Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança
Cibernética
Objetivo
O objetivo do presente treinamento é capacitar todo o quadro funcional dos fornecedores que
prestam serviços para a CAIXA ECONÔMICA FEDERAL (GEPAS/SUDEA/SUDEB/DESOL) no que
se refere às boas práticas de segurança da informação, gestão de riscos e o bom uso de recursos
computacionais.
Conteúdo programático
• conhecimento da política de segurança da Stefanini e da CAIXA;
• uso seguro de informações corporativas a que tiver acesso;
• uso seguro de dispositivos;
• uso seguro de e-mails;
• uso seguro de soluções em nuvem;
• uso seguro de redes sociais e comunicadores instantâneos;
• adoção da política de “mesa limpa”, “tela limpa” e “impressora limpa”;
• formas defensivas contra phishing e smishing;
• formas defensivas contra códigos maliciosos recebidos em dispositivos;
• formas defensivas contra engenharia social;
• vazamento de dados e proteção de senhas;
• metodologia e princípios de Privacy by Design e Secure by Design;
• proteção de dados e privacidade – LGPD – direitos do titular dos dados;
• proteção de dados e privacidade – LGPD – responsabilidades do controlador, operador e do
agente de tratamento dos dados;
• formas de reporte de incidentes de segurança da informação na Stefanini e na CAIXA.
01 Política de Segurança
da Stefanini
STEFANINI: Inovação, Tecnologia e Talento
Nosso principal objetivo é ajudar você nos desafios do seu negócio. Presente em 41 países, com
mais de 25.000 funcionários, somos a quinta multinacional brasileira mais internacionalizada e
estamos entre as 100 maiores empresas de TI do mundo.
Trabalhamos com mais de 500 clientes em serviços financeiros, manufatura, telecomunicações,
serviços químicos, tecnologias e também no setor público.
Missão
Trabalhamos para transformar em realidade os sonhos de nossos clientes, colaboradores e
acionistas, através das melhores soluções de tecnologia e inovação.
Estratégias
Nossas decisões e nosso comportamento são conduzidos por importantes valores: agir com
integridade, respeito, energia, atitude positiva e foco no resultado sustentável.
Política de segurança da Stefanini
• A Stefanini estabelece objetivos anuais com relação à Segurança da Informação.
• Assegura a identificação e cumprimento de requisitos de negócios, obrigações contratuais, legais
e regulamentares de segurança.
• Desenvolve um processo de análise de risco, e, de acordo com seus resultados, implementa as
ações apropriadas a fim de abordar os riscos que são considerados inaceitáveis com base nos
critérios estabelecidos no processo de Avaliação e Identificação de Riscos.
Aparece, ainda, no momento de ajudar a população, através dos programas sociais do governo,
como o Bolsa Família, FIES e Programa Minha Casa Minha Vida.
Além de seus mais de 80 mil empregados em todo o país, a CAIXA também conta com a força de
trabalho de empregados terceirizados em diversas áreas. São profissionais como você, que, todos os
dias, ajudam a instituição a alcançar seus objetivos.
Política de Segurança da CAIXA ECONÔMICA FEDERAL
1. As informações são ativos essenciais para a CAIXA e são protegidas para assegurar o seu uso de
forma adequada, garantindo a disponibilidade, a integridade, a confidencialidade e a autenticidade na
realização dos objetivos da CAIXA.
2. Os ativos de informação e a continuidade das atividades críticas e/ou dos serviços críticos são
protegidos pela CAIXA.
3. As informações da CAIXA, dos clientes e do público em geral são tratadas de acordo com as
melhores práticas de Segurança da Informação.
4. As informações são classificadas conforme sua criticidade, sensibilidade e requisitos legais.
5. A CAIXA comunica a ocorrência de incidentes de segurança de acordo com sua criticidade e
requisitos legais.
6. Todos os ativos e serviços de informação, recursos computacionais da CAIXA, bem como toda
informação trafegada ou armazenada nos mesmos, incluindo conta de e-mail corporativa e a
navegação em sites e serviços da Internet são de uso exclusivo para fins relacionados ao trabalho, e
estão sujeitos à monitoração.
7. A prática de “Mesa Limpa, Tela Limpa e Impressora Limpa” é adotada por todos os usuários, seja
nas dependências da CAIXA ou em ambiente de trabalho remoto.
8. Os ambientes físicos e lógicos são criados e geridos de forma compatível com a confidencialidade
das informações neles tratadas, inclusive com segregação de ambiente e controles de acesso
adequados.
Política de Segurança da CAIXA ECONÔMICA FEDERAL
9. A CAIXA mantém estruturas de governança e gestão de riscos de segurança da informação
adequadas à natureza e complexidade de suas operações e produtos, e à dimensão de sua
exposição a esse tipo de risco.
10. A CAIXA realiza análise de impacto de interrupção de negócios e estabelece planos de
continuidade para as atividades críticas priorizadas, que são testados regularmente.
11. A CAIXA sensibiliza seus clientes quanto à segurança na utilização de seus produtos e serviços.
12. A CAIXA dissemina e mantém cultura de segurança e de uso correto da informação para seus
usuários.
13. Unidade responsável: Diretoria Executiva Controles Internos e Integridade.
03 Conceitos de Segurança
da Informação
ISO 27001
• A ISO 27001 é uma norma mundial que define regras e padrões para uma boa segurança da
informação.
• Define um sistema de gestão para a segurança da informação.
• Abrange todos os tipos de organizações e de todos os tamanhos.
• Protege as informações contra várias ameaças.
• Garante a continuidade do negócio.
• Minimiza perdas financeiras e outros impactos.
• Cria oportunidades para se fazer negócios e transações com segurança.
• Mantém a privacidade e a conformidade.
Sistema de Gerenciamento de Segurança da Informação
(SGSI)
• É um conjunto de políticas de gerenciamento de informações.
• É, para uma organização, o conjunto de processos para gerenciar, com eficiência, a acessibilidade
das informações, buscando garantir a integridade, confidencialidade e disponibilidade dos ativos
da informação, minimizando os riscos à segurança.
• Um bom sistema de gerenciamento auxilia no estabelecimento da política e dos objetivos de uma
organização, conferindo uma estrutura organizacional em que os papéis e responsabilidades das
pessoas são bem definidos.
• Propõe um processo de revisão para garantir que problemas sejam corrigidos e oportunidades de
melhoria sejam identificadas e implementadas.
Uso seguro de informações
A segurança da informação é o que mantém informações valiosas protegidas contra várias ameaças
reais. Para os indivíduos, é importante para a proteção de seus dados pessoais e sua privacidade; e
para as empresas, para evitar perdas financeiras e garantir a continuidade do negócio, assim como a
confiança para realizar transações seguras e garantir o funcionamento de suas operações.
CONFIDENCIALIDADE
É defender que uma informação será restrita e não deverá ser acessada por pessoas não
autorizadas.
INTEGRIDADE
É a garantia de que uma informação deverá estar correta e no local devido quando alguém
for usá-la.
DISPONIBILIDADE
É permitir que a informação esteja sempre disponível para quem precisa.
Uso seguro de informações
AUTENTICIDADE
É a garantia de que a informação é verdadeira. A CAIXA apresenta ferramentas que podem
ser usadas para saber se um dado ou informação é autêntico.
LEGALIDADE
É assegurar que todos os procedimentos relacionados à informação dentro da empresa
sejam feitos de acordo com a lei.
Consequências de incidentes de segurança
• Inatividade de TI e interrupção de negócios.
• Perdas financeiras e custos.
• Desvalorização da propriedade intelectual.
• Quebra das leis e regulamentos, o que leva a processos, multas e penalidades.
• Reputação e danos da marca levando à perda de clientes, mercado, parceiro de negócios ou a
confiança dos proprietários e negócios perdidos.
Uso seguro de dispositivos
• Evite gravar a senha de suas contas, sobretudo em dispositivos compartilhados ou públicos.
• Verifique se o seu PC está recebendo as atualizações do sistema operacional e softwares,
especialmente do antivírus.
• Bloquear seu computador sempre que deixar sua mesa.
• Armazene laptops e informações valiosas de forma segura.
• Mantenha sua voz baixa no celular.
• Mantenha sua mesa limpa, sem informações de clientes.
• Realize backup das informações, regularmente.
• Não fale sobre trabalho fora da empresa e de ambientes seguros.
• Siga sempre as orientações da política de segurança.
Uso seguro de e-mails
• Use e-mail corporativo apenas para fins comerciais.
• Siga as diretrizes de armazenamento de e-mail.
• Se você receber um e-mail spam, deve simplesmente excluí-lo. Se for ofensivo ou se você recebe
vários, ligue para o Service Desk.
• Não use seu endereço de e-mail corporativo para troca de e-mails pessoais.
• Tenha muito cuidado com anexos de e-mail e links, especialmente em e-mails não solicitados (que
podem estar infectados por vírus ou direcionar a sites enganosos).
• Não circule correntes, hoaxes (mensagens alarmistas), piadas inapropriadas, fake news, vídeos,
etc.
• Não envie e-mails para fora da organização, a menos que você esteja autorizado a fazê-lo.
Uso seguro da internet e soluções em nuvem
• Utilize a Internet corporativa apenas para fins de trabalho.
• Evite sites que sejam classificados como obscenos, racistas, ofensivos ou ilegais.
• Não acesse sites de leilões ou de compras online, a não ser quando autorizado pelo seu gestor.
• Não faça o download ou upload de software comercial ou outro material protegido por direitos
autorais sem a licença correta e permissão de seu gerente.
• Nunca deixe alguém entrar de carona com você em áreas restritas corporativas.
• Seu crachá é de uso pessoal e intransferível, e não deve ser emprestado. Em caso de perda, abra
um chamado imediatamente.
• Similarmente, seus acessos corporativos, como contas e senhas, não devem ser emprestados.
• Cuidado com pessoas se passando por conhecidos ou representantes de organizações tentando
obter informações sigilosas.
• Desconfie de dispositivos que não conheça a procedência, como pendrives e CDs, que podem
estar infectados com malware.
• Siga sempre boas práticas comportamentais que ajudam na preservação da segurança e
prevenção de riscos.
Vazamento de dados e proteção de senhas
• Use senhas complexas, longas – frases inteiras, se possível.
• Reserve sua senha mais forte para sistemas de alta segurança.
• Use citações famosas, linhas de músicas preferidas, etc, para torná-las memoráveis.
• Utilize números e caracteres especiais.
• Não compartilhe suas senhas.
• Não anote suas senhas em lugares onde outras pessoas possam vê-las.
• Não reutilize a mesma senha em todos os sistemas.
Princípios de Privacy by Design e Secure by Design
O Privacy by Design é um framework que tem como premissa incorporar a privacidade e a proteção
de dados e informações nos projetos desenvolvidos por uma organização, desde a sua concepção.
Similarmente, o Secure by Design preconiza que todos os produtos de software sejam desenvolvidos
tendo em mente a segurança dos usuários.
Para o desenvolvedor de sistemas, significa adotar a postura proativa para prevenir incidentes de
privacidade antes que eles ocorram, identificar pontos fracos e prever riscos que possam afetar a
privacidade dos dados, garantindo a segurança desde a concepção de um projeto.
Um ponto fundamental do Privacy by Design é que a privacidade deve ser sempre a configuração
padrão em qualquer sistema ou mesmo prática de negócio, não exigindo qualquer interação ou
configuração por parte do usuário.
O que fazer em relação aos riscos de segurança?
Conhecendo então os perigos, algumas ações importantes ligados à Gestão de Riscos podem ser
tomadas contra os impactos, tanto materiais quanto humanos:
Identificar: ter o conhecimento das situações que podem causar um dano material ou de imagem contra
a instituição.
Evitar: escolher caminhos para ficar o mais longe possível das situações de risco.
Aceitar: diferente de apenas se conformar com a conveniência com algum risco, é, principalmente, saber
o que fazer em caso de necessidade.
Mitigar: colocar o plano de ação em prática para aliviar as consequências ou prejuízos de um risco que
se transformou em problema.
Como registrar incidentes na Stefanini
1. Para informar um incidente de segurança da informação, acesse servicedesk.stefanini.com;
2. Faça o login com suas credenciais corporativas e clique em “Report an Incident”;
Como registrar incidentes na Stefanini
3. Após preencher as informações necessárias, clique em “Post” para finalizar o reporte.
Como registrar incidentes na CAIXA
Reportar conteúdo suspeito através do SIGSC – servicos.caixa:
Cartilha “Recomendações e boas práticas para o uso seguro da internet para toda a família” –
realizada por OAB São Paulo e Universidade Presbiteriana Mackenzie
Cartilha de Segurança para Internet, realizada pelo Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil
Leituras recomendadas
Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD) – publicado em 14/08/2020 pelo
Comitê Central de Governança de Dados do Governo Federal
Artigo - Com atuação da ANPD, Brasil ingressa em novo cenário de proteção de dados
Pedimos por favor que o certificado de conclusão do curso seja encaminhado para Qualidade Caixa,
no endereço qcaixa@stefanini.com
Obrigado!!
ISO 27001
Segurança da Informação
Sugestão de curso com duração de 30 minutos.