Escolar Documentos
Profissional Documentos
Cultura Documentos
1
National Institute of Standards and Technology e European Union Agency for Network and Information Security respectivamente. Tra-
tam-se de agências dos Estados Unidos e da União Europeia com a função de estabelecer padrões e normas que devem ser segui-
dos pelas mais variadas instituições governamentais ou privadas que, de algum modo, são ligadas aos governos elegíveis. Para este
e-book usamos como referência o guia “Cyber Security Culture in Organizations” da ENISA e o “Building an Information Technology
Security Awareness and Training Program - SP 800-50” do NIST.
Na segunda parte abordamos quais seriam os componentes ne-
cessários para colocar uma cultura de segurança em movimen-
to, como definir objetivos e como medir sua eficiência. Há aqui
também um tópico especial dedicado à criação do programa de
educação. Nele falamos sobre como manter o foco, como defi-
nir qual abordagem usar, oferecemos dicas para a criação e se-
leção de conteúdo e debatemos sobre reconhecimento dos que
se dedicam ao programa.
3 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
ÍNDICE
05
parte 1
SEGURANÇA COMO CULTURA
09
parte 2
DO ALICERCE AO TETO
23parte 3
MOTO-CONTÍNUO
4 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
parte 1
SEGURANÇA
COMO
CULTURA
5 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
U ma cultura de segurança pressupõe que a segurança faça
parte integral do trabalho das pessoas e que o tema esteja
embutido em sua conduta e em suas atividades do dia a dia,
permitindo que identifiquem situações suspeitas, mesmo que não
conheçam a fundo como essas situações operam.
O objetivo desse e-book não é oferecer meios para criar uma cultura
baseada na paranoia. Pelo contrário, apresentamos caminhos
para que as pessoas internalizem um repertório de conhecimentos
novos na cultura da organização, algo que se recicla continuamente
e que pode ter uma dose saudável de segurança em seu conteúdo.
6 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
Quem trabalha com segurança entende a importância da gestão
de riscos e também compreende que, assim como qualquer
outro recurso, humanos representam uma ameaça para qualquer
organização. Pessoas cometem erros de julgamento, sucumbem à
ganância e podem ficar desatentas. Tudo isso resulta em aumento
no risco de perdas, fraudes e em deixar portas abertas para
atacantes e criminosos.
2
Bernstein, Peter L. “Against the Gods: The Remarkable Story of Risk”. 1996.
7
O senso de pertencimento e a capacidade de engajamento das
pessoas podem ser determinantes para o sucesso de um projeto
de implementação de uma cultura de segurança. Se as pessoas
acreditam que pertencem a algo importante ao colaborar para sua
organização, há mais chances de direcionar esse sentimento para o
zelo com os temas de segurança. Outra vantagem em usar o senso
de pertencimento é que
ele rompe as barreiras dos
departamentos, assim há
É importante considerar a cultura mais chances de as pessoas
de segurança como algo que faz incorporarem a mensagem
parte da cultura organizacional da de que a segurança é um
empresa e não como um apêndice “dever de todos” e não só de
uma área específica.
que fala uma língua diferente.
Por outro lado, equipes
estimuladas a se orientarem
pelo interesse individual tendem a ter gente muito focada em
cuidar somente de suas atribuições, dedicando pouco ou nenhum
interesse aos temas que envolvem a empresa como um todo.
O mesmo acontece em ambientes nos quais o pensamento é
rigidamente orientado à estrutura departamental, ou em silos
departamentais. Nesses casos há também um baixo engajamento
nos temas que estão além da fronteira das atividades do
departamento.
9 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
O caminho para estabelecer uma cultura de segurança depende
do comprometimento de múltiplas equipes; da definição
de objetivos claros e mensuráveis; da constante coleta de dados
sobre como as pessoas interagem com a tecnologia - necessário
para criação de indicadores que demonstrem o progresso não só
da implementação da cultura, mas também da redução do risco -;
e de um programa de educação que se renove constantemente,
“sedimentando” o conhecimento a ponto desse se emaranhar à
conduta das pessoas.
O grupo de trabalho
Implementar o projeto de criação da cultura de segurança depende
de uma equipe multidisciplinar formada por representantes da
alta gestão, de tecnologia, de recursos humanos, do marketing, de
pessoas ligadas ao tema de conformidade e/ou jurídico e, claro, de
membros da área de segurança da informação.
10 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
Membros do “C-Level” inspiram os demais e servem de exemplo
para toda organização. Portanto, quando há o envolvimento
verdadeiro dos diretores, há exemplos a seguir e com isso há mais
chances de a cultura de segurança se tornar realidade.
11 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
Responsabilidades de cada
NA PRÁTICA
membro do grupo de trabalho
ALTA GESTÃO
• Protagonizar vídeos de conscientização;
• Assinar mensagens sobre o tema;.
• Assumir uma atitude com relação à
segurança que sirva de exemplo.
RECURSOS HUMANOS
• Apoiar as áreas na criação de conteúdo de
conscientização e treinamentos que estejam
de acordo com a cultura da organização;
• Apoiar gestores no processo de tornar sua
equipe parte da cultura de segurança;
• Indicar pessoas que possam assumir a função
de embaixadores da cultura de segurança.
TECNOLOGIA
• Manter controles de segurança ativos;
• Oferecer dados sobre o comportamento
dos usuários;
• Colaborar na criação de conteúdo de
conscientização e treinamentos para
Sysadmins, DBAs e Devops.
11 22 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
MARKETING
• Aplicar identidade visual da organização a materiais
de conscientização e treinamento;
• Apoiar as outras áreas na elaboração de uma narrativa
que tenha mais chances de engajar as pessoas;
• Elaborar formas de reconhecimento e valorização
das pessoas que se destacam.
SEGURANÇA DA
INFORMAÇÃO
• Análise dos diversos indicadores
de segurança do ambiente;
• Definição das prioridades
do programa de educação
em segurança;
13 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
Metas a alcançar e passos para chegar lá
A definição de metas claras é algo muito importante para
estabelecer uma cultura de segurança. Uma ótima ferramenta
para isso são os OKRs ou Objectives and Key Results (objetivos e
resultados-chave), método criado nos anos 80 por Andy Grove na
Intel e usado até hoje por empresas de vários tamanhos.
14 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
NA PRÁTICA Exemplo de objetivo
e resultados-chave
OBJETIVO
Reduzir em 80%
os riscos humanos
classificados como
críticos pela última
análise de riscos
RESULTADO-CHAVE 1
RESULTADO-CHAVE 3
Ter 100% dos administra-
Ter feito palestras de cons-
dores de rede treinados
cientização em segurança
em segurança avançada.
sobre phishing direciona-
do para 100% dos colabo-
radores do RH envolvidos
no processo de seleção.
RESULTADO-CHAVE 2
Ter feito palestras de
conscientização em segu-
rança sobre phishing di-
recionado para 100% da
equipe financeira.
15 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
Medir é tão importante quanto treinar
Educação, no geral, é um processo em que a responsabilidade por
avançar é dividida entre o estudante, a docência e a instituição de
ensino. Cada parte possui a expectativa de que as outras farão o
melhor que podem no processo de aprendizado.
16 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
Alguns exemplos de fontes
NA PRÁTICA
que alimentam as métricas
SIMULAÇÕES DE ATAQUES
BASEADAS EM...
URLS
Medir a quantidade
de cliques em URLs
suspeitas antes e
depois de atividades
de educação e ARQUIVOS
conscientização pode ANEXADOS
ser um indicador A MENSAGENS
importante sobre a O mesmo vale
assimilação da cultura para o tratamento
de segurança. de anexos.
PHISHING
DIRECIONADO
As simulações de
phishing direcionado
(específico para aquela
vítima) podem oferecer
também ótimos dados
sobre o comportamento
dos usuários.
17 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
ESTUDO DE INFORMAÇÕES
EXPOSTAS PUBLICAMENTE
O estudo sobre os dados que
a empresa e as pessoas tornam
público também podem ser
uma ótima fonte indicadores.
REVISÃO DE
CONTROLE
DE SEGURANÇA
O mesmo vale
para mudanças na MESA LIMPA
permissão de pastas Avaliações periódicas sobre
no computador, quantos colaboradores limparam
chamados no suporte suas mesas e trancaram as gavetas
para a restrição e armários antes de sair também
de acessos, etc. operam com um indicador.
18 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
O Programa de Educação em Segurança
Segundo o NIST, conscientização é algo diferente de treinamento,
que também é distinto de educação. Quando fazemos
conscientização estamos chamando a atenção das pessoas para
uma situação, em treinamentos nós ensinamos habilidades e a
educação integra essas habilidades em torno de um determinado
tema. Por isso, para alcançar todo o seu potencial e gerar uma
cultura de segurança, é preciso combinar esses quatro elementos
em um programa: manter o foco nas metas, selecionar conteúdo de
acordo com o público alvo, formar embaixadores e recompensar
quem se esforça.
19 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
O programa precisa considerar a expansão, de modo a ter
material que ajude a mitigar riscos em várias áreas da organização
como conteúdos específicos para desenvolvedores de sistemas,
administradores de rede, executivos, dentre outros.
20 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
Algumas atividades que podem ser
NA PRÁTICA
incorporadas ao programa de educação
CARTAZES E MEMES
São ótimos para passar uma
mensagem simples e rápida, como:
• Manter a mesa limpa;
• Não compartilhar senhas;
• Bloquear o computador antes
de deixar o ambiente;
• Não fazer o reuso de senhas,
dentre outras.
SIMULAÇÃO DE PHISHING
GUIAS, CARTILHAS Estas simulações são um dos
E E-BOOKS meios mais eficientes de avaliar
o risco de ataques contra as
São excelentes quando
pessoas e consequentemente
escritos de maneira a ser uma
treiná-las. O El Pescador oferece
referência para a consulta
simulações com as seguintes
posterior e podem ser usados
características:
como um modo de as pessoas
terem contato com cada um • no clique em links suspeitos.
dentre os diversos temas da • na abertura de anexos
segurança, tais como: maliciosos.
• Manual da política de • na coleta de informações.
segurança;
• em phishing direcionado.
• Formas de identificar um
• na exploração da relação
ataque de phishing;
de confiança que o usuário
• Como configurar a tem com outras pessoas.
criptografia de e-mail;
• em vazamentos de dados.
• Guia sobre classificação da
• na entrega de malware.
informação, dentre outros.
21 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
PALESTRAS DE CONSCIENTIZAÇÃO
• A história da criptografia
As palestras cumprem a função de
para falar da importância
chamar a atenção das pessoas para
em codificar emails.
uma determinada pauta do programa
de conscientização. Elas podem atingir • As mais variadas formas
as expectativas do programa quando de proteger dinheiro no
conduzida por um especialista na área passado, para demonstrar
que imprima uma linguagem envolvente a complexidade em proteger
sobre temas específicos, por exemplo: dados na atualidade.
• Como um ataque de phishing
contra uma pessoa pode
acarretar no vazamento
de dados de uma empresa
inteira, dentre outros.
TREINAMENTOS
EVENTOS
Os treinamentos demandam
mais tempo e se aprofundam Eventos de segurança são
em assuntos de segurança. uma ótima maneira para
Eles podem ser desenvolvidos engajar a empresa toda de
com base nos seguintes temas: uma vez só. Eles alcançam
melhores resultados quando
• Segurança para Sysadmins; realizados com periodicidade
• Segurança no desenvolvimento definida, no mínimo anual,
de software; e se mesclam palestras com
atividades lúdicas, como
• Técnicas para a identificação
a realização de jogos e
de golpes de CEO fraud,
distribuição de brindes.
dentre outros.
22 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
parte 3
MOTO-
CONTÍNUO
23 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
T ratamos da definição de metas, da seleção das atividades e do
conteúdo presente no programa de educação em segurança
e dos passos para a execução de uma temporada do programa.
Tudo isso se assemelha a um projeto pois, em tese, tem começo,
meio e fim. Mas como tornar isso realmente vivo?
24 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
Repetir e reforçar
Também é recomendável que as áreas ligadas ao programa
selecionem temas que precisam ser reforçados a todo momento,
por exemplo, não fazer o reuso de senhas. O número de temas
precisa ser restrito para não confundir o público, porém os temas
precisam ser abordados de maneiras diversificadas (cartaz, e-mail,
meme, etc.) e muitas vezes no decorrer da temporada.
Cultura é vida
Nesse e-book pudemos explicar o que é uma cultura de segurança
e como ela se relaciona com a cultura de organizações dos mais
variados tamanhos e atividades.
25 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
um grupo de trabalho com papéis claros, a definição de metas
objetivas, o uso de métricas como a base de onde tudo acontece e
a criação e execução de um programa de educação em segurança
com abordagem específica para cada público alvo.
26 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A
27 D E S E N V O LV E N D O U M A C U LT U R A D E S E G U R A N Ç A