Djeane Souza| TURMA: FLC 2947 SPU

Unidade 2
PADRÃO, NORMAS E PLANO
Unidade 1 DE CONSCIENTIZAÇÃO EM
COLABORADORES E SEGURANÇA DA Unidade 3
COMPORTAMENTO INFORMAÇÃO VISÃO EXECUTIVA NA GESTÃO
SEGURO Tópicos DA SEGURANÇA DA
1. CONTROL OBJECTIVES FOR INFORMAÇÃO
Tópicos INFORMATION AND
1. ENTENDENDO A RELATED TECHNOLOGY Tópicos
INFORMAÇÃO, SUAS (COBIT) 1. VISÃO CORPORATIVA E
VULNERABILIDADES E 2. PRINCIPAIS NORMAS EM POSICIONAMENTO
AMEAÇAS SEGURANÇA DA HIERÁRQUICO
2. CONSCIENTIZAÇÃO E INFORMAÇÃO: ABNT NBR 2. MODELO DE GESTÃO
CULTURA ISO/IEC 27001:2013 E CORPORATIVA DE
ORGANIZACIONAL ABNT NBR ISO/IEC SEGURANÇA DA
3. PRÁTICAS 27002:2013 INFORMAÇÃO
RECOMENDADAS PARA 3. CICLO DE VIDA DO PLANO 3. POLÍTICAS E
IMPLEMENTAR UM DO PROGRAMA DE REGULAMENTOS DE
PROGRAMA DE CONSCIENTIZAÇÃO E SEGURANÇA DA
CONSCIENTIZAÇÃO DE TREINAMENTO ADAPTADO INFORMAÇÃO
SEGURANÇA DA EDIÇÃO ESPECIAL 800-
50 DO NATIONAL
INSTITUTE OF STANDARDS
AND TECHNOLOGY (NIST)
 » A informação está presente nas organizações em diferentes formatos:
impressa, eletrônica, falada, vídeo, imagem etc., assim como a
informação pode ser transmitida por voz ou por correio eletrônico.
TÓPICO 1
» A informação precisa ser protegida independente do seu tipo e
» ENTENDENDO A INFORMAÇÃO, SUAS
VULNERABILIDADES E AMEAÇAS formato.

» As informações mantidas e processadas por uma organização estão

sujeitas a ameaças de ataques, de erros, de natureza, assim como elas
estão sujeitas a vulnerabilidades inerentes ao uso que fazemos da
informação.

» Os erros podem ser intencionais ou não intencionais.

» As ameaças de natureza podem ser do tipo de incêndio, enchente e afins.

 » Autenticidade: garantir a verdadeira autoria, garantindo que a informação foi
criada, expedida, alterada, removida por determinado órgão, sistemas ou

TÓPICO 1 entidade.

» ENTENDENDO A » A Irretratabilidade: visa garantir a autoria da informação fornecida, para que

INFORMAÇÃO, SUAS
VULNERABILIDADES E uma pessoa ou entidade não negue alguma ação, como, por exemplo: assinar
AMEAÇAS
ou mesmo criar um documento ou arquivo.

» A Responsabilidade: garantir que a pessoa responda por seus atos, inclusive

diante da lei.

» A Privacidade se refere ao sistema “[...] obedecer à legislação (em termos de

privacidade) e deve permitir aos indivíduos controlar, sempre que possível, as suas
informações pessoais” (MACHADO JÚNIOR, 2018, p. 70).
 » A Auditabilidade se refere a, “[...] capacidade de conduzir monitoramento

persistente de todas ações realizadas por seres humanos e máquinas no

TÓPICO 1
ambiente” (MACHADO JÚNIOR, 2018, p. 70).
» ENTENDENDO A INFORMAÇÃO, SUAS
VULNERABILIDADES E AMEAÇAS » A vulnerabilidade está diretamente relacionada ao ponto fraco de um

ativo. Portanto, podemos entender a vulnerabilidade como uma

fragilidade.

» As vulnerabilidades podem ser físicas, naturais, hardware, software, meios

de armazenamento, comunicação, humana.

Informação é um ativo intangível fundamental para a
sobrevivência da organização e desta forma precisa ser mantida
segura.
Segundo Pivot Point Security (2020), estima-se que até 75% das
violações de uma organização sejam atribuídas a falhas humanas
na É necessário treinamento formal de conscientização de
segurança da informação para cada colaborador, de uma a duas
vezes por ano.
• As ameaças acidentais dizem respeito
aos desastres naturais, são falhas de
hardware, erros de programação etc.

• Já as ameaças propositais se referem

às fraudes, roubos, invasões etc.,
podendo ser do tipo ativa ou passiva.
• A ameaça ativa envolve alterar
os dados.

• A ameaça passiva diz respeito à

invasão e/ou ao
monitoramento, em que os
dados não são alterados.
Falhas humanas: O elo mais fraco em muitas arquiteturas de
segurança cibernética é o elemento humano. Os erros do usuário
podem facilmente expor dados confidenciais, criar pontos de acesso
exploráveis para invasores ou interromper sistemas. 

Vulnerabilidades de Rede: Esses são problemas com

o hardware ou software de uma rede que a expõem a uma possível
invasão de terceiros. Os exemplos incluem pontos de acesso Wi-Fi
inseguros, firewalls mal configurados e falhas de arquitetura.  
Vulnerabilidades de Aplicações:
vulnerabilidades de softwares ou sistema operacional, expõe o negócio
a riscos de segurança que possam ser utilizadas para ataques, como
roubo de dados e sequestro de informações. Um exemplo
comum são softwares desatualizados ou mal estruturados. 

Vulnerabilidades de Processo: algumas vulnerabilidades podem

ser controladas por processos e procedimentos específicos. As políticas
de segurança da informação muitas vezes parecem super protetoras ou
até mesmo desnecessárias, mas grandes invasões geralmente se
iniciam de pequenas brechas. 
 Como encontrar vulnerabilidades de segurança:
• Defina o que é necessário proteger; 
• Estabeleça metas para a segurança geral; 
• Identifique as principais fontes de ameaças; 
• Refine as proteções de segurança cibernética; 
• Escolha feeds de inteligência de ameaças apropriados para monitorar ameaças
cibernéticas e estratégias de ataque novas e emergentes. 
 » Dentre as ameaças existentes é necessário atenção aos códigos maliciosos:

TÓPICO » Vírus - programa ou parte de um programa de computador, o qual se propaga por meio

1 de cópias de si mesmo, infectando outros programas e arquivos de computador.

» Cavalo de troia - programa que executa funções maliciosas sem o conhecimento do

» ENTENDENDO A
INFORMAÇÃO, usuário.
SUAS
VULNERABILIDA » Adware - software projetado para apresentar propagandas, seja por meio de um
DES E AMEAÇAS
navegador, seja com algum outro programa instalado em um computador.

» Keyloggers - programas capazes de capturar e armazenar as teclas digitadas pelo usuário

no teclado de um computador.

» Worm -programa capaz de se propagar de forma automática por meio de redes,

enviando cópias de si mesmo de computador para computador.
 » Bot - programa capaz se propagar de maneira automática, explorando vulnerabilidades
existentes ou falhas na configuração de softwares instalados em um computador.
TÓPICO 1
» ENTENDENDO A
» Botnets -redes formadas por computadores infectados com bots.
INFORMAÇÃO, SUAS
VULNERABILIDADES E » Roorkit -conjunto de programas que utiliza mecanismos para esconder e assegurar a
AMEAÇAS
presença do invasor no computador comprometido.

» O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as

organizações, geralmente com a intenção de obter informações.

» Ataque é “[...] qualquer ação que comprometa a segurança de uma organização”

(COELHO; ARAÚJO; BEZERRA, 2014, p. 3).
 » O ataque pode ser do tipo ativo ou passivo e podem existir quatro
modelos de ataques: interrupção, interceptação, modificação e
fabricação.
» Incidente de segurança é um evento simples ou até uma série de
TÓPICO 1 eventos de segurança da informação que não desejadas ou não
apropriados, bem como possivelmente comprometem as operações do
negócio da organização, ameaçando a segurança da informação.
» ENTENDENDO A
INFORMAÇÃO, SUAS » Impacto é a “[...] consequência avaliada de um evento em particular”
VULNERABILIDADES E (COELHO; ARAÚJO; BEZERRA, 2014, p. 3) e a probabilidade “[...] é a
AMEAÇAS possibilidade de uma falha de segurança acontecer, observando-se o
grau de vulnerabilidade encontrada nos ativos” (TORRES, 2015, p. 17).
» As probabilidades são provavelmente as oportunidades de uma
vulnerabilidade ser uma ameaça.
» A informação precisa ser classificada e essa classificação contribui para
a manutenção dos princípios básicos da segurança.
» Ao classificar uma informação deve-se levar em conta “[...] o seu valor,
requisitos legais, sensibilidade e criticidade para a organização”
(DANTAS, 2011, p. 15).
 » As classificações são a fins pedagógicos, pois cada organização
deve adaptar o nível de sigilo da informação de acordo com a
realidade de seu negócio e deve divulgar amplamente, para que
seus colaboradores saibam o significado de cada nível da
TÓPICO 1 informação e como lidar com eles.
» A informação pode ser classificada como confidencial, restrita,
» ENTENDENDO A interna e pública.
INFORMAÇÃO, SUAS
VULNERABILIDADES E » A informação confidencial diz respeito a ela não ser divulgada
AMEAÇAS sem autorização, podendo causar impactos de imagem, em
âmbitos financeiros e/ou operacional, assim como sanções
administrativas, criminosas e civis.
» A informação é classificada como restrita por ser considerada um
ativo “[...] para a empresa, ou por se tratar de conhecimento
exclusivo, ou por normativos externos” (SCHNEIDER, 2015, p.
38).
» O acesso ao conteúdo da informação restrita “[...] por pessoas
ou processos não autorizados, pode gerar perdas para a
organização” (SCHNEIDER, 2015, p. 38).
 » A informação interna é referente à organização não ter interesse de
divulgar a informação, contudo, ela é fundamental para a pessoas
internas da organização.
» A informação pública possui tanto uma linguagem quanto um formato
TÓPICO 1 feito à divulgação do público em geral.
» A seriedade adotada ao classificar as informações atribui mais chances
» ENTENDENDO A de a organização ser bem-sucedida na proteção das informações.
INFORMAÇÃO, SUAS » O processo de segurança da informação e de sua proteção deve ser vista
VULNERABILIDADES E por meio de uma abordagem profissional.
AMEAÇAS
 » Em cibernética, o elemento humano é considerado o elo mais fraco da
segurança, contudo, há formas significativas de reduzir o risco.
» Os ataques estão presentes no cotidiano das pessoas e das
TÓPICO 2 organizações, sendo necessário que os colaboradores se tornem
firewalls humanos.
» Os hackers estão plenamente conscientes de que o erro humano é o
» PADRÃO, NORMAS E PLANO fruto que eles podem explorar para obter acesso irrestrito até às mais
DE CONSCIENTIZAÇÃO EM sofisticadas infraestruturas técnicas.
SEGURANÇA DA
INFORMAÇÃO » “Um dos principais problemas que a segurança da informação deve
tratar é a segurança em pessoas. A cooperação dos usuários é
essencial para a eficácia da segurança” (RABELO JÚNIOR; VIEIRA, 2015,
p. 47).
» O fator humano é quem mais exerce impacto referente aos princípios
da segurança da informação da tríade CID.
» “A solução efetiva para integrar pessoas requer ações gradativas e
constantes visando criar e fortalecer a cultura de segurança da
informação” (RABELO JÚNIOR; VIEIRA, 2015, p. 47).
 » As pessoas geralmente mudam a maneira de se portarem quando
estão em situações de risco, e suas decisões são fundamentadas em
situações que exigem confiança.
» A informação é o melhor jeito de enfrentar a engenharia social. Dessa
TÓPICO 2 forma, os colaboradores de uma organização precisam estar bem
informados referente à engenharia social.
» PADRÃO, NORMAS E PLANO » O termo engenharia social é usado para caracterizar aquelas intrusões
DE CONSCIENTIZAÇÃO EM que não forem técnicas, enfatizando a interação humana.
SEGURANÇA DA
INFORMAÇÃO » A engenharia social está relacionada a ter habilidade de iludir as
pessoas com o objetivo que os procedimentos de segurança da
informação sejam violados.
» O engenheiro social é aquele que utiliza a influência, a fraude e a
persuasão contra as organizações, geralmente com a intenção de obter
informações.
» Grifter é aquela pessoa que visa enganar pessoas, enquanto o
engenheiro social visa enganar as organizações.
 » Phishing é um tipo de engenharia social na tentativa de se obter
informações confidenciais, por exemplo, senhas, nomes de usuário,
detalhes do cartão de pagamento, de uma pessoa por um canal de bate-
papo, um fórum, por e-mail e afins. O agressor geralmente finge ser
alguém confiável ou conhecido do indivíduo.
TÓPICO 2 » Acesso privilegiado é referente aos usuários que possuem direito de acesso
acima de um usuário normal.
» PADRÃO, NORMAS E PLANO » O acesso privilegiado é geralmente concedido aos usuários que precisam
DE CONSCIENTIZAÇÃO EM executar funções de nível administrativo ou acessar dados confidenciais, que
SEGURANÇA DA podem incluir o acesso aos dados do titular do cartão.
INFORMAÇÃO
» O acesso privilegiado pode incluir acesso físico e/ou lógico.
» Todos os colaboradores, sem exceção, precisam estar cientes das ameaças
comuns, para que, no mínimo, não sejam vítimas fáceis de golpes e tentativas do
engenheiro social/phishing.
» Os colaboradores que possuem conscientização quando são vítimas de ataques
mais sofisticados pelos engenheiros sociais conseguem minimizar os efeitos dos
ataques, reunindo informações necessárias e notificando o departamento
apropriado por meio dos canais certos.
 » A organização depende de seus colaboradores para promover uma
cultura consciente da segurança, reduzir riscos e prevenir ameaças
cibernéticas.
» É fundamental que exista a inclusão de conscientização de ataques de
TÓPICO 2 engenharia social.
» Uma maneira de um invasor usar a engenharia social é adquirir as
» PADRÃO, NORMAS E PLANO credenciais de um usuário e percorrer a organização de uma área de
DE CONSCIENTIZAÇÃO EM baixa segurança para uma área de alta segurança.
SEGURANÇA DA » Os colaboradores devem estar cientes dos métodos comuns pelos
INFORMAÇÃO
quais fraudadores, hackers ou outras pessoas mal-intencionados
podem tentar obter credenciais, dados de cartão de pagamento e
outros dados confidenciais, para minimizar o risco de o pessoal
disseminar informações confidenciais involuntariamente a terceiros.
 » A pessoa que é a vítima de uma extorsão é como uma marionete, só
que manipulada pelo homem. Para isso, basta apenas que o
engenheiro social (fraudador) consiga a confiança da pessoa, por meio
de um conhecimento mínimo da organização para obter a informação
quista.
TÓPICO 2 » Ao se tratar de pessoas, precisamos lembrar que seres humanos “[...]
são imperfeitos e situações de risco modificam os comportamentos
» PADRÃO, NORMAS E PLANO naturais e decisões serão fortemente baseadas em confiança ou grau
DE CONSCIENTIZAÇÃO EM de criticidade da situação” (RABELO JÚNIOR; VIEIRA, 2015, p. 52).
SEGURANÇA DA
INFORMAÇÃO » A organização precisa treinar e educar seus colaboradores referente
aos ativos da informação e como elas devem ser protegidas, para que
os ataques de engenharia social sejam identificados como situações
de risco.
» Para criar e disseminar essa consciência as organizações devem criar e
divulgar suas políticas, normas e procedimentos de segurança da
informação por meio de um plano (programa) de treinamento e
conscientização constantes.
 » Um programa de conscientização de segurança robusto e
implementado adequadamente auxilia a organização na educação,
monitoramento e manutenção contínua da conscientização de
segurança dentro da organização.
TÓPICO 2 » As políticas de segurança são instruções claras que fornecem as
orientações de comportamento do colaborador, visando proteger as
informações.
» PADRÃO, NORMAS E PLANO
DE CONSCIENTIZAÇÃO EM » Os controles efetivos de segurança devem ser definidos, tanto nos
SEGURANÇA DA procedimentos quanto nas políticas implementadas pelo treinamento
INFORMAÇÃO dos colaboradores.
» Ao desenvolver uma política de segurança, deve-se levar em
consideração que existem colaboradores que não têm conhecimento
da linguagem técnica.
» Jargões técnicos não devem ser utilizados para que o documento seja
de fácil entendimento por qualquer colaborador.
» Os colaboradores devem ser aconselhados sobre as consequências do
não cumprimento dos procedimentos e das políticas de segurança.
 » O objetivo central de um programa de conscientização referente à
segurança deve influenciar as pessoas para que elas mudem seu
comportamento e suas atitudes, motivando cada colaborador a
querer entrar no programa e fazer a sua parte para proteger os ativos
de informações da organização.
TÓPICO 2 » Alguns exercícios seguros que devem ser incorporados, são: política de
secretaria limpa ou mesa limpa; política de traga seu próprio dispositivo,
» PADRÃO, NORMAS E PLANO também conhecida como Bring Your Own Device (BYOD), gerenciamento de
DE CONSCIENTIZAÇÃO EM dados, mídia removível, hábitos seguros da internet, segurança física e
SEGURANÇA DA controles ambientais, perigos de redes sociais, golpes por e-mail, Malware e
INFORMAÇÃO Hoaxes.
» Política de secretaria limpa ou mesa limpa são informações sensíveis em uma
mesa, como notas adesivas, papéis e impressões, podem ser facilmente
capturadas por mãos indevidas e vistas por olhares indiscretos.
» Durante o almoço ou qualquer partida de emergência durante o horário de
expediente, todas as informações críticas devem ser colocadas em uma
gaveta trancada.
 » BYOD abrange os bens de computação pessoal dos colaboradores que
podem ser usados em um ambiente de trabalho.
» BYOD podem incluir dispositivos móveis, reprodutores de áudio,
câmeras digitais e vários outros dispositivos eletrônicos portáteis que
TÓPICO 2 podem ser utilizados para roubar dados confidenciais.
» Os BYODs também fazem parte da "consumerização de TI", pela qual o
» PADRÃO, NORMAS E PLANO
hardware e/ou software de um consumidor é trazido para a
DE CONSCIENTIZAÇÃO EM organização.
SEGURANÇA DA » Os colaboradores devem aprender todos os tipos de dados, para que
INFORMAÇÃO possam entender o valor da informação para o negócio da
organização.
» Existem vários tipos de dados, como uma cópia de backup dos contratos dos
clientes ou declarações de missão, e muitos colaboradores podem não estar
cientes desse fato.
» Mídia removível não autorizada pode convidar problemas de segurança de
dados, infecção por Malware, falha de hardware e violação de direitos
autorais.
 » Mídia removível não autorizada pode ser um convite para problemas
de segurança de dados, infecção por Malware, falha de hardware e
violação de direitos autorais.
» A equipe corporativa deve ser informada sobre as ameaças à mídia
TÓPICO 2 removível não solicitada e proibir o acesso de qualquer mídia perdida,
como um disco rígido externo.
» O uso seguro da internet é de suma importância para as organizações.
» PADRÃO, NORMAS E PLANO
Os programas de conscientização em segurança devem incorporar
DE CONSCIENTIZAÇÃO EM
SEGURANÇA DA hábitos seguros da internet, evitando a invasão na rede corporativa.
INFORMAÇÃO » Colaboradores devem estar familiarizados com ataques de phishing e
aprender a não abrir anexos maliciosos ou clicar em links suspeitos.
» Colaboradores devem ter o comportamento seguro de desativar as
janelas pop-up, pois elas convidam a riscos.
» Colaboradores devem ter o comportamento seguro de abster-se de
instalar programas de software de fontes desconhecidas,
especialmente links infectados por Malware.
 » Exemplos de questões espaciais no comportamento seguro para se ter
segurança física incluem:
» visitantes ou novos contratados assistindo aos colaboradores digitarem
senhas;
TÓPICO 2 » entrada de visitantes que alegam ser inspetores, exterminadores ou
outros visitantes incomuns que possam procurar entrar no sistema;
» deixar senhas em pedaços de papel na mesa;
» PADRÃO, NORMAS E PLANO » deixar o computador ligado e não protegido por senha ao sair do
DE CONSCIENTIZAÇÃO EM trabalho durante a noite;
SEGURANÇA DA
INFORMAÇÃO » deixar um telefone ou dispositivo pelo escritório à vista.
» Os colaboradores devem ser cautelosos ao entrarem no prédio e deixarem
pessoas desconhecidas entrarem ou saírem nesse momento.
» É importante que o colaborador tenha o hábito do comportamento seguro e relate às
devidas autoridades situações como: perceber que uma porta habilitada para cartão-
chave está presa e se abre mesmo sem a devida autorização ou se uma câmera de
segurança aparentemente está danificada ou desligada.
 » As redes sociais também abrem as portas para ataques de phishing,
que podem levar organização a um imenso desastre.
» Para evitar a perda de dados críticos, a organização deve ter um
programa viável de treinamento em redes sociais, limitando o uso
TÓPICO 2 dessas redes e orientando os colaboradores em relação à ameaça de
ataques de phishing.
» PADRÃO, NORMAS E PLANO » Um e-mail fraudulento atrai um usuário para a oferta gratuita, oportunidades
DE CONSCIENTIZAÇÃO EM de negócios falsas, empréstimos ou créditos garantidos, dinheiro fácil,
SEGURANÇA DA esquemas de saúde e dieta e assim por diante.
INFORMAÇÃO » Os tipos de Malware vistos na conscientização devem incluir adware,
spyware, vírus, Trojans, backdoors, rootkits, ransomware, botnets, bombas
lógicas e vírus blindados.
» Uma farsa é definida como uma falsidade ou engano fabricada
deliberadamente para subterfúgio e vitimização dos usuários.
» Uma conscientização útil é aquela que ensina seus colaboradores sobre as
possíveis fraudes.
 » O comportamento seguro referente aos golpes por e-mail envolve:
» não confiar em e-mail não solicitado;
» não enviar fundos para pessoas que os solicitem por e-mail,
principalmente antes de verificar com a liderança;
TÓPICO 2 » filtrar spam;
» configurar o cliente de e-mail corretamente;
» instalar um programa antivírus e firewall e os manterem atualizados;
» PADRÃO, NORMAS E PLANO
DE CONSCIENTIZAÇÃO EM » não clicar em links desconhecidos em mensagens de e-mail;
SEGURANÇA DA » cuidar com anexos de e-mail.
INFORMAÇÃO
» É importante que os colaboradores saibam que em algum momento eles
podem receber uma ligação telefônica ou outra comunicação que será utilizará
das abordagens do engenheiro social (atacante) como parte de tal testes.
» A engenharia social é difícil de ser evitada, contudo, é necessária uma
conscientização contínua para que os colaboradores sempre saibam quais são
as novas abordagens utilizadas e como lidar com cada uma delas.
» A gestão dos perfis de acesso após a contratação dos colaboradores também
deve ser constantemente realizada.
 » A conscientização de segurança da informação da organização deve ser
tratada como um processo de melhoria continuada, garantindo que o
treinamento e o conhecimento sejam mantidos diariamente em alto
nível de conscientização de segurança.

TÓPICO 3 » A proteção de dados do titular do cartão (Card Holder Data – CHD)

deve fazer parte do programa de conscientização sobre segurança da
informação em toda a organização.
» PRÁTICAS RECOMENDADAS » Garantir que a equipe esteja ciente da importância da segurança dos
PARA IMPLEMENTAR UM dados do titular do cartão é importante para o sucesso de um
PROGRAMA DE programa de conscientização de segurança.
CONSCIENTIZAÇÃO DE
SEGURANÇA » Um aspecto crítico da conscientização é determinar o tipo de conteúdo
que será utilizado.
» Determinar as diferentes funções dentro de uma organização é o
primeiro passo para desenvolver um conteúdo apropriado e determinar
as informações que devem estar inclusas na conscientização.
» Estabelecer uma lista de verificação pode ajudar uma organização a
desenvolver, monitorar e/ou manter um programa de treinamento de
conscientização de segurança de forma eficaz.
 » O primeiro passo para criar um plano de programa de conscientização
é montar uma equipe de conscientização.
» A equipe de conscientização é responsável pelo desenvolvimento,
entrega e manutenção do programa de conscientização de segurança.
TÓPICO 3 » A equipe de conscientização deve ser formada por pessoas de
diferentes áreas e com responsabilidades diferentes, representando
» PRÁTICAS RECOMENDADAS
uma seção transversal da organização.
PARA IMPLEMENTAR UM » A presença de uma equipe ajudará a garantir o sucesso do programa
PROGRAMA DE de conscientização de segurança por meio da atribuição de
CONSCIENTIZAÇÃO DE responsabilidade pelo programa.
SEGURANÇA
» O tamanho e a participação da equipe de conscientização de
segurança dependerão das necessidades específicas de cada
organização e de sua cultura.
» A conscientização de segurança baseada em funções provê às
organizações realizarem o treinamento nos níveis apropriados,
baseando-se em suas funções de trabalho.
 » A primeira tarefa ao definir um programa de conscientização de
segurança baseado em funções é agrupar indivíduos de acordo com
suas funções, ou seja, conforme as funções de trabalho, na organização.
» O plano do programa de conscientização pode ser pensado para três
TÓPICO 3 tipos de funções: Todo o pessoal, Funções especializadas e Gestão
(Gerência).
» Um programa sólido de conscientização ajudará todas as pessoas da
» PRÁTICAS RECOMENDADAS organização a reconhecerem ameaças, verem a segurança como
PARA IMPLEMENTAR UM benéfica para a tomar como hábito no trabalho e em casa, e se
PROGRAMA DE sentirem confortáveis em relatarem possíveis problemas de segurança.
CONSCIENTIZAÇÃO DE
SEGURANÇA » O treinamento adicional para aqueles em Funções Especializadas deve
se concentrar na obrigação das pessoas seguirem procedimentos
seguros para lidar com informações confidenciais e reconhecer os riscos
associados se o acesso privilegiado for mal utilizado.
» A gerência precisa entender a política de segurança da organização e os
requisitos de segurança suficientemente bem, para que possam discutir
e reforçar positivamente a mensagem para a equipe, assim como
incentivar a conscientização, reconhecer e resolver problemas
relacionados à segurança, caso ocorram.
 » Os gerentes da equipe com acesso privilegiado devem ter
um entendimento sólido dos requisitos de segurança de
sua equipe, especialmente aqueles com acesso a dados
confidenciais.

TÓPICO 3 » Estabelecer um nível mínimo de conscientização para todo

o pessoal pode ser a base do programa de conscientização
de segurança.
» PRÁTICAS RECOMENDADAS » O programa de conscientização sobre segurança deve ser
PARA IMPLEMENTAR UM ministrado de maneira que se adapte à cultura geral de
PROGRAMA DE
organização e que tenha o maior impacto para as pessoas
CONSCIENTIZAÇÃO DE
SEGURANÇA da organização.
» A chave para um programa eficaz de conscientização de
segurança é direcionar a entrega de material relevante ao
público apropriado de maneira oportuna e eficiente.
» Ao disseminar o treinamento de conscientização sobre
segurança por meio de vários canais de comunicação, a
organização garante que o pessoal seja exposto à mesma
informação várias vezes de diferentes maneiras.
» O canal de comunicação usado deve corresponder ao
público que recebe o conteúdo do treinamento e o tipo de
conteúdo, bem como o próprio conteúdo.
 » Os métodos de comunicação eletrônica podem ser de
notificações por e-mail, e-Learning, mídia social interna
etc.
» As notificações não eletrônicas podem ser na forma de
TÓPICO 3 pôsteres, malas diretas internas, boletins e eventos de
treinamento ministrados por instrutores.
» Eventos pessoais de conscientização de segurança
» PRÁTICAS RECOMENDADAS envolvendo a participação ativa do pessoal podem ser
PARA IMPLEMENTAR UM extremamente eficazes.
PROGRAMA DE
CONSCIENTIZAÇÃO DE » A inclusão de atividades envolvendo o público, como
SEGURANÇA atividades baseadas em cenários, ajudam a garantir que os
conceitos sejam entendidos e lembrados.
» Um exercício estruturado de engenharia social ensinará
aos colaboradores de forma rápida a identificar um ataque
de engenharia social e reagir adequadamente.
» Seminários internos, treinamento fornecido durante os
intervalos para o almoço, comumente chamado de
"almoce e aprenda" e eventos sociais dos colaboradores
também são ótimas oportunidades para a equipe de
conscientização de segurança interagir com o pessoal e
introduzir conceitos de segurança.
 » O tamanho da audiência em uma apresentação liderada
por instrutor é importante: quanto maior o grupo, maior
o risco de que o conteúdo não seja comunicado
efetivamente, pois os indivíduos podem perder o foco no
material apresentado se não se sentirem envolvidos.
TÓPICO 3 » A comunicação da conscientização sobre segurança deve
ser incluída nos processos de novos contratados, bem
» PRÁTICAS RECOMENDADAS como quando os colabores mudam de função.
PARA IMPLEMENTAR UM
PROGRAMA DE » O treinamento de conscientização de segurança pode ser
CONSCIENTIZAÇÃO DE combinado com outros requisitos organizacionais, como
SEGURANÇA acordos de confidencialidade e ética.
» É recomendável que todos os colaboradores recebam
treinamento básico de conscientização sobre segurança,
desenvolvido de acordo com a política organizacional.
» Além do treinamento geral de conscientização sobre
segurança, recomenda-se que a equipe seja exposta a
conceitos gerais de segurança de dados do titular do
cartão, promovendo o manuseio adequado dos dados
em toda a organização e conforme sua função na
organização.
 » Embora o plano do programa de conscientização em
segurança da informação de uma organização
geralmente é específico e personalizado, é aconselhável
que a organização incorpore as melhores práticas da
área, utilizando materiais de referência confiáveis.
TÓPICO 3 » Publicação Especial 800-50 do Instituto Nacional de
Padrões e Tecnologia (NIST), Organização Internacional
» PRÁTICAS RECOMENDADAS de Padrões (ISO) 27002: 2013, Organização Internacional
PARA IMPLEMENTAR UM de Padrões (ISO) 27001: 2013 e COBIT são materiais de
PROGRAMA DE referência confiáveis e que as práticas contidas devem
CONSCIENTIZAÇÃO DE ser incorporadas no plano de conscientização.
SEGURANÇA
» Cada organização deve considerar o tempo, os recursos e
a cultura ao selecionar os materiais a serem usados no
treinamento de conscientização sobre segurança.
» Shoulder surfing é o “espiar sobre os ombros”, ou seja,
este tipo de ataque é ocasionado quando umas das
pessoas envolvidas consegue (ou é capaz de) olhar sobre
o ombro de outra pessoa e/ou espionar a tela do outro.
» Dumpster Diving (ou trashing) é o termo utilizado para a
ação de hackers que vasculham a lixeira.
 » As métricas podem ser uma ferramenta eficaz para
medir o sucesso de um programa de conscientização de
segurança e fornecer informações para manter o
programa de conscientização de segurança atualizado e
eficaz.
TÓPICO 3 » Data Loss Prevention (DLP) ou prevenção de perdas de
dados é um conjunto de ferramentas e processos
» PRÁTICAS RECOMENDADAS utilizados com o objetivo de certificar que os dados
PARA IMPLEMENTAR UM confidenciais não sejam perdidos, ou utilizados de forma
PROGRAMA DE indevida ou ainda que não sejam acessados por usuários
CONSCIENTIZAÇÃO DE sem autorização.
SEGURANÇA
» Ter uma lista de verificação pode auxiliar as organizações
a realizarem o planejamento e o gerenciamento do
programa treinamento de conscientização sobre
segurança.
» A lista de verificação deve ser realizada para cada uma
das quatro etapas do programa, sendo: criando o
programa de conscientização, implementando a
conscientização, sustentando a conscientização de
segurança e documentando o programa de
conscientização.
 » Ataques na internet acontecem por diferentes objetivos,
alvos e são utilizadas as mais variadas técnicas.
» Os códigos Malware são programas que foram escritos
de forma específica com objetivo de causar dano e
TÓPICO 3 tarefas maliciosas em um computador.
» Algumas das várias maneiras como os Malware podem
» PRÁTICAS RECOMENDADAS infectar um computador.
PARA IMPLEMENTAR UM
PROGRAMA DE
CONSCIENTIZAÇÃO DE
SEGURANÇA