenda com os erros!
E lembre-se: aprender com o incidente é uma importante eta-
Por fim, e não menos importante, é crucial não deixar a pa do processo!
experiência “passar em branco”. Quando o assunto é a
pergunta “ataque hacker: o que fazer?”, a prevenção e os
30
# 4.7. Parte VII – Gestão de Aplicações e Dispositivos é uma técnica de engenharia social usada para enganar usu-
ários e obter informações confidenciais através de links mali-
Mãos ao alto! É um assalto. Já foi o tempo em que ataques e
ciosos que faz com que o usuário forneça seus dados de ma-
roubos aconteciam apenas com bombas e revólver em punho.
neira espontânea; Cracker, indivíduo que pratica a quebra (ou
Você já sofreu um ataque cibernético? Certamente se não so-
cracking) de um sistema de segurança de forma ilegal.
freu está próximo de alguém que passou por este transtorno.
A Transformação Digital nos mostra as vulnerabilidades de O e-mail corporativo configurado em dispositivos móveis, por
nossos processos e reforça a importância da educação para ser o meio mais utilizado para propagação de Ransomware, ain-
aproveitar a tecnologia com segurança mitigando os riscos. da é a forma mais utilizada para disseminar um código malicioso
em anexo ou induzir o usuário a seguir um link que irá explorar
O primeiro passo para identificarmos as estratégias de com-
vulnerabilidades em sistemas que não tenham recebido as de-
bate aos ataques cibernéticos é saber de onde e como estes
vidas atualizações de segurança. Outra orientação importante
ataques se originam. Essa é uma tarefa complexa, visto que
é evitar uso de dispositivos pessoais para acesso profissionais.
estamos em uma grande rede, com vários desdobramentos
Dispositivos pessoais poderão conter arquivos maliciosos (ocul-
para mapear e analisar.
tos), softwares piratas, sem antivírus e não são inseridos dentro
Destacamos a seguir alguns nomes e formas de como alguns do domínio de rede da empresa que é implementado e monito-
destes ataques acontecem: Vírus (programa que, quando exe- rado pelos profissionais de segurança da empresa.

cutado, é capaz de infectar todos os computadores conecta-
As ameaças cibernéticas acontecem pela falta de proteção
dos em uma mesma rede, roubando dados, ou até controlar
adequada de nossos dispositivos, ou pela grande variedade
o computador por completo); Worms (chegam como anexos
de dispositivos e tipos de aplicativos, que com o crescimento
de um e-mail, diferente do vírus, não precisa nenhuma ação
do “home office”, houve um “boom” na implementação tecnoló-
do usuário (exceto a abertura do e-mail); Adware (se “disfarça”
gica, aumentando a necessidade de gerenciar aplicativos nos
de propaganda para buscar o seu clique); Ransomware, um
dispositivos das empresas e nos dispositivos pessoais dos
sequestrador de dados, invade o sistema, criptografa os dados
usuários. Portanto, nada mais apropriado que tratarmos nesta
e posteriormente pede um valor em resgate da referida infor-
edição dos meios de entrada e saída das informações e dados
mação; Hacker, indivíduo que se dedica, com intensidade in-
de uma empresa, descrevendo a importância do Processo de
comum, a conhecer e modificar os aspectos mais internos de
Gestão de Aplicação e Dispositivo.
dispositivos, programas e redes de computadores; Phishing,
31
Neste sentido, uma das melhores maneiras de evitar tanto as # 4.8. Parte VIII – Processo de Compliance
vulnerabilidades das aplicações e dispositivos que são utiliza-
“PIOR DO QUE NÃO TER CONTROLES, É PENSAR QUE OS TEM”.
dos na sua Entidade, como as vulnerabilidades geradas pelas
Esta expressão, cujo devido crédito ao autor ficaremos deven-
rotinas de trabalho, credenciais e processos internos, pode-
do nesta edição, revela a importância do constante monitora-
mos destacar:
mento de todas as ações administrativas tomadas para tornar
■ Gerenciamento de políticas móveis; o dia-a-dia de nossas entidades mais produtivo e seguro.
■ Gestão de inventário; Uma falsa sensação de segurança com relação ao ambiente
de controle resulta em negligência, retardando inexoravel-
■ Gerenciamento de segurança;
mente a percepção do desastre iminente. É a causa de sur-
■ Gerenciamento de serviços de telecomunicações; presas desagradáveis e inexplicáveis na gestão de qualquer
organização.
■ Gerenciamento e suporte de aplicativos móveis.
Quando mencionamos surpresas desagradáveis e inexplicá-
O Apêndice VII deste material de referência traz um quadro
veis, estamos nos referindo a danos reputacionais significati-
resumo com itens que devem ser observados na gestão de
vos e prolongados, custos de reparação, sanções regulatórias,
aplicações de dispositivos.
paralisação de atividades decorrentes de perda de dados, den-

tre outras consequências que podem transformar a gestão
em um verdadeiro pesadelo.
A verificação de conformidade, portanto, é uma atividade im-
prescindível à manutenção de ambientes de controle eficazes
nas organizações, como bem recomendam padrões de boas
práticas como o COSO7 e tantos outros.
3
7 Committee of Sponsoring Organizations of the Treadway Comimission – iniciativa

conjunta de cinco organizações profissionais dedicada a ajudar no desempenho das
organizações através do desenvolvimento de liderança inovadora que aprimora o
controle interno, o gerenciamento de riscos, a governança e a prevenção de fraudes.
32
Afinal de contas, de nada adianta implantarmos todas – ou boa ■ Mandamento nº 1 - Não negligencie o comportamento
parte – das ações que vimos sugerindo em edições anteriores humano.
de nossos “Saiba Como” se, em contrapartida, não criamos me-
O fator humano é um dos quatro fatores de ignição de ris-
canismo de verificação permanentes do seu cumprimento e,
cos nas organizações. E um dos mais presentes em nos-
quando necessário, de sua revisão para aprimoramento.
so segmento. Segundo a Bloomberg, “as violações de se-
Por isso, deixamos – at last but not least – os processos de gurança cibernética nem sempre são obra de indivíduos
compliance para a última edição de nosso informativo perió- nefastos orquestrando um ataque sofisticado ... podem
dico, lembrando que são implementados para atender tanto resultar de erro humano não intencional.”
a requisitos internos quanto externos.
■ Mandamento nº 2 - Priorize a segregação de funções.
E como aperitivo, recomendamos acessar o site do Serviço
A Bloomberg ressalta que “assim como funções e respon-
Bloomberg Professional8 e conhecer os cinco mandamentos
sabilidades bem definidas são a base de organizações bem
4
de compliance para evitar o pesadelo a que nos referimos. Isto

administradas, a segregação de funções (SoD, na sigla em
nos faz lembrar, diga-se de passagem, o mais emblemático
inglês) é um componente importante da proteção contra
lema dos jovens escoteiros.
a perda de dados e do gerenciamento de riscos de segu-
rança cibernética.”

■ Mandamento nº 3 - Utilize autorização e
autenticação.
A autenticação é de grande importância. No entanto, a
SEMPRE Bloomberg alerta que “embora a autenticação de dois fa-

tores tenha se tornado padrão, ela não elimina os riscos
de segurança; por exemplo, os ‘hackers’ podem intercep-
ALERTA! tar códigos enviados para dispositivos móveis. Para levar
a segurança um passo adiante, o sistema de autenticação
8 https://www.bloomberg.com.br/blog/seguranca-cibernetica-5-mandamentos-
-para-compliance/
33
multifator permite que administradores e usuários auto- E então? Seus procedimentos de compliance monitoram esses
rizados realizem acessos com segurança.” cinco mandamentos com o “estado de alerta” típico dos esco-
teiros? Pois é... como mencionamos, isto é apenas um aperitivo.
■ Mandamento nº 4 – Conheça seus dados.
No Apêndice VIII você verá como frameworks de boas práticas
De acordo com a Bloomberg, “a computação em nuvem re- podem auxiliar – não limitando-se a – na montagem de um
volucionou a forma como as empresas coletam, analisam e programa de compliance.
armazenam dados, mas implica em considerações de risco
adicionais. Praticamente todos os fornecedores têm algum
tipo de presença na nuvem, cada um com seus próprios
pontos fracos e riscos.” Portanto, há muitos fatores de ris-
cos relacionados com fornecedores, com destaque para o
modo como os dados são hospedados e protegidos. Due
diligences tornam-se fundamentais nessa hora.
■ Mandamento nº 5 – Aplique uma abordagem
minimalista à retenção de dados.

Este mandamento nos remete ao conceito “Privacy by De-
fault”, observado no tratamento de dados pessoais pelos
seguidores da L.G.P.D. De acordo com a Bloomberg, “tão
importante quanto proteger os dados de sua empresa é
saber quando é a hora de eliminá-los. Uma estrutura de
dados e segurança cibernética deve abranger uma política
de retenção de dados que defina claramente quais dados
devem ser armazenados e por quanto tempo”.
34
#
APÊNDICES
Apêndice I
Programa de Conscientização e Treinamento
Para entendimento das habilidades e comportamentos dos funcionários e

1. Análise de gap de Habilidades. terceiros da entidade e o quanto não estão aderindo às boas práticas, usan-
do essas informações para criar um roteiro de linha de base da educação.
Para abordagem dos gaps de habilidades identificados, buscando impactar

2. Treinamentos para mitigação dos
positivamente o comportamento de segurança dos membros da força de
gaps de habilidades.
trabalho.
Verificar se o programa de conscientização de segurança da organização

é atualizado com frequência (pelo menos anualmente) para atender: (i) ro-

3. Conteúdo de conscientização tatividade de pessoal; (ii) evolução tecnológica permanente; (iii) melhora
atualizado com frequência. da maturidade de Governança Corporativa pelo aumento e/ou aperfeiçoa-
mento dos controles internos; (iv) mudanças de paradigmas operacionais;
e (v) mudança da legislação.
4. Treinamentos de autenticação segura Envolver todos os membros da força de trabalho, no sentido de entende-
a todos os funcionários. rem sobre a importância de habilitar e utilizar a autenticação segura.
5. Treinamentos de funcionários Envolver todo o quadro de funcionários e terceiros da entidade no sentido

na identificação de ataques de de entenderem como identificar diferentes formas de ataques de enge-
engenharia social. nharia social, como phishing, golpes telefônicos e fraudes telefônicas.
36
Apêndice I
Envolver todo o quadro de funcionários e terceiros da entidade, no sentido

6. Treinamentos de funcionários no
de entenderem como identificar e armazenar, transferir, arquivar e distri-
manuseio de dados.
buir informações confidenciais adequadamente.
Envolver todos os funcionários e terceiros da entidade, para que os mes-

7. Treinamento de funcionários sobre as mos venham a conhecer as causas de exposições não intencionais de da-
causas de exposição não intencional dos, como em casos de perda de dispositivos móveis ou em casos de envio
de dados. de e-mail para a pessoa errada devido ao preenchimento automático do
e-mail.
8. Treinamento de funcionários na Envolver todos os funcionários e terceiros da entidade para que eles pos-
identificação e comunicação de sam identificar os indicadores de incidentes mais comuns e relatar esses
incidentes. incidentes à área de segurança para tratamento.
9. Garantia de que o time de Certificar que todas as equipes de desenvolvimento de software recebam
desenvolvimento de software seja treinamento para escrever código seguro para seu ambiente, assim como

treinado em codificação segura. responsabilidades específicas de desenvolvimento.
37
Apêndice II
Programa de Gestão de Contas e Usuários
Utilizar contas dedicadas para análises de vulnerabilidades autenticadas,

1. Contas dedicadas de auditoria
que devem ser segregadas de contas de demais atividades administrativas e
protegidas
devem estar vinculadas a máquinas específicas em endereços IP específicos.
Empregar ferramentas automatizadas para inventariar todas as contas

2. Inventário de contas administrativas administrativas, incluindo contas locais e de domínio, para garantir que
apenas indivíduos autorizados tenham privilégios elevados.
Alterar todas as senhas padrão antes de qualquer implantação de novo

3. Rotinas de alteração de senhas padrão ativo, para que as mesmas estejam sempre consistentes com o nível de

senhas das contas de nível administrativo.
Garantir que os administradores utilizem uma máquina dedicada para to-

das as tarefas administrativas ou tarefas que requerem acesso adminis-
4. Estações de trabalho dedicadas para
trativo. Máquina esta segmentada da rede principal da organização e que
todas as tarefas administrativas
não possua acesso à Internet. Esta máquina não pode ser usada para ler
e-mails, redigir documentos ou navegar na Internet.
Onde a autenticação Multifator não é suportada (como administrador local,

5. Senhas exclusivas raiz ou contas de serviço), as contas utilizam senhas exclusivas para estes
sistemas.
38
Apêndice II
6. Autenticação Multifator9 - MFA – para

1
Utilizar autenticação com MFA e canais criptografados para todo o acesso
todo acesso administrativo a contas administrativas.
Garantir que todos os usuários com conta de acesso administrativo uti-

lizam uma conta dedicada ou secundária para atividades de privilégios
7. Contas administrativas dedicadas
elevados. Essas contas devem ser usadas apenas para atividades adminis-
trativas e não para navegação na Internet, e-mail ou atividades similares.
Limitar acesso a ferramentas de script (como Microsoft® PowerShell e

8. Acesso limitado a ferramentas de
Python) apenas para usuários administrativos ou de desenvolvimento
script
com a necessidade de acessar esses recursos.
9. Logs e alertas em casos de

logon malsucedido em contas Configurar sistemas a fim de emitir uma entrada de log e alertar quando

administrativas, assim como sobre uma conta é adicionada ou removida de qualquer grupo com privilégios
as alterações em membros do grupo administrativos.
administrativo
10. Autenticação de múltiplos fatores Obrigar, em todo acesso remoto à rede da organização, a criptografia de da-
para todo logon remoto dos em trânsito e o controle de acesso utilizar autenticação Multifator (MFA).
9 Do inglês Multifactor Authentication, consiste em uma ação que confirma a autenticidade do usuário que efetua a requisição de um
determinado serviço na web.
39
Apêndice II
Manter inventário de cada um dos sistemas de autenticação da orga-

11. Inventário de sistemas de
nização, incluindo aqueles sistemas on premise10 ou hosteados11 em um
autenticação
2 3
provedor de serviços remoto.
Configurar o acesso a todas as contas através do menor número possí-

12. Ponto central de autenticação vel de pontos centralizados de autenticação, incluindo sistemas de rede,
segurança e nuvem.
Exigir autenticação Multifator para todas as contas de usuário, em todos

13. Requerimento de autenticação
os sistemas, e que sejam eles gerenciados on premise ou por um provedor
MultiFator
de terceiros.
14. Criptografia de todas as credenciais Criptografar ou gerar todas as credenciais de autenticação para o arma-
de autenticação zenamento.

15. Criptografia da transmissão de Verificar se todos os nomes de usuário e credenciais de autenticação de
nome de usuário e credenciais de contas de usuários são transmitidos pelas redes, utilizando canais crip-
autenticação tografados.
Manter inventário de todas as contas organizadas pelo sistema de au-

16. Inventário de contas
tenticação da organização.
10 O servidor on premise tem sua implantação fixada no local da empresa e requer um planejamento mais detalhado.
11 Ação de hospedar ou manter um site em uma rede.
40
Apêndice II
Estabelecer processo automatizado para revogação de acessos sistêmi-

17. Processos para revogação de cos, desativando as contas imediatamente após o término ou alteração
acessos das responsabilidades dos usuários (desabilitando essas contas, em vez de
realizar a sua exclusão, permitindo a preservação de trilhas de auditoria).
Desativar qualquer conta que não possa ser associada a um processo

18. Contas não associadas
corporativo ou a um proprietário delegado da organização.
Desativar, automaticamente, contas inativas dormentes após um período

19. Contas inativas
definido de inatividade.
Certificar-se de que todas as contas tenham uma data de validade mo-

20. Data de expiração de contas
nitorada e aplicada.

21. Sessões em estações de trabalho Bloquear automaticamente das sessões das estações de trabalho após
após período de inatividade um período padrão de inatividade.
Monitorar tentativas de acesso a contas desativadas através de logs de

22. Acesso a contas desativadas
auditoria.
Controlar, com alerta de quando os usuários se desviam do comportamen-

23. Desvios de comportamento de login
to normal de login, hora do dia, local da estação de trabalho e duração do
em contas
acesso.
41
Apêndice III
Programa de Proteção de Dados Pessoais
A. COLETA E TRATAMENTO DE DADOS
1. Identificação e documentação dos Identificar e documentar os propósitos específicos pelos quais os dados
propósitos específicos pessoais serão tratados.
Determinar, documentar e estar em conformidade com a base legal perti-

2. Identificação de bases legais
nente para o tratamento de dados pessoais para os propósitos identificados.
Determinar e documentar um processo pelo qual ela possa demonstrar se,

3. Determinando quando e como o

quando e como o consentimento para o tratamento de dados pessoais foi
consentimento deve ser obtido
obtido dos titulares de dados pessoais.
4. Obtenção e registro de Obter e registrar o consentimento dos titulares de dados pessoais de acor-
consentimento do com os processos documentados.
Avaliar a necessidade para a coleta de dados, e implementar onde apro-

priado, uma avaliação de impacto de privacidade quando novos tratamen-
5. Avaliação de impacto de privacidade
tos de dados pessoais ou mudanças ao tratamento existente de dados
pessoais forem planejados.
42
Apêndice III
Elaborar contrato por escrito com qualquer Operador de dados pessoais

6. Contratos com Operadores de dados que ela utilize, e deve assegurar que os seus contratos com os Operado-
pessoais res de dados pessoais contemplem a implementação de controles apro-
priados, conforme descrito no Anexo B da ISSO/IEC 27701.
Determinar as responsabilidades e respectivos papéis para o tratamento

7. Controlador conjunto de dados
de dados pessoais (incluindo a proteção desses dados e os requisitos de
pessoais
segurança) com qualquer controlador conjunto.
8. Registros relativos ao tratamento de Determinar e manter de forma segura os registros necessários ao supor-
dados pessoais te às suas obrigações para o tratamento dos dados pessoais.
Assegurar, onde pertinente, que o contrato para tratar dados pessoais

considera os papéis da organização em fornecer assistência com as obri-
9. Acordos com o cliente

gações do cliente (considerando a natureza do tratamento e a informação
disponível para a organização).
Assegurar que os dados pessoais tratados em nome do cliente sejam

10. Propósitos da organização apenas tratados para o propósito expresso nas instruções documentadas
do cliente.
Utilizar os dados pessoais tratados sob um contrato para o propósito de

marketing e propaganda, sem o estabelecimento de que um consenti-
11. Uso de marketing e propaganda mento antecipado foi obtido do titular de dados pessoais apropriados. A
organização não pode fornecer este consentimento como uma condição
para o recebimento do serviço.
43
Apêndice III
Informar ao cliente se, na sua opinião, uma instrução de tratamento viola

12. Violando instruções
uma regulamentação e/ou legislação aplicável.
Fornecer ao cliente informações apropriadas de tal modo que o cliente

13. Obrigações do cliente
possa demonstrar conformidade com suas obrigações.
Determinar e manter os registros necessários à evidência de conformida-

14. Registros relativos ao tratamento de
de com suas obrigações (como especificado no contrato aplicável) para
dados pessoais
tratamento de dados pessoais realizado em nome do cliente.
15. Realizar inventário das informações Realizar inventário dos dados armazenados, processados ou transmitidos
sigilosas pelos sistemas de tecnologia da organização.
16. Utilizar modelos padrão de

Utilizar, para aplicativos que dependem de um banco de dados, modelos
configurações de proteção para

de configuração de mascaramento de dados e criptografia de dados.
bancos de dados
B. GUARDA
17. Garantir backups regulares Verificar que todos os dados do sistema sejam regularmente copiados
automáticos automaticamente para um backup.
Garantir que todos os principais sistemas da organização salvos em ba-

18. Realizar backups completos dos
ckup como um sistema completo, por meio de processos como geração
sistemas
de imagens, para permitir a rápida recuperação de um sistema inteiro.
44
Apêndice III
Realizar regularmente testes de restauração dos backups de sistemas e

validações de integridade dos dados dos backups realizados, certifican-
19. Validar e proteger os dados em
do-se que estejam adequadamente via segurança física ou criptografia
backup
quando forem armazenados e quando forem transferidos pela rede. Isso
inclui backups remotos e serviços em nuvem.
20. Garantir que todos os backups

Verificar se todos os backups têm pelo menos um destino de backup of-
tenham pelo menos um destino de
fline (ou seja, não acessível por uma conexão de rede).
backup offline
21. Manter inventário das informações Manter inventário dos dados armazenados, processados ou transmitidos
sigilosas pelos sistemas de tecnologia da organização.

Remover da rede dados sigilosos ou sistemas não acessados regular-
mente pela organização. Esses sistemas devem ser usados pela unidade
22. Remover dados sigilosos ou
de negócios apenas como sistemas independentes (desconectados da
sistemas que não são acessados
rede) que em caso de utilização ocasional precisam ser utilizados de for-
regularmente pela organização
ma completamente virtualizada e desligados até que sejam necessários
novamente.
Implementar ferramenta automatizada no perímetro das redes que mo-

23. Monitorar e bloquear tráfego de
nitore e bloqueie a transferência não autorizada de informações confi-
rede não autorizado
denciais enquanto alerta os profissionais de segurança da informação.
45
Apêndice III
24. Permitir acesso apenas ao

Permitir acesso apenas a provedores de armazenamento em nuvem ou
armazenamento em nuvem
e-mail autorizados.
autorizado ou a provedores de e-mail
25. Monitorar e detectar qualquer uso Monitorar todo o tráfego que sai da organização e detecção de qualquer
não autorizado de criptografia uso não autorizado de criptografia.
26. Criptografar dados de dispositivos Utilizar mecanismos criptográficos aprovados para proteger os dados
móveis corporativos armazenados em todos os dispositivos móveis.
Utilizar, caso seja imperativo o armazenamento em dispositivos USB,

software corporativo que possa configurar sistemas para permitir o uso
27. Gerenciar dispositivos USB

de dispositivos específicos. Um inventário desses dispositivos deve ser
mantido, com os dados devidamente criptografados.
28. Gerenciar configurações de leitura/ Configurar os sistemas para não gravar dados em mídia removível exter-
gravação de mídia removível externa na, se não houver real necessidade comercial de oferecer suporte a estes
de sistemas. tipos de dispositivos.
29. Criptografar todas as informações

Criptografar todas as informações sensíveis em trânsito.
sigilosas em trânsito
46
Apêndice III
Utilizar ferramenta de descoberta ativa para identificar todas as informa-

30. Utilizar ferramenta de descoberta ções sigilosas armazenadas, processadas ou transmitidas pelos sistemas
ativa para identificar informações de tecnologia da organização, incluindo sistemas localizados localmente
sigilosas ou em provedores de serviços remotos para atualização do inventário de
informações confidenciais da organização.
Proteger todas as informações armazenadas em sistemas com listas de

31. Proteger o acesso as informações
controle de acessos específicos dos sistemas de armazenamento e ge-
através de listas de controle de
renciamento de arquivos, compartilhamento de rede, ticket/chamados,
acesso
aplicativos ou banco de dados.
32. Aplicar controle de acesso aos Utilizar ferramenta automatizada que previna a perda de dados baseada

dados por meio de ferramentas em host, para imposição de controles de acesso aos dados, mesmo quan-
automatizadas do os dados são copiados de um sistema.
Criptografar todas as informações sigilosas em repouso usando uma

33. Criptografar informações sigilosas
ferramenta que requer um mecanismo de autenticação secundário não
em repouso
integrado ao sistema operacional, para acessar as informações.
34. Configurar logs detalhados que

Implementar logs de auditoria detalhadas para acesso e alterações de
registrem acesso ou alterações em
dados sigilosos.
dados sigilosos
47
Apêndice III
C. COMPARTILHAMENTO, TRANSFERÊNCIA E DESCARTE DE DADOS
Informar ao cliente em tempo hábil sobre as bases para a transferência

35. Bases para a transferência de dados de dados pessoais entre jurisdições e de qualquer mudança pretendida
pessoais entre jurisdições nesta questão, de modo que o cliente tenha a capacidade de contestar
estas mudanças ou rescindir o contrato.
36. Países e organizações

internacionais para os quais Especificar e documentar os países e as organizações internacionais para
os dados pessoais podem ser os quais dados pessoais possam ser transferidos.
transferidos
37. Registros de dados pessoais Registrar a divulgação de dados pessoais para terceiros, incluindo quais
divulgados para terceiros dados pessoais foram divulgados, para quem e quando.

38. Notificação de solicitações de Notificar ao cliente sobre quaisquer solicitações legalmente obrigatórias
divulgação de dados pessoais para a divulgação de dados pessoais.
Rejeitar quaisquer solicitações para a divulgação de dados pessoais que

não sejam legalmente obrigatórias, consultar o cliente em questão antes
39. Divulgações legalmente
de realizar quaisquer divulgações dos dados pessoais e aceitar quaisquer
obrigatórias de dados pessoais
solicitações contratualmente acordadas para a divulgação de dados pes-
soais, que sejam autorizadas pelo respectivo cliente.
48
Apêndice III
40. Divulgação de subcontratados Divulgar para o cliente qualquer uso de subcontratados para tratar dados
usados para tratar dados pessoais pessoais, antes do uso.
41. Contratação de subcontratado para Subcontratar somente agente para tratar dados pessoais com base no
tratar dados pessoais contrato do cliente.
Informar ao cliente, no caso de ter uma autorização geral por escrito,

43. Mudança de subcontratado para quaisquer alterações pretendidas relativas à adição ou substituição de
tratar dados pessoais subcontratados no tratamento de dados pessoais, dando assim ao cliente
a oportunidade de se opor a essas alterações.

49
Apêndice IV
Programa de Gestão de Redes
Utilizar, pelo menos, três fontes de tempo sincronizadas a partir das quais
1. Três Fontes de Data / Hora todos os servidores e dispositivos de rede recuperam informações de
Sincronizadas tempo regularmente, para que os registros de data e hora nos logs sejam
consistentes.
Verificar se o armazenamento de logs locais foi ativado em todos os siste-
2. Activate Audit Logging
mas e dispositivos de rede.
Habilitar logs de sistema para incluir informações detalhadas, como origem

3. Enable Detailed Logging do evento, data, usuário, registro de data e hora, endereços de origem, en-
dereços de destino e outros elementos úteis.

Validar que todos os sistemas que armazenam logs possuem espaço de
4. Ensure Adequate Storage for Logs
armazenamento adequado para os logs gerados.
Validar que os logs apropriados estão sendo agregados a um sistema cen-

5. Central Log Management
tral de gerenciamento de logs para análise e revisão.
Implementar um sistema de SIEM (Gerenciamento de informações e even-

6. Deploy SIEM or Log Analytic Tools tos de segurança) ou uma ferramenta analítica que realize análise e cor-
relação de logs.
50
Apêndice IV
Revisar regularmente os logs para identificação de anomalias ou eventos

7. Regularly Review Logs
anormais.
Realizar regularmente o ajuste do sistema de SIEM para melhor identifica-
8. Regularly Tune SIEM ção e filtragem de eventos que gerem acionamento a fim de que haja uma
maior precisão na identificação de eventos.
Impor filtros de URL na rede que limitem a capacidade de um sistema em se
conectar a sites não aprovados pela organização. Essa filtragem deve ser
9. Filtros de URL Estruturados na Rede
aplicada a cada um dos sistemas da organização, estejam eles fisicamente
nas instalações da organização ou não.
Providenciar assinatura de serviços de categorização de URL para garantir
que os browsers estejam atualizados com as definições de categorização
10. Serviços de Categorização de URL
de sites mais recentes disponíveis. Sites não categorizados devem ser blo-
queados por padrão.
Registrar todas as solicitações de URL de cada um dos sistemas da orga-

nização, seja localmente ou em dispositivos móveis, a fim de identificar
11. Logs de Todas as URL
atividades potencialmente maliciosas e ajudar o time de segurança da in-
formação a identificar sistemas potencialmente comprometidos.
Utilizar os serviços de filtragem de DNS (Sistema de Nomes de Domínio)
12. Serviços de Filtragem de DNS
para ajudar a bloquear o acesso a domínios maliciosos conhecidos.
Implementar diretiva de verificação automática de mensagens, relatórios
e conformidade (DMARC) baseadas em domínio, iniciando pela implemen-
13. DMARC tação dos padrões Sender Policy Framework (SPF) e DomainKeys Identified
Mail (DKIM) para diminuição de chance de recebimento de e-mails falsifi-
cados ou modificados oriundos de domínios válidos.
51
Apêndice IV
Bloquear todos os anexos de e-mail que entram no gateway de e-mail da

14. Arquivos Desnecessários organização filtrando os tipos de arquivo desnecessários para os negócios
da organização.
Utilizar Sandboxes para analisar e bloquear anexos de e-mail nas caixas de

15. Sandboxes Para Anexos de E-mails
entrada que possuam comportamento malicioso.
Habilitar os logs de consultas do DNS (Sistema de Nomes de Domínio) para

16. Logs Registrando Consultas ao DNS
detectar pesquisas de nomes de host para domínios maliciosos conhecidos.
17. Configurações de Segurança Padrão Manter padrões de configuração de segurança documentados para todos
Para Dispositivos de Rede os dispositivos de rede autorizados.
Documentar todas as regras de configuração que permitem que o tráfego

flua através de dispositivos de rede em um sistema de gerenciamento de
configurações abrangendo: uma justificativa do negócio específica para
18. Regras de Configuração de Tráfego

cada regra aplicada, o nome de um indivíduo específico responsável para
cada regra, um descritivo da necessidade comercial que demandou a cria-
ção da regra e a duração esperada da configuração aplicada.
19. Ferramentas Automatizadas Para Realizar um comparativo de toda a configuração dos dispositivos de rede
Verificação das Configurações Padrão com as configurações de segurança aprovadas definidas para cada dispo-
de Dispositivos sitivo de rede em uso, reportando quaisquer desvios encontrados.
20. Versão Estável Mais Recente de

Qualquer Atualização Relacionada à Manter todos os dispositivos de rede sempre atualizados com os patches
Segurança em Todos os Dispositivos de segurança mais estáveis e recentes.
de Rede
52
Apêndice IV
21. Dispositivos de Rede Utilizando

Gerenciar todos os dispositivos de rede utilizando padrão de autenticação
Autenticação Multifator e Sessões
MFA e sessões encriptadas.
Criptografadas
Garantir que os arquitetos e analistas de redes utilizem uma máquina de-
dicada para todas as tarefas administrativas ou tarefas que exijam acesso
22. Máquinas Dedicadas Para Todas as
elevado. Esta máquina deve ser segmentada da rede principal da organi-
Tarefas Administrativas de Rede
zação e não deve ter acesso à Internet. Esta máquina não deve ser usada
para ler e-mails, compor documentos ou navegar na Internet.
Gerenciar a infraestrutura de rede através de conexões de rede separadas

23. Infraestrutura de Rede por Meio de do uso comercial desta rede, se apoiando em VLANs separadas ou, prefe-
uma Rede Dedicada rencialmente, em conectividade física totalmente diferente para sessões
de gerenciamento de dispositivos de rede.
24. Inventário dos Limites de Rede Manter um inventário atualizado de todos os limites de rede da organização.

Executar verificações regulares de fora de cada limite de rede confiável
25. Conexões não Autorizadas em
para detectar qualquer possível vetor de conexão não autorizada acessível
Limites de Rede Confiáveis
por fora do limite.
Negar comunicações oriundas de endereços IP maliciosos conhecidos ou

26. Comunicações Oriundas de não utilizados da internet e limitar o acesso apenas a intervalos de en-
Endereços IP Maliciosos Conhecidos dereços IP confiáveis e necessários em cada um dos limites de rede da
organização.
53
Apêndice IV
Realizar o bloqueio de comunicações com endereços IP da Internet que

27. Negar comunicações em Portas Não sejam conhecidamente maliciosos ou não utilizados e realizar a limitação
Autorizadas do acesso apenas a intervalos de endereços IP confiáveis e necessários em
cada um dos limites de rede da organização.
28. Sistemas de Monitoramento Para Configurar os sistemas de monitoramento para registrar pacotes de rede
Registrar Pacotes de Rede que passam por cada um dos limites de rede da organização.
Implementar sensores IDS (Intrusion Detection Systems) na rede para pro-

29. Sistema de Sensores IDS na Rede curar mecanismos de ataque incomuns e detectar comprometimentos des-
ses sistemas em cada um dos limites de rede da organização.
Implementar sistemas de prevenção de intrusões (IPS) na rede para blo-

30. Sistemas de Prevenção a Intrusões
quear o tráfego malicioso da rede em cada um dos limites de rede da or-
na Rede
ganização.

31. Coleção NetFlow em dispositivos de Habilitar a coleta de dados do NetFlow e de logs em todos os dispositivos
Borda de Rede de borda de rede.
Verificar se todo o tráfego de rede de ou para a Internet passa por um proxy

32. Servidor Proxy de Filtragem de
da camada de aplicativos autenticado, configurado para filtrar conexões não
Camada de Aplicativo
autorizadas.
Descriptografar todo o tráfego de rede criptografado no proxy de borda

antes de analisar o conteúdo. No entanto, a organização pode usar uma
33. Tráfego de Rede no Proxy
lista de sites permitidos que podem ser acessados por meio do proxy sem
descriptografia do tráfego.
54
Apêndice IV
Segmentar os dados trafegados na rede através de data tagging (etique-

34. Segmentação de Rede com Baseada tação de dados) ou níveis de classificação da informação armazenada nos
na Classificação de Informações servidores, varredura de todas as informações sensíveis em Vlans aparta-
das da rede principal.
Habilitar a filtragem de firewall entre VLANs para garantir que apenas sis-
35. Filtragem de Firewall Entre VLANs temas autorizados possam se comunicar com outros sistemas críticos para
execução suas funcionalidades específicas.
Desativar toda a comunicação de estação de trabalho para estação de tra-

36. Comunicação Entre Estações de balho por meio de tecnologias como VLANs privadas ou micro segmenta-
Trabalho ção para limitar a capacidade de um invasor realizar movimentações late-
rais e comprometer os sistemas vizinhos.
37. Inventário de Pontos de Acesso Manter um inventário de pontos de acesso sem fio autorizados conectados

Wireless Autorizados à rede cabeada.
Configurar ferramentas de verificação de vulnerabilidade de rede para

38. Pontos de Acesso Sem Fio
detectar e alertar sobre pontos de acesso sem fio não autorizados conec-
Conectados à Rede Com Fio
tados à rede cabeada.
39. Sistema de Detecção de Intrusão em Utilizar um sistema de detecção de intrusão sem fio (WIDS) para detectar e
Redes Sem Fio alertar sobre pontos de acesso sem fio não autorizados conectados à rede.
40. Padrão AES (Advanced Encryption

Elevar a criptografia de dados sem fio em trânsito para o Padrão Avançado
Standard) Para Criptografar Dados
de Criptografia (AES).
Sem Fio
55
Apêndice IV
Verificar se as redes sem fio utilizam protocolos de autenticação como

41. Protocolos de Autenticação Sem Fio EAP/TLS (Extensible Authentication Protocol – Transport Layer Security),
que requeiram autenticação com a utilização de vários fatores (MFA).
42. Rede Sem Fio Separada Para Realizar a criação de uma rede sem fio separada para dispositivos pessoais
Dispositivos Pessoais e Não ou não confiáveis. O acesso corporativo desta rede deve ser tratado como
Confiáveis não confiável, filtrado e auditado de acordo.
Proteger os aplicativos da Web implementando firewalls de aplicativos da

Web (WAFs) que inspecionem todo o tráfego que flui para as aplicações web
em busca de ataques comuns a este tipo de aplicação. Para aplicativos que
não são baseados na Web, firewalls de aplicativos específicos devem ser
43. Firewalls de Aplicativos da Web
implementados se essas ferramentas estiverem disponíveis para o tipo de
(WAF)
aplicativo especificado. Se o tráfego estiver criptografado, o dispositivo
deve ficar atrás da criptografia ou ser capaz de descriptografar o tráfego

antes da análise. Se nenhuma opção for apropriada, um firewall de aplica-
tivo da web baseado em host deve ser implantado.
Realizar exercícios periódicos da equipe de red team para testar o grau de

44. Exercícios de Red Team Periódicos prontidão da organização em identificar, interromper ataques de forma
rápida e eficaz.
56
Apêndice V
Programa de Testes e Desenvolvimentos
Estabelecer práticas seguras de codificação apropriadas à linguagem de

1. Práticas de Desenvolvimento Seguro
programação e ao ambiente de desenvolvimento que está sendo utilizado.
Planejar e conduzir rotinas de incidentes, exercícios de resposta e cená-

rios para as áreas envolvidas na resposta a incidentes, a fim de manter
2. Simulações Periódicas de Cenário de a consciência e o conforto em responder às ameaças do mundo real. Os
Incidentes Para a Equipe Técnica exercícios devem testar os recursos técnicos dos canais de comunica-
ção, tomada de decisão e de resposta a incidentes, usando ferramentas
e dados disponíveis.

3. Testes de Penetração Regulares nos Realizar testes regulares de penetração externa e interna para identificar
Ambientes Internos e Externos da vulnerabilidades e vetores de ataque que podem ser usados para explorar
Organização sistemas corporativos com sucesso.
Incluir testes para a verificar a presença de informações e artefatos des-

4. Testes de Detecção de Presença protegidos nos sistemas que podem ser úteis para invasores, incluindo
de Artefatos e Informações Não diagramas de rede, arquivos de configuração, relatórios de testes de pe-
Protegidas em Sistemas netração mais antigos, e-mails ou documentos contendo senhas ou ou-
tras informações críticas para a operação do sistema.
57
Apêndice V
Criar um ambiente de teste que imite um ambiente de produção para tes-

5. Mesa de Teste Para Elementos tes de penetração específicos e ataques do Red Team contra elementos
Normalmente Não Testados na que normalmente não são testados na produção, como ataques contra
Produção o controle de supervisão e aquisição de dados e outros sistemas de con-
trole e monitoria de ambiente.
Verificar se os resultados da equipe de Red Team são documentados uti-

6. Resultados dos Testes de Penetração
lizando padrões abertos, legíveis por máquina (por exemplo, SCAP). Criar
Sejam Documentados Usando
um método de classificação e score para determinar os resultados dos
Padrões Abertos e Legíveis Por
exercícios da equipe de Red Team, para que os resultados possam ser
Máquina
comparados ao longo do tempo.
Reunir e manter informações sobre dados de contato de terceiros a se-

7. Informações de Contato Para Reports rem usadas para relatar um incidente de segurança, como polícia, de-
de Incidentes de Segurança partamentos governamentais relevantes, fornecedores e parceiros do

Centro de Compartilhamento e Análise de Informações (ISAC).
Publicar informações para todos os colaboradores da companhia, sobre

8. Informações Sobre Reports
relatórios de anomalias e incidentes computacionais, na equipe de tra-
de Anomalias e Incidentes de
tamento de incidentes. Essas informações devem ser incluídas nas ativi-
Computador
dades rotineiras de conscientização dos funcionários.
Aplicar ferramentas de análise estática e dinâmica de código para veri-

9. Ferramentas de Análise Estática e
ficar se as práticas de codificação segura estão sendo seguidas para o
Dinâmica de Código
software desenvolvido na organização.
58
Apêndice V
Manter ambientes separados para sistemas de produção e não-produção.

10. Ambientes de Sistemas de Produção
Os desenvolvedores não devem ter acesso não monitorado aos ambien-
e Não Produção
tes de produção.
Estabelecer um programa para testes de penetração que inclua um es-

11. Programa de Testes de Penetração copo completo de ataques combinados, como, ataques a rede wireless,
em aplicações on premises e aplicações Web.

59
Apêndice VI
Programa de Identificação de Incidentes e Testes de Vulnerabilidade
Certificar que a verificação explícita de erros seja realizada para todos os

1. Verificação de Erros
softwares desenvolvidos internamente
Designar equipe de gerenciamento para dar suporte ao tratamento de

2. Tratamento de Incidentes
incidentes e documentar procedimentos de resposta a incidentes
3. Resposta a Incidentes Elaborar padrões que abranjam toda a organização para reporte de incidentes
Manter informações de contato para reportes de incidentes de segurança

4. Contatos para Reportes e publicar informações sobre reportes de anomalias e incidentes de com-
putador
Utilizar ferramentas de scan de vulnerabilidades e testes de penetração

5. Scan de Vulnerabilidades
(pentest) em conjunto
6. Classificação Criar sistema de pontuação, classificação e priorização de incidentes
60
Apêndice VII
Programa de Gestão de Aplicações e Dispositivos
Utilizar ferramentas para descoberta ativa e passiva, identificação de dis-

1. Ferramenta de Descoberta Ativa
positivos conectados à rede da organização para atualização de inventário
Passiva de Ativos
de ativos de hardware.
Utilizar o Dynamic Host Configuration Protocol (DHCP) sistema de auten-

2. Logs do DHCP Para Atualização de
ticação em todos os servidores DHCP ou em ferramentas de gerência de
Inventário de Ativos
Ips para atualização de inventário de ativos de hardware da organização.
Manter inventário preciso e atualizado de todos os ativos de tecnologia

com o potencial de armazenar ou processar informações. Este inventário
3. Inventário Detalhado de Ativos
deve incluir todos os ativos de hardware, conectados ou não à rede da

organização.
Validar remoção de ativos não autorizados são removidos da rede, ua-

4. Ativos Não Autorizados
rentemados ou são atualizados no inventário em curto espaço de tempo.
Utilizar controle de acesso ao nível de porta, seguindo os padrões 802.1x,

para controlar quais dispositivos podem ser autenticados na rede. O sis-
5. Controle de Acesso a Nível de Portas tema de autenticação deve ser vinculado aos dados do inventário de
ativos de hardware para garantir que apenas dispositivos autorizados
possam se conectar à rede.
61
Apêndice VII
6. Certificados de Cliente para Disponibilizar certificados em clientes para autenticar ativos de hardware
Autenticação de Ativos que se conectam de forma confiável à rede da organização.
7. Sistema de AntiMalware Com Utilizar de software anti-malware gerenciado para monitoria e defesa con-
Gerência Centralizada tínua de cada uma das estações de trabalho e servidores da organização.
Validar o software anti-malware da organização está sendo regularmente

8. AntiMalwares e Assinaturas
atualizado, tanto o mecanismo de verificação como o banco de dados de
(Certificados)
assinaturas (Certificados).
Habilitar recursos anti-exploração, como Data Execution Prevention (DEP)

9. Recursos AntiExploração dos ou Address Space Layout Randomization (ASLR), disponíveis nos próprios
Sistemas Operacionais / Tecnologias sistemas operacionais ou através da implementação de um conjunto de

AntiExploração ferramentas de mercado apropriadas que podem ser configuradas para
aplicar proteção a um conjunto mais amplo de aplicativos e executáveis.
Configurar os dispositivos para que eles realizem uma verificação anti-

10. AntiMalware em Dispositivos
malware automatizada em mídias removíveis quando elas forem inseri-
Removíveis
das ou conectados a estações de trabalho ou servidores da companhia.
11. Dispositivos Para Não Executar Configurar para que dispositivos não possam executar automaticamente
Conteúdo Automaticamente conteúdo em mídia removível.
62
Apêndice VII
Enviar todos os eventos de detecção de malware para ferramentas de

12. Logs de Sistemas AntiMalware administração antimalware e servidores de log de eventos da empresa
para análise e geração de alertas.
13. Logs de Auditoria de Linha de Habilitar os logs de auditoria de linha de comando para comandos shells,
Comando como Microsoft PowerShell e Bash.
14. Portas, Serviços e Protocolos Ativos Associar as portas, serviços e protocolos de cada ativo de hardware aos
ao Inventário de Ativos ao seu respectivo registro no inventário de ativos.
Verificar as portas, protocolos e serviços de rede que estão sendo utili-

15. Apenas Portas, Protocolos e
zadas nos sistemas operacionais dos equipamentos atendem a sistemas
Serviços Aprovados Estejam em

com aplicações comerciais validadas que estão em execução em cada
Execução
sistema.
Executar verificações automatizadas de portas de conexão em todos os

16. Portas de Rede sistemas regularmente e alertar a existência de portas não autorizadas
abertas detectadas em cada sistema.
Aplicar firewalls em cada host ou ferramentas de filtragem de portas nos

17. Firewalls ou Filtragem de Portas nos
sistemas operacionais, com uma regra de negação padrão que descarta
Host da Organização
todo o tráfego, exceto os serviços e portas explicitamente permitidos.
63
Apêndice VII
Examinar dispositivos corporativos que fazem login remoto na rede da

18. Dispositivos que Realizem Logon organização antes de eles acessarem a rede para garantir que cada uma
Remoto à Rede Interna das políticas de segurança da organização tenha sido aplicada da mesma
maneira que os dispositivos de rede local.
19. Acesso Sem Fio Nos Dispositivos Desativar acesso sem fio em dispositivos que não tenham uma finalidade
Onde o Mesmo Não For Necessário comercial para acesso a rede sem fio.
Configurar o acesso sem fio em máquinas clientes que tenham uma fi-
20. Acesso Wireless em Dispositivos nalidade comercial em que seja essencial o acesso sem fio, nestes casos
Clientes a conexão habilitada deverá permitir o acesso apenas a redes sem fio
autorizadas, restringindo o acesso as demais redes sem fio.
Manter lista atualizada de todos os softwares autorizados necessários

21. Inventário de Softwares autorizados à empresa para qualquer finalidade comercial em todos os sistemas co-

merciais.
Verificar se apenas os aplicativos ou sistemas operacionais de software

atualmente suportados e recebendo atualizações de fornecedores são
22. Suporte de Software adicionados ao inventário de softwares autorizados da organização. Os
softwares não suportados deverão ser marcados como não suportados
no sistema de inventário.
Utilizar ferramentas de inventário de software em toda a organização

23. Ferramentas de Inventário de
para automatizar a documentação de todos os softwares utilizados no
Software
modelo dos negócios.
64
Apêndice VII
Garantir que softwares não autorizados sejam removidos ou que o in-

24. Software Não Aprovado
ventário seja atualizado em curto intervalo de tempo.
Utilizar tecnologia de lista de permissões de aplicativos em todos os ati-

vos para garantir que apenas softwares autorizados sejam executados
25. Lista de Permissão para Aplicativos
e todo o software não autorizado seja impedido de executar nos ativos
da empresa.
Garantir, por meio de processo de concessão de permissões de execução

26. Lista de Permissões para Bibliotecas de aplicativos da organização, que apenas as bibliotecas de software au-
de Aplicações torizadas (como * .dll, * .ocx, * .so, etc.) possam carregar em um processo
de sistema.
Utilizar sistemas fisicamente ou logicamente segregados para isolar e

27. Aplicativos de Alto Risco executar softwares necessários para as operações do negócio, sob im-

plicação maior risco para a organização.
Utilizar uma ferramenta atualizada de verificação de vulnerabilidades

compatível com Security Content Automation Protocol (SCAP) para ve-
28. Ferramentas de Verificação
rificar automaticamente todos os sistemas nas redes da organização se-
Automatizada de Vulnerabilidades
manalmente ou com maior frequência para identificar todas as possíveis
vulnerabilidades nos sistemas da organização.
29. Ferramentas Automatizadas de Implementar ferramentas automatizadas de atualização de software

Gerenciamento de Patches do para garantir que os sistemas operacionais estejam executando as atu-
Sistema Operacional alizações de segurança mais recentes fornecidas pelo seu fabricante.
65
Apêndice VII
Realizar regularmente um comparativo dos resultados de verificações

30. Análises de Vulnerabilidades
consecutivas de vulnerabilidades para verificar se as vulnerabilidades
Consecutivas
estão sendo corrigidas em tempo hábil.
Utilizar um processo de classificação de riscos para priorizar a correção

31. Processo de Classificação de Risco
de vulnerabilidades descobertas.
Manter documentação de padrões de configuração de segurança para to-

32. Configurações Seguras
dos os sistemas operacionais e softwares autorizados pela organização.
Manter imagens ou modelos seguros para todos os sistemas da empre-

sa, com base nos padrões de configuração aprovados da organização,
33. Imagens Seguras onde qualquer nova implantação de sistema ou sistema existente que

seja comprometido tem sua imagem gerada novamente utilizando um
destes modelos.
Implementar ferramentas de gerenciamento de configurações dos siste-

34. Ferramentas de Gerenciamento de
mas que impõe e realiza a reimplantação automática das configurações
Configurações dos Sistemas
nos sistemas em intervalos agendados regularmente.
Certificar-se de que apenas navegadores e clientes de e-mail totalmente

35. Navegadores e Clientes de E-Mail suportados tenham permissão para executar na organização, sendo o
Suportados ideal que estejam utilizando apenas a versão mais recente dos navega-
dores e clientes de e-mail fornecidos pelo fornecedor.
66
Apêndice VII
36. Componentes de Terceiros Utilizar exclusivamente componentes de terceiros atualizados e confiá-

Atualizados e Confiáveis veis para os softwares desenvolvidos pela organização.
Verificar se a versão de todos os softwares adquiridos de fora da sua

37. Softwares Adquiridos Ainda São
organização ainda é suportada pelo desenvolvedor ou adequadamente
Suportados
protegida com base nas recomendações de segurança deste.
38. Processo para Aceite e Estabelecer um processo para aceitar e solucionar relatórios de vulnerabi-
Encaminhamento de Relatórios de lidades de softwares (Bug Tracking), incluindo um meio para entidades ex-
Vulnerabilidades de Software ternas entrarem em contato com o time de segurança da sua organização.

67
Apêndice VIII
Programa de Compliance
Começar pela identificação de quaisquer sanções legais potenciais que

1. Identificação da Legislação Aplicável possam resultar de algumas obrigações omitidas, relativas ao tratamento
e de Requisitos Contratuais de dados pessoais ou de contratos, para aplicação de programa de veri-
ficação.
Realizar análise crítica de políticas e de procedimentos atuais e histó-

ricos (ex. situações em que possa haver litígio ou autuação de órgãos
2. Proteção de Registros
de supervisão). Isto pode implicar na retenção de versões anteriores de
documentos, quando eles são atualizados.

3. Análise Crítica da Segurança da Verificar evidências de que a segurança de informação está implemen-
Informação tada e é operada de acordo com as práticas e as políticas da organização.
Aplicar métodos de análise crítica das ferramentas e componentes rela-

4. Análise Crítica Técnica
cionados ao tratamento de dados pessoais e de segurança da informação.
Verificar se a lista de todos os softwares autorizados e necessários à

5. Inventários de Softwares empresa, para qualquer finalidade em todos os sistemas, encontra-se
atualizada e abrangente.
68
Apêndice VIII
6. Inventários de Hardwares Idem, tópico anterior, com relação a equipamentos.
Verificar as condições de suporte de aplicativos, sistemas operacionais

7. Suporte de Softwares
e softwares em geral por parte dos fornecedores.
Verificar se as ferramentas de testes de vulnerabilidade estão sendo apli-

8. Ferramentas de Verificação de
cadas para todos os sistemas nas redes da organização e na frequência
Vulnerabilidades
estabelecida nos normativos internos.
Verificar se os incidentes de segurança estão sendo reportados e devi-

9. Comunicação e Registro de
damente registrados, com as oportunidades de melhoria sendo aplicadas
Incidentes
em decorrência desses incidentes.

Verificar se a Matriz de Criticidade (ou matriz SoD) está sendo devida-
10. Segregação de Funções
mente atualizada e cumprida.
69
COORDENADOR
Antônio Carlos Bastos d’Almeida
FORLUZ
COMISSÃO COORDENADORA SUPLENTE

Juleika Cristina Ferreira de Carvalho
TÉCNICA LESTE ACEPREV
DE GOVERNANÇA MEMBROS
Adilson Lopes Camelo
E RISCOS OABPREV-MG
Alessander Luís Brito e Silva
PREVIDÊNCIA USIMINAS
Clarissa Sofia Freitas Zanon da Silva
MAIS PREVIDÊNCIA
Gabriel Lara de Paula
FORLUZ
Hubner Nazario Braga

Isabela Carvalho Duarte
Josiane de Melo Lacerda Meira
PREVCOM-MG
Márcio José dos Reis Santos
DERMINAS
Medianeira Aparecida Silva
AGROS
Thales Magno Dala Vedova de Melo
FUNDAÇÃO LIBERTAS
70
www.abrapp.org.br

Segurança Cibernética

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança Cibernética

Enviado por

Direitos autorais:

Formatos disponíveis

Dados Internacionais de Catalogação na Publicação (CIP)

(Câmara Brasileira do Livro, SP, Brasil)

Segurança cibernética [livro eletrônico] : saiba

1. Cibernética 2. Cibernética - Medidas de

Índices para catálogo sistemático:

1. Segurança : Redes de computadores : Ciência da

Aline Graziele Benitez - Bibliotecária - CRB-1/3129

Segurança Cibernética | Saiba como...

CIBERNÉTICO PODE funcionamento dos seus sistemas operacionais. Resumindo, os

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

PROVEITO DE UM estamos. Afinal, origem e destino são condições básicas para o

Segurança Cibernética | Saiba como...

2 Expressão eternizada em Alice no País das Maravilhas, de Lewis Carroll, deri-

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

com falhas ocorridas tem um valor inestimável para o estabe-

Segurança Cibernética | Saiba como...

3 Série de TV “Mayday, desastres aéreos! ” – National Geographic.

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

blico alvo, que a conscientização de segurança seja obriga-

5 Nacional Institute of Standards and Technology (NIS) – U.S Department of Commerce)

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

pontou que em 2020 as tentativas de ataques cibernéticos

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

Segurança Cibernética | Saiba como...

7 Committee of Sponsoring Organizations of the Treadway Comimission – iniciativa

de compliance para evitar o pesadelo a que nos referimos. Isto

Segurança Cibernética | Saiba como...

SEMPRE Bloomberg alerta que “embora a autenticação de dois fa-

Segurança Cibernética | Saiba como...

Para entendimento das habilidades e comportamentos dos funcionários e

Para abordagem dos gaps de habilidades identificados, buscando impactar

Verificar se o programa de conscientização de segurança da organização

Segurança Cibernética | Saiba como...

5. Treinamentos de funcionários Envolver todo o quadro de funcionários e terceiros da entidade no sentido

Envolver todo o quadro de funcionários e terceiros da entidade, no sentido

Envolver todos os funcionários e terceiros da entidade, para que os mes-

Segurança Cibernética | Saiba como...

Utilizar contas dedicadas para análises de vulnerabilidades autenticadas,

Empregar ferramentas automatizadas para inventariar todas as contas

Alterar todas as senhas padrão antes de qualquer implantação de novo

Segurança Cibernética | Saiba como...

Garantir que os administradores utilizem uma máquina dedicada para to-

Onde a autenticação Multifator não é suportada (como administrador local,

6. Autenticação Multifator9 - MFA – para

Garantir que todos os usuários com conta de acesso administrativo uti-

Limitar acesso a ferramentas de script (como Microsoft® PowerShell e