Treinamento

Segurança
Cibernética
Objetivo
O objetivo do presente treinamento é capacitar todo o quadro funcional dos fornecedores que
prestam serviços para a CAIXA ECONÔMICA FEDERAL (GEPAS/SUDEA/SUDEB/DESOL) no que
se refere às boas práticas de segurança da informação, gestão de riscos e o bom uso de recursos
computacionais.
Conteúdo programático
• conhecimento da política de segurança da Stefanini e da CAIXA;
• uso seguro de informações corporativas a que tiver acesso;
• uso seguro de dispositivos;
• uso seguro de e-mails;
• uso seguro de soluções em nuvem;
• uso seguro de redes sociais e comunicadores instantâneos;
• adoção da política de “mesa limpa”, “tela limpa” e “impressora limpa”;
• formas defensivas contra phishing e smishing;
• formas defensivas contra códigos maliciosos recebidos em dispositivos;
• formas defensivas contra engenharia social;
• vazamento de dados e proteção de senhas;
• metodologia e princípios de Privacy by Design e Secure by Design;
• proteção de dados e privacidade – LGPD – direitos do titular dos dados;
• proteção de dados e privacidade – LGPD – responsabilidades do controlador, operador e do
agente de tratamento dos dados;
• formas de reporte de incidentes de segurança da informação na Stefanini e na CAIXA.
01 Política de Segurança
da Stefanini
STEFANINI: Inovação, Tecnologia e Talento
Nosso principal objetivo é ajudar você nos desafios do seu negócio. Presente em 41 países, com
mais de 25.000 funcionários, somos a quinta multinacional brasileira mais internacionalizada e
estamos entre as 100 maiores empresas de TI do mundo.
Trabalhamos com mais de 500 clientes em serviços financeiros, manufatura, telecomunicações,
serviços químicos, tecnologias e também no setor público.

Missão
Trabalhamos para transformar em realidade os sonhos de nossos clientes, colaboradores e
acionistas, através das melhores soluções de tecnologia e inovação.

Estratégias
Nossas decisões e nosso comportamento são conduzidos por importantes valores: agir com
integridade, respeito, energia, atitude positiva e foco no resultado sustentável.
Política de segurança da Stefanini
• A Stefanini estabelece objetivos anuais com relação à Segurança da Informação.
• Assegura a identificação e cumprimento de requisitos de negócios, obrigações contratuais, legais
e regulamentares de segurança.
• Desenvolve um processo de análise de risco, e, de acordo com seus resultados, implementa as
ações apropriadas a fim de abordar os riscos que são considerados inaceitáveis com base nos
critérios estabelecidos no processo de Avaliação e Identificação de Riscos.

• A Direção da Stefanini reconhece a importância de identificar e proteger os ativos de informação

da organização, evitando a destruição, divulgação indevida, modificação inadequada ou o uso não
autorizado de qualquer informação relativa aos seus clientes, empregados, preços, estratégia,
gestão, ou outros conceitos relacionados.
• A Stefanini se compromete, portanto, em desenvolver, implementar, manter e melhorar
continuamente o Sistema de Gestão de Segurança da Informação (SGSI) a fim de garantir a
confidencialidade, disponibilidade e integridade das informações.
02 Política de Segurança
da CAIXA
CAIXA ECONÔMICA FEDERAL
Instituição financeira com 160 anos de existência, a CAIXA é realmente presente na vida de milhões
de brasileiros. Ela é, por exemplo, o agente responsável pelo Fundo de Garantia do Tempo de
Serviço (FGTS), pelo Programa de Integração Social (PIS) e pelo Seguro-Desemprego.

Aparece, ainda, no momento de ajudar a população, através dos programas sociais do governo,
como o Bolsa Família, FIES e Programa Minha Casa Minha Vida.

Além de seus mais de 80 mil empregados em todo o país, a CAIXA também conta com a força de
trabalho de empregados terceirizados em diversas áreas. São profissionais como você, que, todos os
dias, ajudam a instituição a alcançar seus objetivos.
Política de Segurança da CAIXA ECONÔMICA FEDERAL
1. As informações são ativos essenciais para a CAIXA e são protegidas para assegurar o seu uso de
forma adequada, garantindo a disponibilidade, a integridade, a confidencialidade e a autenticidade na
realização dos objetivos da CAIXA.
2. Os ativos de informação e a continuidade das atividades críticas e/ou dos serviços críticos são
protegidos pela CAIXA.
3. As informações da CAIXA, dos clientes e do público em geral são tratadas de acordo com as
melhores práticas de Segurança da Informação.
4. As informações são classificadas conforme sua criticidade, sensibilidade e requisitos legais.
5. A CAIXA comunica a ocorrência de incidentes de segurança de acordo com sua criticidade e
requisitos legais.
6. Todos os ativos e serviços de informação, recursos computacionais da CAIXA, bem como toda
informação trafegada ou armazenada nos mesmos, incluindo conta de e-mail corporativa e a
navegação em sites e serviços da Internet são de uso exclusivo para fins relacionados ao trabalho, e
estão sujeitos à monitoração.
7. A prática de “Mesa Limpa, Tela Limpa e Impressora Limpa” é adotada por todos os usuários, seja
nas dependências da CAIXA ou em ambiente de trabalho remoto.
8. Os ambientes físicos e lógicos são criados e geridos de forma compatível com a confidencialidade
das informações neles tratadas, inclusive com segregação de ambiente e controles de acesso
adequados.
Política de Segurança da CAIXA ECONÔMICA FEDERAL
9. A CAIXA mantém estruturas de governança e gestão de riscos de segurança da informação
adequadas à natureza e complexidade de suas operações e produtos, e à dimensão de sua
exposição a esse tipo de risco.
10. A CAIXA realiza análise de impacto de interrupção de negócios e estabelece planos de
continuidade para as atividades críticas priorizadas, que são testados regularmente.
11. A CAIXA sensibiliza seus clientes quanto à segurança na utilização de seus produtos e serviços.
12. A CAIXA dissemina e mantém cultura de segurança e de uso correto da informação para seus
usuários.
13. Unidade responsável: Diretoria Executiva Controles Internos e Integridade.
03 Conceitos de Segurança
da Informação
ISO 27001
• A ISO 27001 é uma norma mundial que define regras e padrões para uma boa segurança da
informação.
• Define um sistema de gestão para a segurança da informação.
• Abrange todos os tipos de organizações e de todos os tamanhos.
• Protege as informações contra várias ameaças.
• Garante a continuidade do negócio.
• Minimiza perdas financeiras e outros impactos.
• Cria oportunidades para se fazer negócios e transações com segurança.
• Mantém a privacidade e a conformidade.
Sistema de Gerenciamento de Segurança da Informação
(SGSI)
• É um conjunto de políticas de gerenciamento de informações.
• É, para uma organização, o conjunto de processos para gerenciar, com eficiência, a acessibilidade
das informações, buscando garantir a integridade, confidencialidade e disponibilidade dos ativos
da informação, minimizando os riscos à segurança.
• Um bom sistema de gerenciamento auxilia no estabelecimento da política e dos objetivos de uma
organização, conferindo uma estrutura organizacional em que os papéis e responsabilidades das
pessoas são bem definidos.
• Propõe um processo de revisão para garantir que problemas sejam corrigidos e oportunidades de
melhoria sejam identificadas e implementadas.
Uso seguro de informações
A segurança da informação é o que mantém informações valiosas protegidas contra várias ameaças
reais. Para os indivíduos, é importante para a proteção de seus dados pessoais e sua privacidade; e
para as empresas, para evitar perdas financeiras e garantir a continuidade do negócio, assim como a
confiança para realizar transações seguras e garantir o funcionamento de suas operações.

São princípios básicos da Segurança da Informação:

• Confidencialidade;
• Integridade;
• Disponibilidade;
• Autenticidade;
• Legalidade.
Uso seguro de informações

CONFIDENCIALIDADE
É defender que uma informação será restrita e não deverá ser acessada por pessoas não
autorizadas.

INTEGRIDADE
É a garantia de que uma informação deverá estar correta e no local devido quando alguém
for usá-la.

DISPONIBILIDADE
É permitir que a informação esteja sempre disponível para quem precisa.
Uso seguro de informações

AUTENTICIDADE
É a garantia de que a informação é verdadeira. A CAIXA apresenta ferramentas que podem
ser usadas para saber se um dado ou informação é autêntico.

LEGALIDADE
É assegurar que todos os procedimentos relacionados à informação dentro da empresa
sejam feitos de acordo com a lei.
Consequências de incidentes de segurança
• Inatividade de TI e interrupção de negócios.
• Perdas financeiras e custos.
• Desvalorização da propriedade intelectual.
• Quebra das leis e regulamentos, o que leva a processos, multas e penalidades.
• Reputação e danos da marca levando à perda de clientes, mercado, parceiro de negócios ou a
confiança dos proprietários e negócios perdidos.
Uso seguro de dispositivos
• Evite gravar a senha de suas contas, sobretudo em dispositivos compartilhados ou públicos.
• Verifique se o seu PC está recebendo as atualizações do sistema operacional e softwares,
especialmente do antivírus.
• Bloquear seu computador sempre que deixar sua mesa.
• Armazene laptops e informações valiosas de forma segura.
• Mantenha sua voz baixa no celular.
• Mantenha sua mesa limpa, sem informações de clientes.
• Realize backup das informações, regularmente.
• Não fale sobre trabalho fora da empresa e de ambientes seguros.
• Siga sempre as orientações da política de segurança.
Uso seguro de e-mails
• Use e-mail corporativo apenas para fins comerciais.
• Siga as diretrizes de armazenamento de e-mail.
• Se você receber um e-mail spam, deve simplesmente excluí-lo. Se for ofensivo ou se você recebe
vários, ligue para o Service Desk.
• Não use seu endereço de e-mail corporativo para troca de e-mails pessoais.
• Tenha muito cuidado com anexos de e-mail e links, especialmente em e-mails não solicitados (que
podem estar infectados por vírus ou direcionar a sites enganosos).
• Não circule correntes, hoaxes (mensagens alarmistas), piadas inapropriadas, fake news, vídeos,
etc.
• Não envie e-mails para fora da organização, a menos que você esteja autorizado a fazê-lo.
Uso seguro da internet e soluções em nuvem
• Utilize a Internet corporativa apenas para fins de trabalho.
• Evite sites que sejam classificados como obscenos, racistas, ofensivos ou ilegais.
• Não acesse sites de leilões ou de compras online, a não ser quando autorizado pelo seu gestor.
• Não faça o download ou upload de software comercial ou outro material protegido por direitos
autorais sem a licença correta e permissão de seu gerente.

Uso seguro das redes sociais e comunicadores instantâneos

• Os mesmos cuidados com arquivos compartilhados, links desconhecidos e sites enganosos se
aplica ao uso de redes sociais (pessoais ou corporativas, como LinkedIn e Yammer), assim como
a comunicadores instantâneos (como Microsoft Teams, Skype e Lync).
• Evite gravar sua senha e não autorize entrada automática em sua conta, sobretudo em
dispositivos compartilhados ou públicos.
• Realize a troca de sua senha com frequência e use senhas fortes para garantir sua segurança.
Adoção da política de “mesa limpa”, “tela limpa” e
“impressora limpa”
• Não deixe papéis, relatórios ou mídias eletrônicas sobre sua mesa.
• Documentos classificados devem estar em local seguro sempre.
• Computadores não devem ser deixados “logados”.
• Evitar, ao máximo, imprimir documentos com informações sensíveis.
• Mantenha sempre sua mesa limpa, sem papéis ou anotações em cima.
• Armazene informações confidenciais em local apropriado.
• Utilize um protetor de tela que solicite senha para acesso.
• Você é responsável pelas informações da empresa, presente ou não.
• Mantenha os documentos da empresa criptografados em uma pasta segura.
Phishing, spam e smishing
O conceito de phishing e smishing consiste no tipo de ameaça usada por indivíduos mal
intencionados para enganar usuários e tentar obter informações pessoais e confidenciais, como
dados de cartão de crédito e senhas. Geralmente acontecem através de mensagens de texto ou e-
mails se passando por instituições legítimas, como bancos ou agências do governo, e apresentam
links que direcionam o usuário para sites falsos. Um mecanismo de defesa contra o phishing é o
cuidado ao abrir links e a verificação do remetente da mensagem.

Códigos maliciosos: vírus, malware e cavalo de Tróia

• Malware, do inglês malicious software (software malicioso), é um software destinado a se infiltrar
em computadores alheios de forma ilícita, com o intuito de causar danos ou roubo de informações.
• Vírus são malwares desenvolvidos para infectar o sistema, fazer cópias de si mesmo e se espalhar
para outros computadores e dispositivos.
• Cavalo de Tróia é um malware que se instala no computador e cria uma porta para uma possível
invasão de hackers e instalação de vírus.
• Para se defender, tome cuidado ao abrir links desconhecidos e desconfie de sites sem certificação
de segurança.
Formas defensivas contra engenharia social
Chamamos de engenharia social todo ataque e estratégia utilizados por cibercriminosos que
envolvem interações humanas, muitas vezes partindo para a manipulação psicológica e induzindo o
usuário a compartilhar informações sigilosas. Algumas medidas podem ser tomadas para se defender
contra essas ameaças:

• Nunca deixe alguém entrar de carona com você em áreas restritas corporativas.
• Seu crachá é de uso pessoal e intransferível, e não deve ser emprestado. Em caso de perda, abra
um chamado imediatamente.
• Similarmente, seus acessos corporativos, como contas e senhas, não devem ser emprestados.
• Cuidado com pessoas se passando por conhecidos ou representantes de organizações tentando
obter informações sigilosas.
• Desconfie de dispositivos que não conheça a procedência, como pendrives e CDs, que podem
estar infectados com malware.
• Siga sempre boas práticas comportamentais que ajudam na preservação da segurança e
prevenção de riscos.
Vazamento de dados e proteção de senhas
• Use senhas complexas, longas – frases inteiras, se possível.
• Reserve sua senha mais forte para sistemas de alta segurança.
• Use citações famosas, linhas de músicas preferidas, etc, para torná-las memoráveis.
• Utilize números e caracteres especiais.
• Não compartilhe suas senhas.
• Não anote suas senhas em lugares onde outras pessoas possam vê-las.
• Não reutilize a mesma senha em todos os sistemas.
Princípios de Privacy by Design e Secure by Design
O Privacy by Design é um framework que tem como premissa incorporar a privacidade e a proteção
de dados e informações nos projetos desenvolvidos por uma organização, desde a sua concepção.
Similarmente, o Secure by Design preconiza que todos os produtos de software sejam desenvolvidos
tendo em mente a segurança dos usuários.
Para o desenvolvedor de sistemas, significa adotar a postura proativa para prevenir incidentes de
privacidade antes que eles ocorram, identificar pontos fracos e prever riscos que possam afetar a
privacidade dos dados, garantindo a segurança desde a concepção de um projeto.
Um ponto fundamental do Privacy by Design é que a privacidade deve ser sempre a configuração
padrão em qualquer sistema ou mesmo prática de negócio, não exigindo qualquer interação ou
configuração por parte do usuário.
 O que fazer em relação aos riscos de segurança?
Conhecendo então os perigos, algumas ações importantes ligados à Gestão de Riscos podem ser
tomadas contra os impactos, tanto materiais quanto humanos:

Identificar: ter o conhecimento das situações que podem causar um dano material ou de imagem contra
a instituição.

Evitar: escolher caminhos para ficar o mais longe possível das situações de risco.

Aceitar: diferente de apenas se conformar com a conveniência com algum risco, é, principalmente, saber
o que fazer em caso de necessidade.

Mitigar: colocar o plano de ação em prática para aliviar as consequências ou prejuízos de um risco que
se transformou em problema.
Como registrar incidentes na Stefanini
1. Para informar um incidente de segurança da informação, acesse servicedesk.stefanini.com;
2. Faça o login com suas credenciais corporativas e clique em “Report an Incident”;
Como registrar incidentes na Stefanini
3. Após preencher as informações necessárias, clique em “Post” para finalizar o reporte.
Como registrar incidentes na CAIXA
Reportar conteúdo suspeito através do SIGSC – servicos.caixa:

1 – fechar a mensagem com o link ou o arquivo suspeito;

2 – acessar o endereço https://servicos.caixa, anexando a mensagem original suspeita, conforme
descrito a seguir: > Categoria: Tecnologia da Informação e Comunicação > Subcategoria: Segurança
Tecnológica > Solicitações disponíveis: Reportar Conteúdo Suspeito.
3 – não mantenha mensagens com links ou anexos suspeitos na sua caixa postal ou no seu
computador: apague-as com o SHIFT + DEL;
Como registrar incidentes na CAIXA
Reportar via caixa postal:
1 – feche a mensagem com o link ou o arquivo suspeito;
2 – no Outlook, clique em “Novo Email” e insira o endereço eletrônico abuse@caixa.gov.br como
destinatário; este email é da equipe de segurança cibernética da CAIXA;
3 – o campo assunto é livre, mas sugerimos inserir o texto; “link ou arquivo suspeito”;
4 – na barra de ferramentas do outlook vá em “Anexar Item” – “Item do Outlook”, identifique a
mensagem que contém o link ou arquivo suspeito, selecione-a e clique em “ok”; este procedimento
anexará a mensagem suspeita ao email que você está editando;
5 – o corpo da mensagem é livre; não há necessidade de escrever nada pois a área de segurança
cibernética já saberá o que fazer;
6 – clique em “Enviar”;
7 – não mantenha mensagens com links ou anexos suspeitos na sua caixa postal ou no seu
computador: apague-as com o SHIFT + DEL;
LGPD – Lei Geral de Proteção de Dados
A LGPD (Lei Geral de Proteção de Dados) entrou em vigor no dia 18 de setembro de 2020 em
território nacional, tornando-se um importante marco regulatório em relação ao tratamento de dados
pessoais no Brasil.

As dez bases legais da LGPD são:

1. Consentimento
2. Cumprimento de obrigação legal ou regulatória
3. Execução de políticas públicas
4. Realização de estudos por órgão de pesquisa
5. Execução ou criação de contrato
6. Exercício regular de direitos
7. Proteção da vida
8. Tutela da saúde
9. Legítimo interesse
10. Proteção do crédito
LGPD – direitos do titular dos dados
A LGPD regula os direitos do titular dos dados (pessoas físicas) com base no consentimento, e
determina que as empresas devem ser transparentes com o titular, informando como seus dados
serão utilizados de forma clara e inequívoca. O titular dos dados também deve poder recusar a
autorização ou revogá-la quando quiser.
O uso dos dados está previsto, sempre com respaldo da lei, para a execução de políticas públicas,
realização de estudos por órgãos de pesquisa, execução ou criação de contratos (a pedido do titular),
exercícios dos direitos em processos judiciais, administrativos e arbitrais, para a proteção da vida ou
da integridade física do titular, para a tutela da saúde, para o legítimo interesse do titular, e para a
proteção do crédito.
LGPD – responsabilidades do controlador, operador e do
agente de tratamento dos dados
No que se refere às responsabilidades do controlador, operador e do agente de tratamento dos
dados, deve-se ter em mente o tratamento dos dados pessoais dos titulares dentro da legalidade e o
cumprimento das obrigações regulatórias e normativas.
Para estar em conformidade com a lei, é importante conhecer o ciclo de vida dos dados
armazenados pelos sistemas e aplicações em que se atua, como canais de coleta, locais de
armazenamento, quem possui acesso, e sua destinação final. Como uma das obrigações contratuais
de todo profissional, está o comprometimento com a proteção de informações sigilosas.
Outra boa prática é ter em mente os princípios do Privacy by Design e Secure by Design para que
todo projeto seja concebido já de forma aderente à lei.
Leituras recomendadas

Segurança da informação – links diversos:

Central Nacional de Denúncias de Crimes Cibernéticos

Portal Internet Segura

Cartilha “Recomendações e boas práticas para o uso seguro da internet para toda a família” –
realizada por OAB São Paulo e Universidade Presbiteriana Mackenzie

Cartilha de Segurança para Internet, realizada pelo Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil
Leituras recomendadas

LGPD – Lei Geral de Proteção de Dados:

Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD) – publicado em 14/08/2020 pelo
Comitê Central de Governança de Dados do Governo Federal

Página do Comitê Central de Governança de Dados (CCGD)

Artigo - Com atuação da ANPD, Brasil ingressa em novo cenário de proteção de dados

Artigo - Guias operacionais para adequação à LGPD

04 Conclusão
Avaliação
Chegamos ao fim do nosso treinamento!
Agradecemos pela participação. Agora, você tem uma visão clara do que significam alguns conceitos
importantes para a Stefanini e para a CAIXA, como segurança da informação, gerenciamento de
risco e formas de prevenir-se contra ameaças digitais.

Pedimos por favor que o certificado de conclusão do curso seja encaminhado para Qualidade Caixa,
no endereço qcaixa@stefanini.com

Obrigado!!
ISO 27001
Segurança da Informação
Sugestão de curso com duração de 30 minutos.

O curso cobrirá os seguintes tópicos:

o uso seguro de informações corporativas a que tiver acesso;

o uso seguro de dispositivos;
o uso seguro de e-mails;
o uso seguro de soluções em nuvem;
o uso seguro de redes sociais e comunicadores instantâneos;
o adoção da política de “mesa limpa”, “tela limpa” e “impressora limpa”;
o formas defensivas contra phishing e smishing;
o formas defensivas contra códigos maliciosos recebidos em dispositivos;
o vazamento de dados e proteção de senhas;
o formas de reporte de incidentes de segurança da informação na Stefanini.
LGPD
Lei Geral de Proteção de Dados
Sugestão de curso com duração de 10 minutos.

O curso cobrirá os seguintes tópicos:

o direitos do titular dos dados;

o responsabilidades do controlador, operador e do agente de tratamento
dos dados;
o sistemas de proteção de dados;
o definição de dados sensíveis.