Conscientização em segurança da Informação

Prévia do material em texto

<p>Indaial – 2020</p><p>Informação</p><p>Prof.ª Simone Erbs da Costa</p><p>1a Edição</p><p>ConsCIentIzação em</p><p>segurança da</p><p>Elaboração:</p><p>Prof.ª Simone Erbs da Costa</p><p>Copyright © UNIASSELVI 2020</p><p>Revisão, Diagramação e Produção:</p><p>Equipe Desenvolvimento de Conteúdos EdTech</p><p>Centro Universitário Leonardo da Vinci – UNIASSELVI</p><p>Ficha catalográfica elaborada pela equipe Conteúdos EdTech UNIASSELVI</p><p>Impresso por:</p><p>C837c</p><p>Costa, Simone Erbs da</p><p>Conscientização em segurança da informação. / Simone Erbs da</p><p>Costa. – Indaial: UNIASSELVI, 2020.</p><p>306 p.; il.</p><p>ISBN 978-65-5663-076-2</p><p>1. Segurança da informação. – Brasil. Centro Universitário Leonardo Da</p><p>Vinci.</p><p>CDD 004</p><p>Caro acadêmico, estamos iniciando o estudo da Conscientização em Segurança</p><p>da Informação. Esta disciplina objetiva conscientizar a importância de se ter um plano</p><p>de segurança da informação e a conscientização de colaboradores do comportamento</p><p>seguro, bem como entender a visão executiva na gestão da segurança da informação</p><p>de dados.</p><p>Este livro conta com diversos recursos didáticos externos. Portanto, recomen-</p><p>damos que você realize todos os exemplos e exercícios resolvidos para um aproveita-</p><p>mento excepcional da disciplina.</p><p>No contexto apresentado, o livro Conscientização em Segurança da Informação</p><p>está dividido em três unidades: Unidade 1 — Colaboradores e comportamento seguro;</p><p>Unidade 2 — Padrão, normas e plano de conscientização em segurança da informação;</p><p>Unidade 3 — Visão executiva na gestão da segurança da informação.</p><p>Aproveitamos a oportunidade para destacar a importância de desenvolver as</p><p>autoatividades, lembrando que essas atividades não são opcionais. Elas objetivam a</p><p>fixação dos conceitos apresentados. Em caso de dúvida, na realização das atividades,</p><p>sugerimos que você entre em contato com seu tutor externo ou com a tutoria da</p><p>UNIASSELVI, não prosseguindo sem ter sanado todas as dúvidas.</p><p>Bom estudo! Sucesso na sua trajetória acadêmica e profissional!</p><p>Prof.ª Simone Erbs da Costa</p><p>APRESENTAÇÃO</p><p>Olá, acadêmico! Para melhorar a qualidade dos materiais ofertados a você – e</p><p>dinamizar, ainda mais, os seus estudos –, nós disponibilizamos uma diversidade de QR Codes</p><p>completamente gratuitos e que nunca expiram. O QR Code é um código que permite que você</p><p>acesse um conteúdo interativo relacionado ao tema que você está estudando. Para utilizar</p><p>essa ferramenta, acesse as lojas de aplicativos e baixe um leitor de QR Code. Depois, é só</p><p>aproveitar essa facilidade para aprimorar os seus estudos.</p><p>GIO</p><p>QR CODE</p><p>Olá, eu sou a Gio!</p><p>No livro didático, você encontrará blocos com informações</p><p>adicionais – muitas vezes essenciais para o seu entendimento</p><p>acadêmico como um todo. Eu ajudarei você a entender</p><p>melhor o que são essas informações adicionais e por que você</p><p>poderá se beneficiar ao fazer a leitura dessas informações</p><p>durante o estudo do livro. Ela trará informações adicionais</p><p>e outras fontes de conhecimento que complementam o</p><p>assunto estudado em questão.</p><p>Na Educação a Distância, o livro impresso, entregue a todos</p><p>os acadêmicos desde 2005, é o material-base da disciplina.</p><p>A partir de 2021, além de nossos livros estarem com um</p><p>novo visual – com um formato mais prático, que cabe na</p><p>bolsa e facilita a leitura –, prepare-se para uma jornada</p><p>também digital, em que você pode acompanhar os recursos</p><p>adicionais disponibilizados através dos QR Codes ao longo</p><p>deste livro. O conteúdo continua na íntegra, mas a estrutura</p><p>interna foi aperfeiçoada com uma nova diagramação no</p><p>texto, aproveitando ao máximo o espaço da página – o que</p><p>também contribui para diminuir a extração de árvores para</p><p>produção de folhas de papel, por exemplo.</p><p>Preocupados com o impacto de ações sobre o meio ambiente,</p><p>apresentamos também este livro no formato digital. Portanto,</p><p>acadêmico, agora você tem a possibilidade de estudar com</p><p>versatilidade nas telas do celular, tablet ou computador.</p><p>Preparamos também um novo layout. Diante disso, você</p><p>verá frequentemente o novo visual adquirido. Todos esses</p><p>ajustes foram pensados a partir de relatos que recebemos</p><p>nas pesquisas institucionais sobre os materiais impressos,</p><p>para que você, nossa maior prioridade, possa continuar os</p><p>seus estudos com um material atualizado e de qualidade.</p><p>ENADE</p><p>LEMBRETE</p><p>Olá, acadêmico! Iniciamos agora mais uma</p><p>disciplina e com ela um novo conhecimento.</p><p>Com o objetivo de enriquecer seu conheci-</p><p>mento, construímos, além do livro que está em</p><p>suas mãos, uma rica trilha de aprendizagem,</p><p>por meio dela você terá contato com o vídeo</p><p>da disciplina, o objeto de aprendizagem, materiais complementa-</p><p>res, entre outros, todos pensados e construídos na intenção de</p><p>auxiliar seu crescimento.</p><p>Acesse o QR Code, que levará ao AVA, e veja as novidades que</p><p>preparamos para seu estudo.</p><p>Conte conosco, estaremos juntos nesta caminhada!</p><p>Acadêmico, você sabe o que é o ENADE? O Enade é um</p><p>dos meios avaliativos dos cursos superiores no sistema federal de</p><p>educação superior. Todos os estudantes estão habilitados a participar</p><p>do ENADE (ingressantes e concluintes das áreas e cursos a serem</p><p>avaliados). Diante disso, preparamos um conteúdo simples e objetivo</p><p>para complementar a sua compreensão acerca do ENADE. Confira,</p><p>acessando o QR Code a seguir. Boa leitura!</p><p>SUMÁRIO</p><p>UNIDADE 1 - COLABORADORES E COMPORTAMENTO SEGURO ........................................ 1</p><p>TÓPICO 1 - ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS .....3</p><p>1 INTRODUÇÃO .......................................................................................................................3</p><p>2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO ......................4</p><p>2.1 ATIVOS DE INFORMAÇÃO ....................................................................................................................8</p><p>2.2 VULNERABILIDADES DA INFORMAÇÃO .......................................................................................... 9</p><p>2.3 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO ................................................................................ 11</p><p>2.4 ATAQUE À SEGURANÇA DA INFORMAÇÃO ................................................................................... 15</p><p>2.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO ...........................................................................17</p><p>2.6 IMPACTO E PROBABILIDADE ........................................................................................................... 19</p><p>3 CLASSIFICAÇÃO DA INFORMAÇÃO ................................................................................ 20</p><p>3.1 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISO/IEC 27002:2013) ....................................21</p><p>RESUMO DO TÓPICO 1 ........................................................................................................ 24</p><p>AUTOATIVIDADE ................................................................................................................. 29</p><p>TÓPICO 2 - CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL ..................................... 31</p><p>1 INTRODUÇÃO ..................................................................................................................... 31</p><p>2 ENGENHARIA SOCIAL...................................................................................................... 32</p><p>3 DISSEMINAÇÃO DA CONSCIENTIZAÇÃO ....................................................................... 35</p><p>RESUMO DO TÓPICO 2 ........................................................................................................ 46</p><p>AUTOATIVIDADE .................................................................................................................. 51</p><p>TÓPICO 3 - PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA</p><p>DE CONSCIENTIZAÇÃO DE SEGURANÇA ...................................................... 53</p><p>1 INTRODUÇÃO .................................................................................................................... 53</p><p>2 PRÁTICAS RECOMENDADAS DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA</p><p>III - Garantir que a informação esteja disponível, independente do seu desígnio.</p><p>a) ( ) Confidencialidade – Integridade – Disponibilidade.</p><p>b) ( ) Confidencialidade – Disponibilidade– Integridade.</p><p>c) ( ) Integridade – Confidencialidade – Disponibilidade.</p><p>d) ( ) Disponibilidade – Confidencialidade – Integridade.</p><p>2 A confidencialidade necessita que exista algum tipo de barreira para impedir o acesso</p><p>direto. Ambiente que são controlados e acessíveis somente por algum tipo de chave</p><p>de acesso como conta de e-mail, uma área específica de uma organização, um</p><p>servidor de banco de dados, um cofre e afins são exemplos de confidencialidade.</p><p>Qual recurso pode ser utilizado para aprimorar a confidencialidade?</p><p>a) ( ) Criptografia.</p><p>b) ( ) Malware.</p><p>c) ( ) Spam.</p><p>d) ( ) Notificação.</p><p>3 Ao longo dos anos, outros modelos sugiram baseados na tríade Confidencialidade,</p><p>Integridade e Disponibilidade (CID) e outras propriedades de segurança da informação</p><p>foram acrescentadas a esses três princípios básicos da segurança da informação.</p><p>Com relação às propriedades adicionadas, analise as sentenças a seguir, classificando</p><p>com V as sentenças verdadeiras e com F as sentenças falsas:</p><p>( ) A autenticidade visa garantir a verdadeira autoria.</p><p>( ) A irretratabilidade visa garantir a autoria da informação fornecida, para que uma</p><p>pessoa ou entidade não negue alguma atividade ou ação.</p><p>( ) A responsabilidade visa garantir que a informação é proveniente de uma fonte autêntica,</p><p>expressando uma mensagem fidedigna, ou seja, que a informação é confiável.</p><p>( ) A confiabilidade visa garantir que a pessoa responda por seus atos, incluso diante da lei.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – F – V – F.</p><p>b) ( ) V – V – F – F.</p><p>30</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) F – F – V – V.</p><p>4 A informação é um próprio ativo, sendo encontrada nas documentações dos sistemas,</p><p>em manuais de utilização, nas bases de dados (relacionais e não relacionais), contratos</p><p>e acordos, planos de contingência, de continuidade e assim por diante. Além desses</p><p>ativos, existem outros ativos. Com relação a esses outros ativos, analise as sentenças</p><p>a seguir, classificando com V as sentenças verdadeiras e com F as falsas:</p><p>( ) Os ativos de software são aqueles como ferramentas, sistemas, aplicativos etc.</p><p>( ) Os ativos físicos dizem respeito a reputação da organização.</p><p>( ) Os ativos intangíveis se referem aos equipamentos de comunicação e computa-</p><p>cionais, mídias removíveis etc.</p><p>( ) Os ativos de serviços de forma geral estão relacionados a refrigeração, eletricidade,</p><p>iluminação etc.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – F – F.</p><p>b) ( ) V – F – V – F.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) V – F – F – V.</p><p>5 A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. Portanto,</p><p>podemos entender a vulnerabilidade como uma fragilidade. Precisamos saber identifi-</p><p>car nossas vulnerabilidades, devido a elas comprometerem os princípios da seguran-</p><p>ça da informação são rompidos. Com relação às possíveis vulnerabilidades, analise as</p><p>sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas:</p><p>( ) Instalações prediais fora do padrão; salas de departamento de tecnologia mal plane-</p><p>jadas; falta de extintores, detectores de fumaça e de outros recursos para combate a</p><p>incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento</p><p>ou incêndio são exemplos de vulnerabilidades naturais.</p><p>( ) Falha nos recursos tecnológicos como desgaste, obsolescência, má utilização ou erros</p><p>durante a instalação são exemplos de vulnerabilidade de software.</p><p>( ) Discos, fitas, relatórios e impressos podem ser perdidos ou danificados são</p><p>exemplos de vulnerabilidades de meios de armazenamento.</p><p>( ) A inexistência de sistemas de criptografia nas comunicações; a escolha errônea</p><p>dos sistemas de comunicações que são utilizados para enviar mensagens são</p><p>exemplos de vulnerabilidades de comunicação.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – F – F.</p><p>b) ( ) F – F – V – V.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) V – F – V – F.</p><p>31</p><p>CONSCIENTIZAÇÃO E CULTURA</p><p>ORGANIZACIONAL</p><p>1 INTRODUÇÃO</p><p>Em cibernética, o elemento humano é considerado o elo mais fraco da segurança,</p><p>contudo, há formas significativas de reduzir o risco. De fato, os ataques estão presentes</p><p>no cotidiano das pessoas e das organizações, sendo necessário que os colaboradores</p><p>se tornem firewalls humanos. Os hackers estão plenamente conscientes de que o erro</p><p>humano é o fruto que eles podem explorar para obter acesso irrestrito até às mais sofis-</p><p>ticadas infraestruturas técnicas. Os fatores humanos acabam ficando em segundo plano.</p><p>“Um dos principais problemas que a segurança da informação deve tratar</p><p>é a segurança em pessoas. A cooperação dos usuários é essencial para a eficácia da</p><p>segurança” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). O fator humano é quem mais exerce</p><p>impacto referente aos princípios da segurança da informação da tríade CID, devido a, “[...]</p><p>o usuário que não mantiver a confidencialidade da senha, não evitar o registro da mesma</p><p>em papéis que não estão guardados em locais seguros, não utilizar senhas de qualidade</p><p>ou ainda que compartilhe senhas individuais, compromete a segurança da informação”</p><p>(RABELO JÚNIOR; VIEIRA, 2015, p. 47). A tecnologia sozinha não pode ser a solução.</p><p>Segundo Rabelo Júnior e Vieira (2015, p. 47), “A solução efetiva para integrar</p><p>pessoas requer ações gradativas e constantes visando criar e fortalecer a cultura de</p><p>segurança da informação”. Quando uma organização incorpora a cultura da segurança</p><p>da informação, as ameaças de hoje, e os emergentes de amanhã não parecerão mais</p><p>tão ameaçadores. “Esta cultura não pode ficar restrita às organizações, é um trabalho</p><p>cujo resultado positivo é certo, mas não é imediato e requer planejamento” (RABELO</p><p>JÚNIOR; VIEIRA, 2015, p. 47).</p><p>As pessoas geralmente mudam a maneira de se portarem quando estão em</p><p>situações de risco, e suas decisões são fundamentadas em situações que exigem</p><p>confiança. Rabelo Júnior e Viera (2015, p. 47) colocam que “A engenharia social se aproveita</p><p>dessas brechas e da falta de consciência com relação à segurança”. A informação é o</p><p>melhor jeito de enfrentar a engenharia social. Dessa forma, os colaboradores de uma</p><p>organização precisam estar bem informados referente à engenharia social. Mas afinal</p><p>de contas, o que é a engenharia social?</p><p>UNIDADE 1 TÓPICO 2 -</p><p>32</p><p>2 ENGENHARIA SOCIAL</p><p>A associação dos termos engenharia e social contêm um sentido diferenciado</p><p>referente à segurança da informação. Esses termos juntos concebem a forma que os</p><p>engenheiros utilizam de burlar pessoas para obter informações sigilosas de maneira</p><p>fácil e sem que as estas pessoas se deem conta.</p><p>Pode-se dizer que o termo engenharia social é usado para caracterizar aquelas</p><p>intrusões que não forem técnicas, enfatizando a interação humana. Além disso, a</p><p>engenharia social está relacionada a ter habilidade de iludir as pessoas com o objetivo</p><p>que os procedimentos de segurança da informação sejam violados (RABELO JÚNIOR;</p><p>VIEIRA, 2015). A Figura 7 traz o perfil do engenheiro social, ou seja, pessoas com boa</p><p>aparência, com habilidade em lidar com pessoas, bem educadas e agradáveis.</p><p>FIGURA 7 - PERFIL DO ENGENHEIRO SOCIAL</p><p>FONTE: Rabelo Júnior e Vieira (2015, p. 49)</p><p>O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão</p><p>contra as organizações, geralmente, com a intenção de obter informações.</p><p>ATENÇÃO</p><p>33</p><p>• Grifters são aquelas pessoas que visam enganar pessoas, enquanto o</p><p>engenheiro social visa enganar as organizações.</p><p>• Phishing é um tipo de engenharia social na tentativa de se obter</p><p>informações confidenciais, por exemplo, senhas, nomes de usuários,</p><p>detalhes do cartão de pagamento, de uma pessoa por um canal de bate-</p><p>papo, um fórum, por e-mail e afins. O agressor geralmente finge ser</p><p>alguém confiável ou conhecido do indivíduo.</p><p>NOTA</p><p>Acesso privilegiado</p><p>é referente aos usuários que possuem direito de acesso</p><p>acima de um usuário normal. Normalmente, é concedido acesso privilegiado</p><p>aos usuários que precisam executar funções de nível administrativo ou</p><p>acessar dados confidenciais, que podem incluir o acesso aos dados do</p><p>titular do cartão. O acesso privilegiado pode incluir acesso físico e/ou lógico.</p><p>IMPORTANTE</p><p>As organizações conectadas à rede de hoje enfrentam ameaças de segurança</p><p>cada vez maiores, pois a tecnologia da informação provê diversas facilidades como porta</p><p>de entrada para pessoas fraudulentas (BRECHT, 2019). Segundo Rabelo Júnior e Vieira</p><p>(2015), os vírus que são implantados em computadores quando se realiza um download</p><p>ou quando uma pessoa faz um clique, em determinando link recebido por meio e-mail</p><p>malicioso, são maneiras de invadir uma rede corporativa. Essas invasões podem gerar</p><p>prejuízos para toda organização, não somente em nível financeiro.</p><p>Dessa forma, o treinamento de conscientização de segurança vale a pena.</p><p>Todo o pessoal precisa estar ciente das ameaças comuns, para que, no mínimo, não</p><p>sejam vítimas fáceis de golpes e tentativas do engenheiro social/phishing. Os cola-</p><p>boradores que possuem conscientização quando são vítimas de ataques mais so-</p><p>fisticados pelos engenheiros sociais conseguem minimizar os efeitos dos ataques,</p><p>reunindo informações necessárias e notificando o departamento apropriado por meio</p><p>dos canais certos. Cabe destacar ainda, que a organização depende de seus colabo-</p><p>radores para promover uma cultura consciente da segurança, reduzir riscos e prevenir</p><p>ameaças cibernéticas (BRECHT, 2019).</p><p>Portanto, é fundamental que exista a inclusão de conscientização de ataques</p><p>de engenharia social (BRECHT, 2019). Uma maneira de um invasor usar a engenharia</p><p>social é adquirir as credenciais de um usuário e percorrer a organização de uma área de</p><p>34</p><p>baixa segurança para uma área de alta segurança. Adaptar essa conscientização para</p><p>refletir os tipos de ataques que a organização pode encontrar fornece resultados mais</p><p>eficazes. Pois de acordo com Rabelo Júnior e Vieira (2015, p. 50):</p><p>Vale lembrar que o engenheiro social, visa conseguir informações</p><p>valiosas com técnicas de enganar pessoas, sem se dar o trabalho de</p><p>invadir um sistema. Através de um diálogo convincente e envolvente</p><p>o indivíduo de um help desk por exemplo chega a gerar nova senha</p><p>no sistema e informa ao transgressor, este consegue de forma</p><p>fácil e rápida se passa pelo usuário final e tendo em mãos todas as</p><p>informações precisas sem muito esforço.</p><p>Mas, ainda não destacamos o principal, todas essas tentativas são</p><p>realizadas com sucesso por conta de um ator principal que é o</p><p>homem. No caso da engenharia social, do funcionário, colaborador</p><p>de uma empresa corporativa. Estudos mostram o quanto é fácil</p><p>distrair a atenção de uma pessoa, mesmo que aparentemente esteja</p><p>atenta. São fórmulas usadas por mágicos para trazer a ilusão de suas</p><p>apresentações. Uma das técnicas adquiridas por Kevin Mitnick, o que</p><p>o ajudou a ser reconhecido como o rei da engenharia social.</p><p>Dessa forma, os colaboradores devem estar cientes dos métodos comuns</p><p>pelos quais fraudadores, hackers ou outras pessoas mal-intencionados podem tentar</p><p>obter credenciais, dados de cartão de pagamento e outros dados confidenciais, para</p><p>minimizar o risco de o pessoal disseminar informações confidenciais involuntariamente</p><p>a terceiros (IMAN, 2020). Segundo Rabelo Júnior e Vieira (2015), a pessoa que é a vítima</p><p>de uma extorsão é como uma marionete, só que manipulada pelo homem. Para isso,</p><p>basta apenas que o engenheiro social (fraudador) consiga a confiança da pessoa, por</p><p>meio de um conhecimento mínimo da organização para obter a informação quista.</p><p>Entretanto, na maioria das vezes não é somente o colaborador que é explorado,</p><p>Rabelo Júnior e Vieira (2015, p. 50) observam, que o engenheiro social “[...] começa do</p><p>operacional até chegar ou se passar por um executivo”. Ou seja, a partir do momento que</p><p>o engenheiro social tem sua primeira vítima, é fácil ele obter informações das demais</p><p>pessoas da organização. E a organização, como pode lidar com esse tipo de situação?</p><p>As organizações têm investido em treinamento de políticas e procedimentos</p><p>organizacionais, especificando o manuseio adequado dos dados, incluindo o</p><p>compartilhamento e a transmissão de dados confidenciais (SECURITY AWARENESS</p><p>PROGRAM SPECIAL INTEREST GROUP, 2014). Rabelo Júnior e Vieira (2015, p. 51)</p><p>complementam que as organizações também contratam “[...] especialistas em segurança</p><p>da informação, implantando políticas de segurança para o ambiente organizacional,</p><p>treinando seus funcionários e bloqueando acessos Web em estações de trabalho”.</p><p>Contudo, esses investimentos não terão a resposta esperada “[...] se a</p><p>conscientização não partir do colaborador, este, se estiver desmotivado pode até dar</p><p>uma forcinha ao engenheiro social, visando a uma vingança devido a sua insatisfação”</p><p>(RABELO JÚNIOR; VIEIRA, 2015, p. 51). Rabelo Júnior e Vieira (2015) destacam as</p><p>seguintes técnicas a serem utilizadas, tanto em separado quanto as combinando:</p><p>35</p><p>• Contato por telefone realizados por meio de ferramentas de mensagens simulando</p><p>pessoa com afinidades com a vítima.</p><p>• Obtenção de informações vazadas por parte da administração de rede e</p><p>colaboradores em geral em listas de discussão ou comunidades virtuais na Internet,</p><p>motivando também um contato posterior de forma mais estruturado.</p><p>• Utilizar telefone público, dificultando detecção.</p><p>• Varredura do lixo informático, visando obter informações adicionais para tentativas</p><p>posteriores de contato.</p><p>• Passar pela equipe de manutenção.</p><p>• Realizar visita em pessoa, se passando por estudante, estagiário ou pessoa com</p><p>disfarce de ingenuidade.</p><p>• Contatos telefônicos, para simular algum tipo de atendimento de suporte ou uma</p><p>ação de emergência.</p><p>• Contato por meio de e-mail, se passando como estudante interessado em pesquisa</p><p>referente determinado assunto ou como pessoa interessada em determinado</p><p>assunto que for de conhecimento da vítima.</p><p>3 DISSEMINAÇÃO DA CONSCIENTIZAÇÃO</p><p>Ao se tratar de pessoas, precisamos lembrar que seres humanos “[...] são</p><p>imperfeitos e situações de risco modificam os comportamentos naturais e decisões</p><p>serão fortemente baseadas em confiança ou grau de criticidade da situação” (RABELO</p><p>JÚNIOR; VIEIRA, 2015, p. 52). Em detrimento destes aspectos, a engenharia social se</p><p>faz eficaz, sendo necessário que a organização crie uma cultura corporativa forte, com</p><p>priorização na conscientização e treinamento de seus colaboradores (BRECHT, 2019).</p><p>A organização precisa treinar e educar seus colaboradores referente aos ativos</p><p>da informação e como elas devem ser protegidas, para que os ataques de engenharia</p><p>social sejam identificados como situações de risco.</p><p>Para criar e disseminar essa consciência as organizações devem criar e divulgar</p><p>suas políticas, normas e procedimentos de segurança da informação por meio de um</p><p>plano (programa) de treinamento e conscientização constantes (RABELO JÚNIOR;</p><p>VIEIRA, 2015). Estabelecer e manter a conscientização sobre segurança da informação</p><p>por meio de um programa de conscientização sobre segurança é vital para o progresso e</p><p>o sucesso de uma organização. Um programa de conscientização de segurança robusto</p><p>e implementado adequadamente auxilia a organização na educação, monitoramento</p><p>e manutenção contínua da conscientização de segurança dentro da organização</p><p>(SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP, 2014, BRECHT, 2019).</p><p>36</p><p>A conscientização de segurança deve ser conduzida como um</p><p>programa contínuo para garantir que o treinamento e o conhecimento</p><p>não sejam entregues apenas como uma atividade anual e sim para manter</p><p>um alto nível de conscientização de segurança diariamente.</p><p>Um programa de conscientização estimula e motiva colaboradores treinados</p><p>a se preocuparem com a segurança e os continua lembrando dos impactos</p><p>e consequências de não levar a segurança a sério. Além disso, é provável</p><p>que</p><p>um programa de conscientização de segurança seja significativamente</p><p>menos dispendioso do que outras medidas de segurança. Ou seja, ter um</p><p>programa ou um plano de conscientização é o primeiro passo para proteger</p><p>a organização e seus colaboradores (SECURITY AWARENESS PROGRAM</p><p>SPECIAL INTEREST GROUP, 2014, BRECHT, 2019).</p><p>IMPORTANTE</p><p>As políticas de segurança são instruções claras que fornecem as orientações</p><p>de comportamento do colaborador, visando proteger as informações. Essas políticas</p><p>são um elemento fundamental no desenvolvimento de controles efetivos para conter</p><p>possíveis ameaças à segurança e estão entre os instrumentos mais significativos para</p><p>evitar e detectar os ataques da engenharia social. Já os controles efetivos de segurança</p><p>devem ser definidos tanto nos procedimentos quanto nas políticas implementadas pelo</p><p>treinamento dos colaboradores. Contudo, é importante observar que as políticas de</p><p>segurança, mesmo que sejam seguidas rigorosamente por todos, não evitam todos os</p><p>ataques da engenharia social (RABELO JÚNIOR; VIEIRA, 2015, BRECHT, 2019).</p><p>Ao desenvolver uma política de segurança, deve-se levar em consideração que</p><p>existem colaboradores que não têm conhecimento da linguagem técnica (PIVOT POINT</p><p>SECURITY, 2020). Portando, os jargões técnicos não devem ser utilizados para que o</p><p>documento seja de fácil entendimento por qualquer colaborador. Além disso, Rabelo</p><p>Júnior e Viera (2015) colocam, que o documento precisa ser claro quanto a relevância da</p><p>política de segurança, possibilitando que os colaboradores não encarem essas práticas</p><p>como perca de tempo.</p><p>Os colaboradores devem ser aconselhados sobre as consequências do não</p><p>cumprimento dos procedimentos e das políticas de segurança. Assim, é aconselhável</p><p>que seja desenvolvido um resumo das consequências da violação das políticas,</p><p>bem como ele deve ser amplamente divulgado. Por conseguinte, um programa de</p><p>recompensa deve ser criado para aqueles colaboradores que demonstram boas práticas</p><p>de segurança ou que identificam e relatam um incidente de segurança. Sempre que</p><p>um colaborador for recompensado por frustrar uma quebra de segurança, isso deve ser</p><p>amplamente divulgado em toda organização. Essa divulgação pode ser feita com um</p><p>artigo circular da organização (RABELO JÚNIOR; VIEIRA, 2015).</p><p>37</p><p>O objetivo central de um programa de conscientização referente segurança</p><p>deve influenciar as pessoas para que elas mudem seu comportamento e</p><p>suas atitudes, motivando cada colaborador a querer entrar no programa</p><p>e fazer a sua parte para proteger os ativos de informações da organização</p><p>(RABELO JÚNIOR; VIEIRA, 2015).</p><p>Um ótimo motivador nesse caso é explicar como a participação das pessoas</p><p>beneficiará não apenas a organização, mas também os colaboradores de</p><p>forma individual. Como a organização detém determinadas informações</p><p>particulares sobre cada colaborador, quando os colaboradores fazem a</p><p>sua parte para proteger as informações ou os sistemas de informações, na</p><p>verdade eles estão protegendo também as suas próprias informações.</p><p>ATENÇÃO</p><p>IMPORTANTE</p><p>Um dos objetivos de um programa de conscientização referente à segurança</p><p>é a comunicação da importância das políticas de segurança e o dano que a falha em</p><p>seguir essas regras pode causar (PIVOT POINT SECURITY, 2020).</p><p>Dada à natureza do ser humano, os colaboradores ocasionalmente sabotam ou</p><p>ignoram aquelas políticas que lhes parecem sem justificativas ou devido demandaram</p><p>muito tempo. É de responsabilidade da gerência certificar que os colaboradores</p><p>entendam a importância dos procedimentos e das políticas e sejam motivados para as</p><p>atender, e não as tratar como obstáculos ou desafios a serem contornados (RABELO</p><p>JÚNIOR; VIEIRA, 2015, BRECHT, 2019).</p><p>As políticas de segurança devem sofrer mudanças ou serem suplementadas à</p><p>medida que novas tecnologias de segurança da informação surgem ou à medida que as</p><p>vulnerabilidades de segurança evoluem. Rabelo Júnior e Vieira (2015) apontam que deve ser</p><p>estabelecido um processo de exame e atualização regular da política de segurança adotada.</p><p>Cabe destacar ainda, que é necessário que sejam realizados testes periódicos</p><p>de penetração e avaliações de vulnerabilidade, fazendo uso de táticas e métodos da</p><p>engenharia social.</p><p>Essas abordagens devem ser utilizadas para que se consigam expor os pontos</p><p>fracos da capacitação de conscientização ou até mesmo a ausência de cumprimento do</p><p>procedimento e das políticas da organização. Para que essas abordagens aconteçam, é</p><p>necessário que os colaboradores sejam avisados de que tais testes podem ocorrer de</p><p>tempos em tempos (RABELO JÚNIOR; VIEIRA, 2015).</p><p>38</p><p>Em outra vertente, mas não menos importante, está o suporte necessário</p><p>exigido pelo programa de conscientização. O esforço de treinamento precisa alcançar</p><p>cada uma das pessoas que fazem parte da organização com acesso às informações</p><p>confidenciais ou aos sistemas computacionais. Ele também precisa ser contínuo e</p><p>sofrer revisões constantes para propiciar atualizações aos colaboradores referentes as</p><p>novas ameaças e vulnerabilidades. Os colaboradores devem ver que a gerência e alta</p><p>direção estão comprometidos com a conscientização (RABELO JÚNIOR; VIEIRA, 2015).</p><p>A tecnologia está envolvida, de forma geral, com muitos aspectos da segurança</p><p>da informação. Dessa forma, muitas vezes, os colaboradores pensam que o problema</p><p>está sendo resolvido (tratado) por firewalls e por outras tecnologias de segurança.</p><p>Um dos objetivos principais da conscientização é justamente para que o colaborador</p><p>crie consciência que eles são a linha de frente na proteção da segurança geral da</p><p>organização (RABELO JÚNIOR; VIEIRA, 2015). Brecht (2019) complementa que um</p><p>aspecto importante a ser focado não é se a conscientização sobre segurança vale a</p><p>pena e sim que ela deve ser realizada com as melhores práticas e de forma eficiente,</p><p>para fortalecer a postura referente a conscientização.</p><p>A conscientização deve ter um objetivo substancialmente maior do que</p><p>simplesmente impor regras. O conhecimento das táticas da engenharia social e de</p><p>como se defender dos ataques é importante, contudo, esse conhecimento não servirá</p><p>para nada se o treinamento não se concentrar na motivação dos colaboradores para</p><p>aplicarem os conhecimentos aprendidos. Portanto, as organizações precisam de</p><p>conscientizações adaptadas aos distintos grupos de colaboradores, por exemplo:</p><p>pessoal de segurança física, os recepcionistas, assistentes administrativas, os usuários</p><p>de computadores, o pessoal de TI e os gerentes (RABELO JÚNIOR; VIEIRA, 2015).</p><p>Outra característica importante que precisa ser levada em consideração na</p><p>conscientização é referente aos colaboradores da segurança física de uma organização.</p><p>Esses colaboradores geralmente não são proficientes em tecnologia, ou utilizem a</p><p>tecnologia de uma maneira limitada, não entrando em contato com os computadores</p><p>da organização e em grande parte não são considerados ao se criar a conscientização.</p><p>Contudo, esses colaboradores responsáveis pela segurança ou pela entrada</p><p>predial podem ser enganados pelos engenheiros sociais justamente para terem acesso a</p><p>organização. Esse acesso pode se dar de forma física ou de forma a executarem alguma ação</p><p>que resulte na invasão de um computador. Portanto, é importante que a conscientização</p><p>seja para todos os colaboradores da organização (RABELO JÚNIOR; VIEIRA, 2015).</p><p>Rabelo Júnior e Vieira (2015) sugerem que após a sessão de treinamento inicial,</p><p>sessões mais longas devem ser criadas para educar os colaboradores referente às</p><p>vulnerabilidades específicas e técnicas de ataque sobre à sua posição na organização. A</p><p>conscientização deve ser realizada no mínimo uma vez por ano. Pois, a natureza da ameaça e</p><p>os métodos utilizados para explorar colaboradores de uma organização estão em constante</p><p>39</p><p>evolução, e consequentemente, o conteúdo da conscientização precisa ser devidamente</p><p>atualizado (BRECHT, 2019). Além disso, com o passar do tempo, as pessoas voltam a zona</p><p>de conforto e toda a conscientização</p><p>das pessoas diminuem com o tempo, de modo que</p><p>a conscientização deve ser realizada de tempos em tempos razoáveis, visando reforçar os</p><p>princípios da segurança da informação (RABELO JÚNIOR; VIEIRA, 2015).</p><p>Destacamos que a ênfase precisa estar em manter os colaboradores</p><p>convencidos em relação a importância das políticas de segurança e motivados</p><p>para que as sigam, além de expor as ameaças específicas e os métodos da</p><p>engenharia social. Portanto, é fundamental que no plano de capacitação dos</p><p>colaboradores sejam incluídos cursos de capacitação, crachás de identificação,</p><p>termo de responsabilidade e de confiabilidade, procedimentos específicos</p><p>para demissão e admissão de colaboradores, campanhas de divulgação da</p><p>política de segurança, software de acesso, de monitoramento e de filtragem</p><p>de conteúdo, seminários de sensibilização e conscientização.</p><p>IMPORTANTE</p><p>Por definição, a engenharia social está relacionada a algum tipo de interação</p><p>humana. Frequentemente, um engenheiro social (atacante) faz uso tanto de vários</p><p>métodos de comunicação como de várias tecnologias, objetivando seu alvo. Desta</p><p>forma, Rabelo Júnior e Vieira (2015) observam que um programa de conscientização</p><p>bem elaborado deve estar atento aos seguintes itens:</p><p>• As políticas de segurança relacionadas com senhas de computador e voice mail.</p><p>• O procedimento de divulgação de informações ou material confidencial.</p><p>• A política de uso do correio eletrônico, incluindo as medidas para evitar ataques</p><p>maliciosos de código, tais com vírus, worms e Cavalos de Tróia.</p><p>• Os requisitos de segurança física, tais como a utilização de crachás.</p><p>• A responsabilidade de questionar as pessoas que estão nas instalações sem o</p><p>crachá.</p><p>• As melhores práticas de segurança para o uso do voice mail.</p><p>• Como determinar a classificação das informações e as medidas adequadas para</p><p>proteger as informações confidenciais.</p><p>• A eliminação adequada de documentos confidenciais e mídia de computador que</p><p>contenham, ou que já tenham contido material confidencial.</p><p>40</p><p>Nesse sentido, segundo Brecht (2019), as técnicas utilizadas pela organização</p><p>podem incluir uma ou mais ferramentas de conscientização instrucional</p><p>e de avaliação, conforme sugerido pela Publicação Especial NIST 800-50,</p><p>criando um programa de conscientização e treinamento em segurança da</p><p>tecnologia da informação de outubro de 2003. Iremos abordar o referencial</p><p>indicado em nossa unidade 3 de estudo. Iman (2020) ainda coloca que o</p><p>programa de conscientização ideal deve incorporar os 10 exercícios de</p><p>comportamento seguro apresentados no Quadro 7.</p><p>IMPORTANTE</p><p>QUADRO 7 – 10 EXERCÍCIOS DE COMPORTAMENTO SEGURO</p><p>EXERCÍCIO DESCRIÇÃO</p><p>1. Política de secretaria</p><p>limpa ou mesa limpa</p><p>Notas adesivas, papéis e impressões podem ser facilmente</p><p>capturadas por pessoas mal-intencionadas e vistas por olhares</p><p>indiscretos. De acordo com o comportamento seguro da</p><p>política de mesa limpa, os únicos documentos que devem ser</p><p>deixados expostos são aqueles relevantes para o projeto atual</p><p>em que você está trabalhando. Todas as informações sensíveis</p><p>e confidenciais devem ser removidas da mesa ao final de cada</p><p>dia útil. Durante o almoço ou qualquer partida de emergência</p><p>durante o horário de expediente, todas as informações críticas</p><p>devem ser colocadas em uma gaveta trancada.</p><p>2. Política de traga</p><p>seu próprio dispositivo,</p><p>também conhecida</p><p>como Bring Your Own</p><p>Device (BYOD)</p><p>O BYOD abrange os bens de computação pessoal dos</p><p>colaboradores que podem ser usados em um ambiente de</p><p>trabalho. Eles podem incluir dispositivos móveis, reprodutores</p><p>de áudio, câmeras digitais e vários outros dispositivos</p><p>eletrônicos portáteis, que podem ser utilizados para roubar</p><p>dados confidenciais. Os BYODs também fazem parte da</p><p>"consumerização de TI", pela qual o hardware e/ou software</p><p>de um colaborador é trazido para a organização. Garantir a</p><p>segurança dos dispositivos no BYOD é uma tarefa assustadora.</p><p>No entanto, as organizações podem alcançá-lo ao implementar</p><p>o comportamento seguro de maneira proativa.</p><p>3. Gerenciamento de</p><p>Dados</p><p>Existem vários tipos de dados, como uma cópia de backup</p><p>dos contratos dos clientes ou declarações da missão, e</p><p>muitos colaboradores podem não estar cientes desses</p><p>ativos da informação. Nesses casos, os colaboradores não</p><p>percebem a importância desse dado ou dessa informação</p><p>classificada. Por exemplo, do ponto de vista financeiro, uma</p><p>41</p><p>cópia de backup de um contrato de cliente é mais importante</p><p>do que uma cópia de backup de uma declaração da missão.</p><p>Os colaboradores devem aprender sobre os tipos de dados</p><p>existentes, para que possam entender o valor daquela</p><p>informação para o negócio da organização.</p><p>4. Mídia removível</p><p>É mais comum do que se possa imaginar um colaborador</p><p>encontrar um pen drive removível ou um disco rígido</p><p>externo no estacionamento e o trazerem para dentro da</p><p>organização e conectarem em seu computador para ver</p><p>a quem ele pertence. Consequentemente, eles acabam</p><p>descobrindo que o dispositivo foi plantado lá para destruir</p><p>ou assumir o controle do computador com Malware. O uso</p><p>seguro de dispositivos pessoais e corporativos é crucial.</p><p>Mídia removível não autorizada pode ser um convite para</p><p>problemas de segurança de dados, infecção por Malware,</p><p>falha de hardware e violação de direitos autorais. A equipe</p><p>corporativa deve ser informada sobre as ameaças à mídia</p><p>removível não solicitada e proibir o acesso de qualquer mídia</p><p>perdida, como um disco rígido externo.</p><p>5. Hábitos seguros da</p><p>internet</p><p>Quase todo trabalhador, especialmente em tecnologia, tem</p><p>acesso à internet. Por esse motivo, o uso seguro da internet é de</p><p>suma importância para as organizações. Os programas de cons-</p><p>cientização em segurança devem incorporar hábitos seguros da</p><p>internet, evitando que a rede corporativa seja invadida.</p><p>Alguns comportamentos seguros que os colaboradores devem</p><p>ter ao fazer uso da internet são: (i) os colaboradores devem</p><p>estar familiarizados com ataques de phishing e aprender a</p><p>não abrir anexos maliciosos ou clicar em links suspeitos. Isso</p><p>é alcançado com uma compreensão mais profunda dos sinais</p><p>de alerta de um ataque de phishing; (ii) é melhor desativar as</p><p>janelas pop-up, pois elas convidam a riscos; (iii) colaboradores</p><p>devem abster-se de instalar programas de software de fontes</p><p>desconhecidas, especialmente links infectados por Malware.</p><p>Atualmente, um número esmagador de sites oferece</p><p>programas gratuitos de segurança na Internet de forma</p><p>enganadora, pois na verdade o que eles fazem é infectar o</p><p>sistema ao invés de o proteger.</p><p>6. Segurança física e</p><p>controles ambientais</p><p>A conscientização de segurança não é apenas sobre o</p><p>que reside nos computadores ou dispositivos portáteis da</p><p>organização. Os colaboradores devem estar cientes dos</p><p>42</p><p>possíveis problemas de segurança originados nos aspectos</p><p>físicos do local de trabalho. Isso inclui consciência do</p><p>ambiente e dos componentes físicos. Exemplos de</p><p>questões de controle de ambiente incluem: (i) visitantes ou</p><p>novos contratados assistindo os colaboradores digitarem</p><p>senhas; (ii) entrada de visitantes que alegam ser inspetores,</p><p>exterminadores ou outros visitantes incomuns que possam</p><p>estar procurando entrar no sistema; (iii) deixar senhas em</p><p>pedaços de papel na mesa; (iv) deixar o computador ligado e</p><p>não protegido por senha ao sair do trabalho durante a noite;</p><p>(v) deixar um telefone ou dispositivo pelo escritório à vista.</p><p>A segurança física também pode abranger aspectos físicos do</p><p>edifício, desde trancas de portas ativadas por cartão-chave,</p><p>bancos de dados bloqueados e protegidos, com extintores de</p><p>incêndio regularizado e vidro adequadamente reforçado. Mas</p><p>mesmo essas defesas aparentemente inquebráveis têm um</p><p>componente de conscientização de segurança. Por exemplo,</p><p>os colaboradores devem ser cautelosos ao entrarem no prédio</p><p>e deixarem pessoas desconhecidas entrarem ou saírem nesse</p><p>momento. Uma técnica conhecida de uso não autorizada ocorre</p><p>quando um colaborador da organização usa o cartão-chave</p><p>e</p><p>abre a porta, mas não sabe que alguém se escondeu atrás dele</p><p>antes que a porta se fechasse.</p><p>A manutenção da segurança física também é um aspecto</p><p>importante, não apenas para a equipe de manutenção,</p><p>mas também para classificar os colaboradores. Por</p><p>exemplo, é importante que o colaborador tenha o hábito do</p><p>comportamento seguro, relatando as devidas autoridades</p><p>quando: perceber que uma porta habilitada para cartão-</p><p>chave está presa e se abre mesmo sem a devida autorização</p><p>ou uma câmera de segurança aparentemente está danificada</p><p>ou desligada.</p><p>7. Perigos de redes</p><p>sociais</p><p>Atualmente, as organizações usam as redes sociais como</p><p>uma ferramenta poderosa para criar uma marca, local ou</p><p>globalmente, gerar vendas On-line e afins. Infelizmente,</p><p>as redes sociais também abrem as portas para ataques</p><p>de phishing que podem levar a organização a um imenso</p><p>desastre. Por exemplo, o Facebook compartilhou os dados de</p><p>seus usuários sem a permissão deles para desenvolvedores</p><p>de aplicativos de terceiros. A News Corp Australia Network</p><p>43</p><p>informou em 1 de maio do ano de 2018 que não era apenas</p><p>o Facebook, que o Twitter também vendeu os dados dos</p><p>usuários para a Cambridge Analytica Ltda. (CA), uma</p><p>organização britânica de consultoria política que estava</p><p>influenciando as eleições nos EUA no ano de 2016.</p><p>Para evitar a perda de dados críticos, a organização deve ter um</p><p>programa viável de treinamento em redes sociais, limitando o</p><p>uso dessas redes e orientando os colaboradores em relação à</p><p>ameaça de ataques de phishing. Além disso, os colaboradores</p><p>que não deve fornecer suas credenciais ou informações de login</p><p>em sites desconhecidos ou similares aos originais. Por exemplo,</p><p>o usuário deve ter o comportamento seguro e ver a diferença</p><p>entre www.yahoo.com e www.yahooo.com.</p><p>8. Golpes por e-mail</p><p>Os golpes de e-mail envolvem e-mails fraudulentos e não</p><p>solicitados que oferecem uma pechincha por nada. Um</p><p>e-mail fraudulento atrai um usuário para a oferta gratuita,</p><p>oportunidades de negócios falsas, empréstimos ou créditos</p><p>garantidos, dinheiro fácil, esquemas de saúde e dieta e</p><p>assim por diante. Um hábito de comportamento seguro e</p><p>que deve estar incorporado nos hábitos dos colaboradores</p><p>da organização é a dica dos colaboradores tomarem</p><p>conhecimento dos golpes de e-mail e que eles sejam</p><p>instruídos sobre como evitá-los. O comportamento seguro é:</p><p>(i) não confiar em e-mail não solicitado; (ii) não enviar fundos</p><p>para pessoas que os solicitem por e-mail, principalmente</p><p>antes de verificar com a liderança; (iii) filtrar spam; (iv)</p><p>configurar o cliente de e-mail corretamente; (v) instalar</p><p>programa antivírus e firewall e os manterem atualizados; (vi)</p><p>não clicar em links desconhecidos em mensagens de e-mail;</p><p>(vii) cuidar com anexos de e-mail.</p><p>9. Malware</p><p>Uma sessão de treinamento sobre Malware deve ilustrar os</p><p>tipos de Malware e suas implicações. Os tipos de Malware</p><p>devem incluir adware, spyware, vírus, Trojans, backdoors,</p><p>rootkits, ransomware, botnets, bombas lógicas e vírus</p><p>blindados. Os colaboradores devem aprender a identificar</p><p>Malware e o que fazer se seu dispositivo ou rede for</p><p>infectado. O comportamento seguro imediato deve ser</p><p>desligar o sistema ou dispositivo e informar a equipe de</p><p>gerenciamento de segurança.</p><p>44</p><p>10. Hoaxes</p><p>Uma farsa é definida como uma falsidade ou engano</p><p>fabricada deliberadamente para subterfúgio e vitimização</p><p>dos usuários. Os atacantes geralmente usam trotes por meio</p><p>de e-mails para prejudicar os colaboradores. Um e-mail falso</p><p>geralmente notifica os usuários sobre supostas ameaças</p><p>iminentes. Por exemplo, uma farsa pode informá-lo de que</p><p>o seu computador estará seriamente comprometido se você</p><p>não o desligar às 3h da sexta-feira 13. Uma conscientização</p><p>útil é aquela que ensina seus colaboradores sobre as</p><p>possíveis fraudes. Em vez de confiar em uma farsa, os</p><p>colaboradores devem aprender a responder a eles. Somente</p><p>e-mails verificados pelo seu departamento de segurança</p><p>e relevantes para os seus negócios corporativos devem</p><p>ser confiáveis. Em caso de e-mail ameaçador, alerte</p><p>imediatamente seu departamento de segurança de TI.</p><p>FONTE: Adaptado de Iman (2020)</p><p>Para saber mais sobre os golpes e os ataques na internet faça a leitura</p><p>complementar desta unidade.</p><p>ESTUDOS FUTUROS</p><p>Cabe ainda destacar os testes que a organização deve realizar. Da mesma</p><p>forma, se a organização pretender utilizar testes para determinar a eficiência das</p><p>defesas contra os ataques da engenharia social, um aviso deve ser dado para que os</p><p>colaboradores tomem conhecimento dessa prática. É importante que os colaboradores</p><p>saibam que em algum momento eles podem receber uma ligação telefônica ou outra</p><p>comunicação que utilizará as abordagens do engenheiro social (atacante) como parte</p><p>de tal testes. Os resultados destes testes devem ser utilizados para definir a necessidade</p><p>de conscientização adicional em algumas áreas e não como forma punitiva (RABELO</p><p>JÚNIOR; VIEIRA, 2015).</p><p>A maioria das pessoas sabe que o aprendizado, mesmo das questões importantes,</p><p>tende a desaparecer, a menos que seja reforçado periodicamente. Devido à importância</p><p>de manter os colaboradores atualizados frente a determinado assunto da defesa contra</p><p>os ataques da engenharia social, um programa constante de conscientização é de</p><p>grande relevância (BRECHT, 2019). Uma abordagem para manter a segurança sempre</p><p>45</p><p>na mente do colaborador é fazer com que a segurança da informação faça parte da</p><p>vivência da função de cada um dos colaboradores da organização. Possivelmente, isso</p><p>faz com ele reconheça não somente o seu papel individual na segurança da informação</p><p>da organização, mas no seu papel de forma geral (RABELO JÚNIOR; VIEIRA, 2015).</p><p>A engenharia social é difícil de ser evitada, contudo, é necessária uma</p><p>conscientização contínua para que os colaboradores sempre saibam quais são as</p><p>novas abordagens utilizadas e como se lida com cada uma delas (BRECHT, 2019). Outra</p><p>maneira de prevenção da engenharia social é realização de pesquisas de perfis dos</p><p>colaboradores antes deles serem admitidos efetivamente na organização, identificando</p><p>eventuais problemas de conduta de falhas de segurança. A gestão dos perfis de acesso</p><p>após a contratação dos colaboradores também deve ser constantemente realizada. Da</p><p>mesma forma, os perfis são amplamente utilizados por organizações para descrever</p><p>as pessoas nos sistemas de informação ou mesmo os atributos de cargos, sendo</p><p>necessário que estejam constantemente atualizadas, evitando assim os acessos</p><p>indevidos (RABELO JÚNIOR; VIEIRA, 2015).</p><p>46</p><p>RESUMO DO TÓPICO 2</p><p>Neste tópico, você aprendeu:</p><p>• Em cibernética, o elemento humano é considerado o elo mais fraco da segurança,</p><p>contudo, há formas significativas de reduzir o risco.</p><p>• Os ataques estão presentes no cotidiano das pessoas e das organizações, sendo</p><p>necessário que os colaboradores se tornem firewalls humanos.</p><p>• Os hackers estão plenamente conscientes de que o erro humano é o fruto que eles podem</p><p>explorar para obter acesso irrestrito até às mais sofisticadas infraestruturas técnicas.</p><p>• “Um dos principais problemas que a segurança da informação deve tratar é a</p><p>segurança em pessoas. A cooperação dos usuários é essencial para a eficácia da</p><p>segurança” (RABELO JÚNIOR; VIEIRA, 2015, p. 47).</p><p>• O fator humano é quem mais exerce impacto referente aos princípios da segurança</p><p>da informação da tríade CID.</p><p>• “A solução efetiva para integrar pessoas requer ações gradativas e constantes visando criar</p><p>e fortalecer a cultura de segurança da informação” (RABELO JÚNIOR; VIEIRA, 2015, p. 47).</p><p>• As pessoas geralmente mudam a maneira de se portarem quando estão em situações</p><p>de risco, e suas decisões são fundamentadas em situações que exigem confiança.</p><p>• A informação é o melhor jeito de enfrentar a engenharia social. Dessa forma, os</p><p>colaboradores de uma organização precisam estar bem informados referente à</p><p>engenharia social.</p><p>• O termo engenharia social é usado para caracterizar aquelas intrusões que não forem</p><p>técnicas,</p><p>enfatizando a interação humana.</p><p>• A engenharia social está relacionada a ter habilidade de iludir as pessoas com o</p><p>objetivo que os procedimentos de segurança da informação sejam violados.</p><p>• O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as</p><p>organizações, geralmente com a intenção de obter informações.</p><p>• Grifter é aquela pessoa que visa enganar pessoas, enquanto o engenheiro social visa</p><p>enganar as organizações.</p><p>• Phishing é um tipo de engenharia social na tentativa de se obter informações</p><p>confidenciais, por exemplo, senhas, nomes de usuário, detalhes do cartão de</p><p>pagamento, de uma pessoa por um canal de bate-papo, um fórum, por e-mail e afins.</p><p>O agressor geralmente finge ser alguém confiável ou conhecido do indivíduo.</p><p>47</p><p>• Acesso privilegiado é referente aos usuários que possuem direito de acesso acima de</p><p>um usuário normal.</p><p>• O acesso privilegiado é geralmente concedido aos usuários que precisam executar</p><p>funções de nível administrativo ou acessar dados confidenciais, que podem incluir o</p><p>acesso aos dados do titular do cartão.</p><p>• O acesso privilegiado pode incluir acesso físico e/ou lógico.</p><p>• Todos os colaboradores, sem exceção, precisam estar cientes das ameaças comuns,</p><p>para que, no mínimo, não sejam vítimas fáceis de golpes e tentativas do engenheiro</p><p>social/phishing.</p><p>• Os colaboradores que possuem conscientização quando são vítimas de ataques mais</p><p>sofisticados pelos engenheiros sociais conseguem minimizar os efeitos dos ataques,</p><p>reunindo informações necessárias e notificando o departamento apropriado por meio</p><p>dos canais certos.</p><p>• A organização depende de seus colaboradores para promover uma cultura consciente</p><p>da segurança, reduzir riscos e prevenir ameaças cibernéticas.</p><p>• É fundamental que exista a inclusão de conscientização de ataques de engenharia social.</p><p>• Uma maneira de um invasor usar a engenharia social é adquirir as credenciais de um</p><p>usuário e percorrer a organização de uma área de baixa segurança para uma área de</p><p>alta segurança.</p><p>• Os colaboradores devem estar cientes dos métodos comuns pelos quais fraudadores,</p><p>hackers ou outras pessoas mal-intencionados podem tentar obter credenciais, dados</p><p>de cartão de pagamento e outros dados confidenciais, para minimizar o risco de o</p><p>pessoal disseminar informações confidenciais involuntariamente a terceiros.</p><p>• A pessoa que é a vítima de uma extorsão é como uma marionete, só que manipulada</p><p>pelo homem. Para isso, basta apenas que o engenheiro social (fraudador) consiga</p><p>a confiança da pessoa, por meio de um conhecimento mínimo da organização para</p><p>obter a informação quista.</p><p>• Ao se tratar de pessoas, precisamos lembrar que seres humanos “[...] são imperfeitos</p><p>e situações de risco modificam os comportamentos naturais e decisões serão</p><p>fortemente baseadas em confiança ou grau de criticidade da situação” (RABELO</p><p>JÚNIOR; VIEIRA, 2015, p. 52).</p><p>• A organização precisa treinar e educar seus colaboradores referente aos ativos da</p><p>informação e como elas devem ser protegidas, para que os ataques de engenharia</p><p>social sejam identificados como situações de risco.</p><p>48</p><p>• Para criar e disseminar essa consciência as organizações devem criar e divulgar suas</p><p>políticas, normas e procedimentos de segurança da informação por meio de um</p><p>plano (programa) de treinamento e conscientização constantes.</p><p>• Um programa de conscientização de segurança robusto e implementado adequada-</p><p>mente auxilia a organização na educação, monitoramento e manutenção contínua da</p><p>conscientização de segurança dentro da organização.</p><p>• As políticas de segurança são instruções claras que fornecem as orientações de</p><p>comportamento do colaborador, visando proteger as informações.</p><p>• Os controles efetivos de segurança devem ser definidos tanto nos procedimentos</p><p>quanto nas políticas implementadas pelo treinamento dos colaboradores.</p><p>• Ao desenvolver uma política de segurança, deve-se levar em consideração que</p><p>existem colaboradores que não têm conhecimento da linguagem técnica.</p><p>• Jargões técnicos não devem ser utilizados para que o documento seja de fácil</p><p>entendimento por qualquer colaborador.</p><p>• Os colaboradores devem ser aconselhados sobre as consequências do não</p><p>cumprimento dos procedimentos e das políticas de segurança.</p><p>• O objetivo central de um programa de conscientização referente segurança deve</p><p>influenciar as pessoas para que elas mudem seu comportamento e suas atitudes,</p><p>motivando cada colaborador a querer entrar no programa e fazer a sua parte para</p><p>proteger os ativos de informações da organização.</p><p>• Alguns exercícios seguros que devem ser incorporados são: política de secretaria</p><p>limpa ou mesa limpa; política de traga seu próprio dispositivo, também conhecida</p><p>como Bring Your Own Device (BYOD), gerenciamento de dados, mídia removível,</p><p>hábitos seguros da internet, segurança física e controles ambientais, perigos de</p><p>redes sociais, golpes por e-mail, Malware e Hoaxes.</p><p>• Política de secretaria limpa ou mesa limpa são informações sensíveis em uma mesa,</p><p>como notas adesivas, papéis e impressões, podem ser facilmente capturadas por</p><p>mãos indevidas e vistas por olhares indiscretos.</p><p>• Durante o almoço ou qualquer partida de emergência durante o horário de expediente,</p><p>todas as informações críticas devem ser colocadas em uma gaveta trancada.</p><p>• BYOD abrange os bens de computação pessoal dos colaboradores que podem ser</p><p>usados em um ambiente de trabalho.</p><p>49</p><p>• BYOD podem incluir dispositivos móveis, reprodutores de áudio, câmeras digitais e</p><p>vários outros dispositivos eletrônicos portáteis que podem ser utilizados para roubar</p><p>dados confidenciais.</p><p>• Os BYODs também fazem parte da "consumerização de TI", pela qual o hardware e/ou</p><p>software de um consumidor é trazido para a organização.</p><p>• Os colaboradores devem aprender todos os tipos de dados, para que possam entender</p><p>o valor da informação para o negócio da organização.</p><p>• Existem vários tipos de dados, como uma cópia de backup dos contratos dos clientes</p><p>ou declarações de missão, e muitos colaboradores podem não estar cientes desse fato.</p><p>• Mídia removível não autorizada pode convidar problemas de segurança de dados,</p><p>infecção por Malware, falha de hardware e violação de direitos autorais.</p><p>• Mídia removível não autorizada pode ser um convite para problemas de segurança de</p><p>dados, infecção por Malware, falha de hardware e violação de direitos autorais.</p><p>• A equipe corporativa deve ser informada sobre as ameaças à mídia removível não</p><p>solicitada e proibir o acesso de qualquer mídia perdida, como um disco rígido externo.</p><p>• O uso seguro da internet é de suma importância para as organizações. Os programas</p><p>de conscientização em segurança devem incorporar hábitos seguros da internet,</p><p>evitando que a invasão na rede corporativa.</p><p>• Colaboradores devem estar familiarizados com ataques de phishing e aprender a não</p><p>abrir anexos maliciosos ou clicar em links suspeitos.</p><p>• Colaboradores devem ter o comportamento seguro de desativar as janelas pop-up,</p><p>pois elas convidam a riscos.</p><p>• Colaboradores devem ter o comportamento seguro de abster-se de instalar programas</p><p>de software de fontes desconhecidas, especialmente links infectados por Malware.</p><p>• Exemplos de questões espaciais no comportamento seguro para se ter segurança física</p><p>incluem: (i) visitantes ou novos contratados assistindo os colaboradores digitarem senhas;</p><p>(ii) entrada de visitantes que alegam ser inspetores, exterminadores ou outros visitantes</p><p>incomuns que possam procurar entrar no sistema; (iii) deixar senhas em pedaços de papel</p><p>na mesa; (iv) deixar o computador ligado e não protegido por senha ao sair do trabalho</p><p>durante a noite; (v) deixar um telefone ou dispositivo pelo escritório à vista.</p><p>• Os colaboradores devem ser cautelosos ao entrarem no prédio e deixarem pessoas</p><p>desconhecidas entrarem ou saírem nesse momento.</p><p>50</p><p>• É importante que o colaborador tenha o hábito do comportamento seguro e relatar</p><p>as devidas autoridades em situações como: perceber que uma porta habilitada para</p><p>cartão-chave</p><p>está presa e se abre mesmo sem a devida autorização ou se uma</p><p>câmera de segurança aparentemente está danificada ou desligada.</p><p>• As redes sociais também abrem as portas para ataques de phishing, que podem levar</p><p>a organização a um imenso desastre.</p><p>• Para evitar a perda de dados críticos, a organização deve ter um programa viável</p><p>de treinamento em redes sociais, limitando o uso dessas redes e orientando os</p><p>colaboradores em relação à ameaça de ataques de phishing.</p><p>• Um e-mail fraudulento atrai um usuário para a oferta gratuita, oportunidades de</p><p>negócios falsas, empréstimos ou créditos garantidos, dinheiro fácil, esquemas de</p><p>saúde e dieta e assim por diante.</p><p>• O comportamento seguro referente aos golpes por e-mail envolve: (i) não confiar em</p><p>e-mail não solicitado; (ii) não enviar fundos para pessoas que os solicitem por e-mail,</p><p>principalmente antes de verificar com a liderança; (iii) filtrar spam; (iv) configurar</p><p>o cliente de e-mail corretamente; (v) instalar um programa antivírus e firewall e os</p><p>manterem atualizados; (vi) não clicar em links desconhecidos em mensagens de</p><p>e-mail; (vii) cuidar com anexos de e-mail.</p><p>• Os tipos de Malware vistos na conscientização devem incluir adware, spyware, vírus,</p><p>Trojans, backdoors, rootkits, ransomware, botnets, bombas lógicas e vírus blindados.</p><p>• Uma farsa é definida como uma falsidade ou engano fabricada deliberadamente para</p><p>subterfúgio e vitimização dos usuários.</p><p>• Uma conscientização útil é aquela que ensina seus colaboradores sobre as possíveis</p><p>fraudes.</p><p>• É importante que os colaboradores saibam que em algum momento eles podem</p><p>receber uma ligação telefônica ou outra comunicação que será utilizará das</p><p>abordagens do engenheiro social (atacante) como parte de tal testes.</p><p>• A engenharia social é difícil de ser evitada, contudo, é necessária uma conscientização</p><p>contínua para que os colaboradores sempre saibam quais são as novas abordagens</p><p>utilizadas e como se lida com cada uma delas.</p><p>• A gestão dos perfis de acesso após a contratação dos colaboradores também deve</p><p>ser constantemente realizada.</p><p>51</p><p>AUTOATIVIDADE</p><p>1 A associação dos termos engenharia e social contém um sentido diferenciado re-</p><p>ferente à segurança da informação. Esses termos juntos concebem a forma que os</p><p>engenheiros utilizam de burlar pessoas para obter informações sigilosas de maneira</p><p>fácil e sem que estas pessoas se deem conta. O termo engenharia social é usado para</p><p>caracterizar aquelas intrusões que não forem técnicas e enfatizam qual interação?</p><p>a) ( ) Humana.</p><p>b) ( ) Em dispositivo móvel.</p><p>c) ( ) Computador.</p><p>d) ( ) Tecnológica.</p><p>2 A engenharia social está relacionada a ter habilidade de iludir as pessoas com o objetivo</p><p>que os procedimentos de segurança da informação sejam violados. Para isso, o engenhei-</p><p>ro social tem o perfil de ser uma pessoa com boa aparência, com habilidade em lidar com</p><p>pessoas, bem-educadas e agradáveis. Referente à engenharia social, analise as sentenças</p><p>a seguir, classificando com V as sentenças verdadeiras e com F as sentenças falsas:</p><p>( ) Grifter é aquela pessoa que visa enganar pessoas, enquanto o engenheiro social</p><p>visa enganar as organizações.</p><p>( ) Phishing é um tipo de engenharia social na tentativa de se obter informações</p><p>confidenciais, por exemplo, senhas, nomes de usuário, detalhes do cartão de</p><p>pagamento, de uma pessoa por um canal de bate-papo, um fórum, por e-mail e afins.</p><p>( ) O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra</p><p>as organizações, geralmente com a intenção de obter informações.</p><p>( ) As organizações não precisam se preocupar com a engenharia social apenas com hackers.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – V – F.</p><p>b) ( ) V – F – V – F.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) F – F – V – V.</p><p>3 Estabelecer e manter a conscientização sobre segurança da informação por meio de</p><p>um programa de conscientização sobre segurança é vital para o progresso e o sucesso</p><p>de uma organização. Um programa de conscientização de segurança robusto e imple-</p><p>mentado adequadamente auxilia a organização na educação, monitoramento e ma-</p><p>nutenção contínua da conscientização de segurança dentro da organização. Portanto,</p><p>a conscientização precisa fazer parte da cultura da organização. Como o programa de</p><p>conscientização deve ser conduzido para que ela faça parte da cultura da organização?</p><p>52</p><p>a) ( ) Projeto.</p><p>b) ( ) Processo.</p><p>c) ( ) Melhoria continuada (programa contínuo).</p><p>d) ( ) Seminário.</p><p>4 O objetivo central de um programa de conscientização referente à segurança deve</p><p>influenciar as pessoas para que elas mudem seu comportamento e suas atitudes,</p><p>motivando cada colaborador a querer entrar no programa e fazer a sua parte para proteger</p><p>os ativos de informações da organização. Referente ao comportamento seguro, analise</p><p>as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas:</p><p>( ) Política de secretaria limpa ou mesa limpa se preocupa com notas adesivas, papéis</p><p>e impressões podem ser facilmente capturadas por pessoas mal-intencionadas e</p><p>vistas por olhares indiscretos.</p><p>( ) O BYOD abrange os bens de computação pessoal dos colaboradores que podem</p><p>ser usados em um ambiente de trabalho.</p><p>( ) Gerenciamento de dados está relacionado aos colaboradores não estarem cientes.</p><p>( ) Mídia removível não autorizada pode ser um convite para problemas de segurança</p><p>de dados, infecção por Malware, falha de hardware e violação de direitos autorais.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – F – F.</p><p>b) ( ) V – F – V – F.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) V – V – V – V.</p><p>5 Os golpes de e-mail envolvem e-mails fraudulentos e não solicitados que oferecem uma</p><p>pechincha por nada. Um e-mail fraudulento atrai um usuário para a oferta gratuita, oportu-</p><p>nidades de negócios falsas, empréstimos ou créditos garantidos, dinheiro fácil, esquemas</p><p>de saúde e dieta e assim por diante. Um hábito de comportamento seguro e que deve estar</p><p>incorporado nos hábitos dos colaboradores da organização é a dica dos colaboradores toma-</p><p>rem conhecimento dos golpes de e-mail e que eles sejam instruídos sobre como evitá-los.</p><p>I - Não confiar em e-mail não solicitado.</p><p>II - Os spams não precisam ser filtrados, pois não trazem golpes, apenas e-mails</p><p>indesejados.</p><p>III - Instalar programa antivírus e firewall e os manterem atualizados.</p><p>IV - Cuidar com anexos de e-mail.</p><p>Assinale a alternativa que contém somente sentenças corretas:</p><p>a) ( ) As sentenças I, III e IV estão corretas.</p><p>b) ( ) As sentenças I e II estão corretas.</p><p>c) ( ) As sentenças II, III e IV estão corretas.</p><p>d) ( ) As sentenças III e IV estão corretas.</p><p>53</p><p>TÓPICO 3 -</p><p>PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR</p><p>UM PROGRAMA DE CONSCIENTIZAÇÃO DE</p><p>SEGURANÇA</p><p>1 INTRODUÇÃO</p><p>A Security Awareness Program Special Interest Group (2014) traz práticas</p><p>recomendadas a serem aplicadas no desenvolvimento em um plano de programa de</p><p>conscientização, que iremos tratar neste tópico. Este programa pode ser utilizado como</p><p>ponto de partida, tanto para organizações que estão iniciando na conscientização</p><p>como para ser utilizado como um referencial dos requisitos mínimos sobre o Payment</p><p>Card Industry – Data Security Standard (PCI – DSS), que é um Padrão de Segurança</p><p>de Dados da Indústria de Pagamento com Cartão. Também abordaremos as práticas</p><p>relacionadas às ameaças e vulnerabilidades enfrentadas pelas organizações, nesse</p><p>ambiente em constante mudanças e as práticas para reforçar a cultura organizacional.</p><p>Esta orientação se concentra principalmente nas seguintes práticas recomendadas:</p><p>• Reconhecimento de segurança organizacional: nesse item deve-se dar atenção</p><p>especial para formação da equipe de reconhecimento de segurança, fazer o</p><p>reconhecimento, baseando-se nas funções organizacionais, ter métricas bem</p><p>definidas e como elas serão avaliadas, ter um conteúdo apropriado de conscientização</p><p>e a maneira que a conscientização será comunicada, ou seja, a comunicação da</p><p>conscientização</p><p>de segurança dentro da organização.</p><p>• Conteúdo de conscientização de segurança: um aspecto crítico da conscientização</p><p>é determinar o tipo de conteúdo que será utilizado.</p><p>• Determinar as diferentes funções dentro de uma organização: é o primeiro passo</p><p>para desenvolver um conteúdo apropriado e determinar as informações que devem</p><p>estar inclusas na conscientização.</p><p>• Lista de verificação do treinamento de conscientização de segurança: estabelecer uma</p><p>lista de verificação pode ajudar uma organização a desenvolver, monitorar e/ou manter</p><p>um programa de treinamento de conscientização de segurança de forma eficaz.</p><p>UNIDADE 1</p><p>Payment Card Industry – Data Security Standard (PCI – DSS) é um Padrão de</p><p>Segurança de Dados da Indústria de Pagamento com Cartão.</p><p>NOTA</p><p>54</p><p>2.2 DETERMINAR FUNÇÕES PARA CONSCIENTIZAÇÃO DE</p><p>SEGURANÇA</p><p>A conscientização de segurança baseada em funções provê às organizações de</p><p>realizarem o treinamento nos níveis apropriados, baseando-se em suas funções de trabalho.</p><p>O treinamento pode ser expandido, acontecer de alguma maneira combinada ou algo ser</p><p>removido, conforme os níveis de responsabilidade e os papéis definidos na organização.</p><p>O objetivo é criar um catálogo de referência de vários tipos e profundidades de</p><p>treinamento, auxiliando as organizações a prover treinamento certo para as pessoas</p><p>certas, na hora certa. Ao se fazer isso, a segurança da organização é melhorada e se</p><p>mantém a conformidade com o PCI DSS. Quer o foco seja uma abordagem singular,</p><p>holística ou em camadas, o conteúdo pode ter um escopo definido para atender aos</p><p>requisitos de uma organização.</p><p>Identificar níveis de responsabilidade</p><p>2 PRÁTICAS RECOMENDADAS DE CONSCIENTIZAÇÃO SOBRE</p><p>SEGURANÇA ORGANIZACIONAL</p><p>Como vimos anteriormente, a conscientização de segurança da informação</p><p>da organização deve ser tratada como uma melhoria continuada, garantindo que</p><p>o treinamento e o conhecimento sejam mantidos diariamente em alto nível de</p><p>conscientização de segurança. Outra boa prática, é que a proteção de dados do titular</p><p>do cartão (Card Holder Data – CHD) deve fazer parte do programa de conscientização</p><p>sobre segurança da informação em toda a organização. Garantir que a equipe esteja</p><p>ciente da importância da segurança dos dados do titular do cartão é importante para o</p><p>sucesso de um programa de conscientização de segurança.</p><p>O objetivo desse item, a partir daqui, é trazer as práticas recomendadas para os</p><p>três passos críticos do plano de programa de conscientização.</p><p>2.1 MONTAR A EQUIPE DE CONSCIENTIZAÇÃO DE SEGURANÇA</p><p>O primeiro passo é montar uma equipe de conscientização. Essa equipe é res-</p><p>ponsável pelo desenvolvimento, entrega e manutenção do programa de conscientiza-</p><p>ção de segurança. Recomenda-se que a equipe seja composta por pessoas de diferen-</p><p>tes áreas da organização, com responsabilidades diferentes, representando uma seção</p><p>transversal da organização. A presença de uma equipe ajudará a garantir o sucesso do</p><p>programa de conscientização de segurança por meio da atribuição de responsabilidade</p><p>pelo programa. O tamanho e a participação da equipe de conscientização de segurança</p><p>dependerão das necessidades específicas de cada organização e de sua cultura.</p><p>55</p><p>Segundo Security Awareness Program Special Interest Group (2014), a primeira</p><p>tarefa ao definir um programa de conscientização de segurança baseado em funções</p><p>é agrupar indivíduos de acordo com suas funções, ou seja, conforme as funções de</p><p>trabalho, na organização. Um conceito simplificado disso é mostrado na Figura 8.</p><p>FIGURA 8 - FUNÇÕES DE CONSCIENTIZAÇÃO DE SEGURANÇA PARA ORGANIZAÇÕES</p><p>FONTE: Security Awareness Program Special Interest Group (2014, p. 4)</p><p>A Figura 8 identifica três tipos de funções: todo o pessoal, funções especializadas</p><p>e gerenciamento. Um programa sólido de conscientização ajudará todas as pessoas da</p><p>organização a reconhecerem ameaças, verem a segurança como benéfica para a tomar</p><p>como hábito no trabalho e em casa, e se sentirem confortável em relatarem possíveis</p><p>problemas de segurança. Esse grupo de usuários deve estar ciente da sensibilidade</p><p>dos dados do cartão de pagamento, mesmo que suas responsabilidades diárias não</p><p>envolvam o trabalho com os dados do cartão de pagamento.</p><p>O treinamento adicional para aqueles em Funções Especializadas deve se</p><p>concentrar na obrigação das pessoas seguirem procedimentos seguros para lidar com</p><p>informações confidenciais e reconhecer os riscos associados se o acesso privilegiado</p><p>for mal utilizado. Exemplos de usuários, nessa categoria, podem incluir aqueles que</p><p>processam cartões de pagamento, escrevem aplicativos que processam cartões de</p><p>pagamento, constroem bancos de dados para manter o CHD ou projetam e constroem</p><p>redes pelas quais o CHD atravessa. Cada uma dessas funções especializadas requer</p><p>treinamento e conscientização adicionais para criar e manter um ambiente seguro.</p><p>Além disso, pode ser necessário treinamento específico para incluir o entendimento dos</p><p>requisitos do PCI DSS e PA-DSS.</p><p>A gerência possui necessidades adicionais de treinamento que podem diferir</p><p>das duas áreas anteriores. A gerência precisa entender a política de segurança da</p><p>organização e os requisitos de segurança suficientemente bem, para que possam</p><p>discutir e reforçar positivamente a mensagem para a equipe, assim como incentivar</p><p>a conscientização, reconhecer e resolver problemas relacionados à segurança, caso</p><p>56</p><p>ocorram. O nível de conscientização para a gerência pode precisar que seja incluído no</p><p>programa um entendimento de como as diferentes áreas estão relacionadas. Assim,</p><p>os gerentes da equipe com acesso privilegiado devem ter um entendimento sólido dos</p><p>requisitos de segurança de sua equipe, especialmente aqueles com acesso a dados</p><p>confidenciais. O treinamento para a gerência também ajudará nas decisões de proteção</p><p>das informações da organização.</p><p>Estabelecer conhecimento mínimo de segurança</p><p>Security Awareness Program Special Interest Group (2014) coloca, que esta-</p><p>belecer um nível mínimo de conscientização para todo o pessoal pode ser a base do</p><p>programa de conscientização de segurança. Esse programa pode ser realizado de algu-</p><p>mas maneiras, incluso com treinamento formal, treinamento baseado em computador,</p><p>e-mails e circulares, memorandos, avisos, boletins, pôsteres etc.</p><p>O programa de conscientização sobre segurança deve ser ministrado de</p><p>maneira que se adapte à cultura geral de organização e que tenha o maior impacto para</p><p>as pessoas da organização. A Figura 9 traz o treinamento de conscientização, que deve</p><p>aumentar conforme o nível de risco associado a diferentes funções.</p><p>FIGURA 9 - TREINAMENTO DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA</p><p>FONTE: Security Awareness Program Special Interest Group (2014, p. 5)</p><p>Determinar o conteúdo do treinamento e a aplicabilidade com base no</p><p>PCI DSS</p><p>Caso a organização queira implantar o PCI DSS, o conteúdo do treinamento</p><p>pode ser subdividido para mapear os requisitos que lhe sejam aplicáveis do PCI DSS.</p><p>O item 3 desta unidade, contém mais informações relacionadas ao conteúdo do</p><p>treinamento para os diferentes níveis de uma organização (SECURITY AWARENESS</p><p>PROGRAM SPECIAL INTEREST GROUP, 2014).</p><p>57</p><p>Caso você queira se aprofundar nesse estudo, leia o Apêndice A de Security</p><p>Awareness Program Special Interest Group (2014): Information supplement:</p><p>best practices for implementing a security awareness program. Disponível</p><p>em: https://www.pcisecuritystandards.org/documents/PCI_DSS_V1.0_Best_</p><p>Practices_for_Implementing_Security_Awareness_Program.pdf. Acesso em:</p><p>30 mar. 2020.</p><p>DICAS</p><p>2.3 CONSCIENTIZAÇÃO DE SEGURANÇA EM TODA</p><p>ORGANIZAÇÃO</p><p>Para Security Awareness Program Special Interest Group (2014), a chave para</p><p>um programa eficaz de conscientização de segurança é direcionar a entrega de material</p><p>relevante ao público apropriado de maneira oportuna e eficiente. Para ser eficaz, o canal</p><p>de comunicação também deve se adequar à cultura da organização. Ao disseminar</p><p>o treinamento de conscientização sobre segurança por meio de vários canais</p><p>de</p><p>comunicação, a organização garante que o pessoal seja exposto à mesma informação</p><p>várias vezes de diferentes maneiras. Desta forma, as pessoas se lembram das informações</p><p>a elas apresentadas. O conteúdo pode precisar ser adaptado dependendo do canal. Por</p><p>exemplo, o conteúdo de um boletim eletrônico pode ser diferente do conteúdo de um</p><p>seminário de treinamento ministrado por instrutor, mesmo que ambos tenham a mesma</p><p>mensagem subjacente. O canal de comunicação usado deve corresponder ao público que</p><p>recebe o conteúdo do treinamento e o tipo de conteúdo, bem como o próprio conteúdo.</p><p>Os métodos de comunicação eletrônica podem ser de notificações por e-mail,</p><p>e-Learning, mídia social interna etc. É importante direcionar notificações de conscientização</p><p>de segurança eletrônica para o público apropriado, garantindo assim, que as informações</p><p>sejam lidas e entendidas. Cabe destacar, que pessoas muito ocupadas acabam ignorando</p><p>mais facilmente as notificações eletrônicas. Portanto, ao direcionar o canal de material e</p><p>comunicação para o pessoal relevante, a equipe de conscientização de segurança pode</p><p>adotar práticas mais eficazes do programa de conscientização de segurança (SECURITY</p><p>AWARENESS PROGRAM SPECIAL INTEREST GROUP, 2014).</p><p>As notificações não eletrônicas podem ser na forma de pôsteres, malas diretas</p><p>internas, boletins e eventos de treinamento ministrados por instrutores. Eventos</p><p>pessoais de conscientização de segurança envolvendo a participação ativa do pessoal</p><p>podem ser extremamente eficazes. A inclusão de atividades envolvendo o público, como</p><p>atividades baseadas em cenários, ajudam a garantir que os conceitos sejam entendidos</p><p>e lembrados. Por exemplo, um exercício estruturado de engenharia social ensinará aos</p><p>colaboradores de forma rápida a identificar um ataque de engenharia social e reagir</p><p>adequadamente.</p><p>58</p><p>O tamanho da audiência em uma apresentação liderada por instrutor é</p><p>importante: quanto maior o grupo, maior o risco de que o conteúdo não</p><p>seja comunicado efetivamente, pois os indivíduos podem perder o foco no</p><p>material apresentado se não se sentirem envolvidos.</p><p>O “almoce e aprenda” ou “almoço e aprendizado” se refere à organização</p><p>proporcionar aos colaboradores uma maneira de desenvolver o</p><p>conhecimento dos colaboradores e despertar seu interesse por</p><p>oportunidades de crescimento e desenvolvimento. O “almoce e aprenda”</p><p>propicia o compartilhamento de informações de forma amigável e casual.</p><p>O evento pode envolver alimentos fornecidos pela organização ou levados</p><p>pelos colaboradores e podem incluir palestrantes convidados, vídeos</p><p>educacionais e sessões finais de perguntas e respostas. Portanto, são</p><p>momentos para oportunizar o aprendizado de colaborados interessados.</p><p>IMPORTANTE</p><p>NOTA</p><p>Seminários internos, treinamento fornecido durante os intervalos para o almoço,</p><p>comumente chamado de "almoce e aprenda" e eventos sociais dos colaboradores</p><p>também são ótimas oportunidades para a equipe de conscientização de segurança</p><p>interagir com o pessoal e introduzir conceitos de segurança.</p><p>Agora, tire uns minutos para ver o UNI NOTA e o UNI DICAS que preparamos</p><p>para você.</p><p>Caso você queira se aprofundar nesse estudo, referente aos métodos de</p><p>comunicar a conscientização de segurança em toda a organização, leia</p><p>o Apêndice B de Security Awareness Program Special Interest Group (2014):</p><p>Information supplement: best practices for implementing a security awareness</p><p>program. Disponível em: https://www.pcisecuritystandards.org/documents/</p><p>PCI_DSS_V1.0_Best_Practices_for_Implementing_Security_Awareness_</p><p>Program.pdf. Acesso em: 30 mar. 2020.</p><p>DICAS</p><p>59</p><p>Security Awareness Program Special Interest Group (2014) recomenda que</p><p>a comunicação da conscientização sobre segurança seja incluída nos processos de</p><p>novos contratados, bem como quando os colabores mudam de função. O treinamento</p><p>de conscientização de segurança pode ser combinado com outros requisitos</p><p>organizacionais, como acordos de confidencialidade e ética. Cada cargo na organização</p><p>deve ser identificado com base da sua necessidade de nível de acesso a dados. Para</p><p>garantir que a equipe de conscientização de segurança seja notificada sempre que</p><p>uma função identificada como necessitando de conscientização de segurança for</p><p>preenchida, recomenda-se que essa etapa seja incluída no processo para todas as</p><p>novas classificações ou reclassificações. A inclusão no processo de nova contratação</p><p>ou reclassificação garante que as metas gerais de treinamento sejam promovidas sem</p><p>depender de unidades organizacionais individuais.</p><p>Security Awareness Program Special Interest Group (2014) observa que a</p><p>liderança de gerenciamento e o suporte ao programa de conscientização de segurança</p><p>são cruciais para que a equipe tenha sucesso. Os gerentes são incentivados a:</p><p>• Incentivar ativamente o pessoal a participar e defender os princípios de</p><p>conscientização de segurança.</p><p>• Modelar a abordagem de conscientização de segurança apropriada para reforçar o</p><p>aprendizado obtido com o programa.</p><p>• Incluir métricas de conscientização de segurança nas análises de gerenciamento e</p><p>desempenho da equipe.</p><p>3 CONTEÚDO DO TREINAMENTO DE CONSCIENTIZAÇÃO</p><p>DE SEGURANÇA DA INFORMAÇÃO</p><p>Conforme discutido no item 2 deste tópico, é recomendado que o conteúdo</p><p>do treinamento seja determinado com base na função e na cultura da organização.</p><p>A equipe de conscientização de segurança pode coordenar com as devidas unidades</p><p>organizacionais a classificação por função, determinando o nível de treinamento</p><p>de conscientização necessário para cada atividade de acordo com sua função.</p><p>Isso é vital no desenvolvimento de conteúdo, pois é tão fácil "treinar demais" um</p><p>colaborador quanto "treinar" um colaborador. Nos dois casos, se as informações não</p><p>forem absorvidas adequadamente, a organização pode correr riscos desnecessários,</p><p>independentemente da função. Portanto, é recomendável que todos os colaboradores</p><p>recebam treinamento básico de conscientização sobre segurança, desenvolvido de</p><p>acordo com a política organizacional. Além do treinamento geral de conscientização</p><p>sobre segurança, recomenda-se que a equipe seja exposta a conceitos gerais de</p><p>segurança de dados do titular do cartão, promovendo o manuseio adequado dos dados</p><p>em conformidade com a função exercida na organização.</p><p>60</p><p>Os materiais de treinamento devem estar disponíveis para todas as áreas da</p><p>organização. Os materiais de conscientização e treinamento em segurança podem ser</p><p>desenvolvidos internamente, adaptados de uma agência especializada ou adquiridos de</p><p>um fornecedor. Existem fornecedores de conscientização de segurança que desenvolvem</p><p>materiais como os de treinamento baseado em computador (Team-Based Learning –</p><p>TBL), pôsteres e boletins. Por exemplo, o PCI SSC e outros fornecedores de e-Learning</p><p>oferecem treinamento sobre tópicos como: compreensão do PCI DSS, práticas seguras de</p><p>senha, como evitar a engenharia social, como evitar downloads maliciosos etc.</p><p>Embora, o plano do programa de conscientização em segurança da informação</p><p>de uma organização geralmente é específico e personalizado, é aconselhável que a</p><p>organização incorpore as melhores práticas da área, utilizando materiais de referência</p><p>confiáveis. O Quadro 8 traz alguns destes materiais, que serão aprofundados na nossa</p><p>segunda unidade de estudo. Cabe destacar ainda, que devido ao aumento do foco na</p><p>conscientização sobre segurança cibernética, muitas agências governamentais e órgãos</p><p>da indústria fornecem materiais de treinamento de forma pública, sem nenhum custo.</p><p>QUADRO 8 – REFERENCIAL CONFIÁVEL</p><p>FONTE: Adaptado de Security Awareness Program Special Interest Group (2014)</p><p>MATERIAL SITE DESCRIÇÃO</p><p>Publicação Especial 800-</p><p>50 do Instituto Nacional de</p><p>Padrões e Tecnologia (NIST)</p><p>www.nist.gov</p><p>Material para construir um</p><p>plano de conscientização e</p><p>treinamento em segurança de</p><p>tecnologia da informação.</p><p>Organização Internacional de</p><p>Padrões (ISO) 27002: 2013</p><p>www.iso.org</p><p>Código de práticas para técnicas</p><p>de Segurança da Tecnologia</p><p>da</p><p>Informação para controles de</p><p>Segurança da Informação.</p><p>Organização Internacional de</p><p>Padrões (ISO) 27001: 2013</p><p>www.iso.org</p><p>Tecnologia da informação</p><p>– Técnicas de segurança –</p><p>Sistemas de gerenciamento de</p><p>segurança da informação.</p><p>COBIT www. isaca.org/cobit</p><p>Orientação Detalhada: Ativador</p><p>de Serviços, Infraestrutura e</p><p>Aplicativos, Sensibilização para</p><p>a Segurança.</p><p>61</p><p>Security Awareness Program Special Interest Group (2014) observa que a</p><p>escolha dos materiais a serem utilizados irá depender da organização. Cada organização</p><p>deve considerar o tempo, os recursos e a cultura ao selecionar os materiais a serem</p><p>usados no treinamento de conscientização. Todas as práticas recomendadas, neste</p><p>tópico, podem ser incluídas na conscientização, no entanto, essas melhores práticas</p><p>não são um requisito obrigatório.</p><p>3.1 TODOS DA ORGANIZAÇÃO</p><p>Security Awareness Program Special Interest Group (2014) recomenda como boa prá-</p><p>tica, que o treinamento geral de segurança para todos da organização inclua a definição do que</p><p>constituem os dados do titular do cartão e os dados de autenticação confidenciais, bem como</p><p>a responsabilidade da organização de proteger ambos. Para garantir que todos se envolvam</p><p>é necessário que as funções e responsabilidades de cada um sejam descritas durante todo o</p><p>treinamento de conscientização de segurança, em conformidade com a política organizacional.</p><p>Como os dados estão em risco, tanto no formato eletrônico quanto no não</p><p>eletrônico (papel), é recomendável que as diferentes maneiras de proteger as informações</p><p>para diferentes mídias sejam cobertas em um nível básico para todo o pessoal. Por exemplo,</p><p>considerações para proteger dados em formato eletrônico podem incluir armazenamento,</p><p>transmissão e descarte seguros. As considerações para formatos baseados em papel</p><p>também podem incluir armazenamento e descarte seguros, além de uma política de</p><p>"mesa limpa". Sem entender como os diferentes tipos de mídia precisam ser protegidos, o</p><p>pessoal pode inadvertidamente manipular os dados de maneira insegura.</p><p>Security Awareness Program Special Interest Group (2014) ainda ressalta, que</p><p>outra consideração importante para a inclusão no treinamento de segurança geral é a</p><p>conscientização de ataques de engenharia social. Uma maneira de um invasor utilizar</p><p>a engenharia social é adquirir as credenciais de um usuário e percorrer a organização</p><p>de uma área de baixa segurança para uma área de alta segurança. Adaptar essa</p><p>conscientização provê resultados mais eficazes quando se refletem os tipos de ataques</p><p>que a organização pode encontrar.</p><p>Portanto, os usuários precisam estar cientes dos métodos mais comumente utilizados</p><p>pelos fraudadores, hackers ou outros indivíduos mal-intencionados, que podem tentar obter</p><p>credenciais, dados de cartão de pagamento e outros dados confidenciais, visando minimizar o</p><p>risco de o pessoal disseminar informações confidenciais involuntariamente a terceiros. Security</p><p>Awareness Program Special Interest Group (2014) também recomenda que seja realizado o trei-</p><p>namento em políticas e procedimentos organizacionais, que especificam o manuseio adequado</p><p>dos dados, incluso o compartilhamento e a transmissão de dados confidenciais.</p><p>O programa de treinamento deve exigir que as pessoas reconheçam que</p><p>receberam e compreenderam o conteúdo a eles entregue. Isso é crucial para o sucesso</p><p>do programa de conscientização. Se o conteúdo é entregue e não compreendido, o</p><p>62</p><p>colaborador ainda poderá inadvertidamente colocar em risco as informações da</p><p>organização. O feedback referente ao conteúdo e o entendimento do treinamento é</p><p>essencial para garantir que a equipe compreenda o conteúdo e as políticas de segurança</p><p>da organização. Nesse sentido, Security Awareness Program Special Interest Group</p><p>(2014) traz o seguinte exemplo de conteúdo que normalmente consta em treinamento</p><p>geral de conscientização referente a segurança:</p><p>• Política de conscientização de segurança da organização.</p><p>• Impacto do acesso não autorizado, por exemplo, sistemas ou instalações.</p><p>• Conhecimento dos requisitos de segurança do CHD para diferentes ambientes de</p><p>pagamento.</p><p>• Ambientes presentes no cartão.</p><p>• Ambientes sem cartão.</p><p>• Telefone (individual ou central de atendimento).</p><p>• Correio.</p><p>• Fax.</p><p>• On-line, comércio eletrônico.</p><p>• Como obter mais informações sobre a proteção de CHD na organização, por exemplo,</p><p>agente de segurança, gerenciamento etc.</p><p>• Importância de senhas fortes e controles de senha.</p><p>• Práticas de e-mail seguro.</p><p>• Práticas para trabalhar remotamente de maneira segura.</p><p>• Evitar software malicioso – vírus, spyware, adware etc.</p><p>• Práticas de navegação segura.</p><p>• Segurança de dispositivos móveis, incluindo BYOD.</p><p>• Uso seguro das mídias sociais.</p><p>• Como relatar um possível incidente de segurança e a quem o reportar.</p><p>• Proteção contra-ataques de engenharia social.</p><p>• Pessoal – Acesso físico.</p><p>• Telefone – falsificação de identificação de chamadas.</p><p>• E-mail – Phishing, Spear Phishing (Falsificação de endereço de e-mail).</p><p>• Mensagens instantâneas.</p><p>• Segurança física.</p><p>• Shoulder surfing.</p><p>• Dumpster Diving.</p><p>• Shoulder surfing é o “espiar sobre os ombros”, ou seja, este tipo de</p><p>ataque é ocasionado quando uma das pessoas envolvidas consegue</p><p>(ou é capaz de) olhar sobre o ombro de outra pessoa e/ou espionar a</p><p>tela do outro.</p><p>• Dumpster Diving (ou trashing) é o termo utilizado para a ação de hackers</p><p>que vasculham a lixeira.</p><p>NOTA</p><p>63</p><p>3.2 GERÊNCIA</p><p>Além do conteúdo utilizado para todos de forma geral, o treinamento voltado</p><p>para gerência, segundo Security Awareness Program Special Interest Group (2014), deve</p><p>incluir informações mais detalhadas referente às consequências de uma violação para</p><p>as partes interessadas da gerência. A gerência deve entender não apenas as penalidades</p><p>monetárias oriundas da não proteção do cartão, mas também os danos permanentes</p><p>causados à organização, referente à reputação (marca). Esse fator geralmente é</p><p>ignorado quando as organizações terceirizam o processamento de pagamentos, mas é</p><p>extremamente importante.</p><p>Conforme discutido anteriormente, a gerência precisa ter de compreender os</p><p>requisitos de segurança de maneira conseguir discuti-los e reforçá-los, além de incentivar</p><p>as pessoas a seguir os requisitos. Recomenda-se que o treinamento de conscientização</p><p>referente à segurança da gerência inclua conteúdo específico relevante a área de</p><p>responsabilidade, particularmente áreas com acesso a dados confidenciais.</p><p>A gerência que tem conhecimento sobre segurança entende melhor quais são os</p><p>fatores de risco para as informações da organização. Esse conhecimento os ajuda a tomar</p><p>decisões bem fundamentadas referente às operações de negócios. Os gerentes com</p><p>conhecimento de segurança também podem ajudar no desenvolvimento de políticas de</p><p>segurança de dados, procedimentos seguros e treinamento de conscientização de segurança.</p><p>3.3 FUNÇÕES ESPECIALISTAS</p><p>As categorias listadas no Quadro 9 são exemplos de algumas funções e conteúdo</p><p>de treinamento que pode ser adequado para esses usuários. As funções especialistas</p><p>de cada organização podem diferir, e o tipo de treinamento para cada função precisará</p><p>ser considerado com precaução.</p><p>QUADRO 9 – FUNÇÕES E CONTEÚDO</p><p>FUNÇÃO DESCRIÇÃO</p><p>Colaboradores de caixa</p><p>-contabilidade</p><p>Ao desenvolver um treinamento de conscientização de</p><p>segurança da equipe de caixa/contabilidade, é importante</p><p>lembrar que o pessoal nessas funções geralmente é a primeira</p><p>linha de defesa, devido interagirem diretamente com os clientes</p><p>e os cartões de pagamento desses clientes. O treinamento para</p><p>caixas pode incluir como inspecionar dispositivos de ponto de</p><p>venda, para adulteração no início de cada turno e se atentar a</p><p>comportamentos suspeitos em áreas nas quais o público tem</p><p>acesso a terminais de pagamento.</p><p>64</p><p>Equipe de compras</p><p>Se uma organização compartilhar o CHD ou terceirizar uma</p><p>função que possa impactar a segurança do ambiente dos</p><p>CDE é necessário a compreensão de determinados requisitos</p><p>para garantir a proteção contínua</p><p>ORGANIZACIONAL ........................................................................................................... 54</p><p>2.1 MONTAR A EQUIPE DE CONSCIENTIZAÇÃO DE SEGURANÇA ..................................................54</p><p>2.2 DETERMINAR FUNÇÕES PARA CONSCIENTIZAÇÃO DE SEGURANÇA ..................................54</p><p>2.3 CONSCIENTIZAÇÃO DE SEGURANÇA EM TODA ORGANIZAÇÃO ............................................ 57</p><p>3 CONTEÚDO DO TREINAMENTO DE CONSCIENTIZAÇÃO DE SEGURANÇA</p><p>DA INFORMAÇÃO ..............................................................................................................59</p><p>3.1 TODOS DA ORGANIZAÇÃO..................................................................................................................61</p><p>3.2 GERÊNCIA .............................................................................................................................................63</p><p>3.3 FUNÇÕES ESPECIALISTAS ...............................................................................................................63</p><p>3.4 DEFINIR MÉTRICAS PARA AVALIAR O TREINAMENTO DE CONSCIENTIZAÇÃO ..................65</p><p>4 LISTA DE VERIFICAÇÃO DO PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA ... 66</p><p>LEITURA COMPLEMENTAR ................................................................................................ 69</p><p>RESUMO DO TÓPICO 3 ........................................................................................................ 82</p><p>AUTOATIVIDADE ................................................................................................................. 86</p><p>UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA</p><p>DA INFORMAÇÃO ......................................................................................... 89</p><p>TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY</p><p>(COBIT) ............................................................................................................. 91</p><p>1 INTRODUÇÃO ..................................................................................................................... 91</p><p>2 FRAMEWORK COBIT ........................................................................................................ 92</p><p>3 COMPORTAMENTO HUMANO E O COBIT .......................................................................107</p><p>3.1 CULTURA, ÉTICA E COMPORTAMENTO e PESSOAS, HABILIDADES E COMPETÊNCIAS ..............108</p><p>3.2 PROCESSOS REFERENTE À CONSCIENTIZAÇÃO ......................................................................118</p><p>RESUMO DO TÓPICO 1 .......................................................................................................120</p><p>AUTOATIVIDADE ................................................................................................................124</p><p>TÓPICO 2 - PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO:</p><p>ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 ............. 127</p><p>1 INTRODUÇÃO ................................................................................................................... 127</p><p>2 ABNT NBR ISO/IEC 27001:2013 ....................................................................................128</p><p>2.1 ESTRUTURA DA ABNT NBR ISO/IEC 27001:2013 ......................................................................130</p><p>2.2 VISÃO GERAL DO ANEXO A DA ABNT NBR ISO/IEC 27001:2013 ........................................... 139</p><p>3 ABNT NBR ISO/IEC 27002:2013 ................................................................................... 141</p><p>3.1 ESTRUTURA DA ABNT NBR ISO/IEC 27002:20131 .................................................................... 142</p><p>RESUMO DO TÓPICO 2 .......................................................................................................156</p><p>AUTOATIVIDADE ................................................................................................................160</p><p>TÓPICO 3 - CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E</p><p>TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL</p><p>INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) ..............................163</p><p>1 INTRODUÇÃO ...................................................................................................................163</p><p>2 ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO ....................................164</p><p>2.1 ESTRUTURANDO O PROGRAMA ................................................................................................... 165</p><p>2.2 AVALIANDO AS NECESSIDADES ................................................................................................... 165</p><p>2.3 DESENVOLVENDO A ESTRATÉGIA E O PLANO DE CONSCIENTIZAÇÃO E TREINAMENTO ..........168</p><p>2.4 ESTABELECENDO PRIORIDADES .................................................................................................. 169</p><p>2.5 ESTABELECENDO O PADRÃO ........................................................................................................ 170</p><p>2.6 FINANCIAMENTO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO EM</p><p>SEGURANÇA ..................................................................................................................................... 172</p><p>3 ETAPA 2: DESENVOLVIMENTO DE MATERIAIS DE CONSCIENTIZAÇÃO E</p><p>DE TREINAMENTO ........................................................................................................... 173</p><p>3.1 DESENVOLVENDO MATERIAL DE CONSCIENTIZAÇÃO ............................................................ 174</p><p>3.2 DESENVOLVENDO MATERIAL DE TREINAMENTO .....................................................................176</p><p>4 ETAPA 3: IMPLEMENTAÇÃO DO PROGRAMA ................................................................ 176</p><p>4.1 COMUNICAÇÃO DO PLANO ..............................................................................................................177</p><p>4.2 TÉCNICAS PARA CRIAR MATERIAL DE CONSCIENTIZAÇÃO ...................................................177</p><p>4.3 TÉCNICAS PARA CRIAR MATERIAL DE TREINAMENTO ........................................................... 178</p><p>5 ETAPA 4: PÓS-IMPLEMENTAÇÃO ................................................................................. 179</p><p>5.1 MONITORANDO A CONFORMIDADE ..............................................................................................180</p><p>5.2 AVALIAÇÃO E FEEDBACK ...............................................................................................................182</p><p>5.3 GERENCIANDO MUDANÇAS ..........................................................................................................184</p><p>5.4 MELHORIA CONTÍNUA (ELEVANDO O PADRÃO ESTABELECIDO) .........................................184</p><p>5.5 INDICADORES DE SUCESSO ..........................................................................................................185</p><p>LEITURA COMPLEMENTAR ...............................................................................................186</p><p>RESUMO DO TÓPICO 3 .......................................................................................................193</p><p>AUTOATIVIDADE ................................................................................................................198</p><p>UNIDADE 3 — VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO .......201</p><p>TÓPICO 1 — VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO ...................... 203</p><p>1 INTRODUÇÃO .................................................................................................................. 203</p><p>2 VISÃO CORPORATIVA .................................................................................................... 207</p><p>2.1. CONSCIENTIZAÇÃO DO CORPO EXECUTIVO .............................................................................210</p><p>2.2 RETORNO SOBRE O INVESTIMENTO ............................................................................................218</p><p>3 POSICIONAMENTO HIERÁRQUICO ADEQUADO ...........................................................</p><p>do CHD e do CDE. Cabe</p><p>destacar, que as pessoas envolvidas no processo de compras</p><p>de terceiros, precisa compreender como a segurança das</p><p>informações compartilhadas com terceiros pode ser afetada</p><p>e o papel que esses terceiros desempenham no programa de</p><p>conscientização sobre segurança.</p><p>Administradores e</p><p>desenvolvedores de TI</p><p>Os administradores de sistema, banco de dados, de redes</p><p>e outras equipes com acesso privilegiado a sistemas de</p><p>computador que podem armazenar, processar ou transmitir</p><p>CHD exigirão um treinamento mais detalhado sobre</p><p>conscientização de segurança, incluindo a compreensão da</p><p>importância de se ter configurações seguras do sistema para</p><p>a proteção de informações confidenciais.</p><p>Apesar, do treinamento geral de conscientização sobre</p><p>segurança, discutido no item 3.1 deste tópico constituir a base</p><p>do programa de conscientização referente segurança para</p><p>essas funções, um treinamento adicional pode ser necessário</p><p>para abordar os diferentes métodos pelos quais a função lida</p><p>com a CHD. Também pode ser apropriado que essas funções</p><p>tenham uma visão geral de como a organização recebe e</p><p>processa pagamentos.</p><p>Para funções especializadas, como as que oferecem suporte</p><p>a sistemas e a parte de redes, as recomendações dadas pelo</p><p>fornecedor e os guias de melhores práticas do setor para</p><p>configurações seguras podem ser vistas como um conteúdo</p><p>útil para incluir no treinamento. Por exemplo, o Center for</p><p>Internet Security (CIS) traz recomendações de segurança e</p><p>de configurações.</p><p>Os desenvolvedores de aplicativos, de sistemas e a equipe</p><p>de teste têm acesso à base de código subjacente, o que é</p><p>essencial para a segurança do ambiente. Esses usuários</p><p>devem estar cientes de suas responsabilidades em seguir</p><p>a política de segurança da organização, práticas seguras de</p><p>codificação e procedimentos de controle de alterações, bem</p><p>como precisam estar cientes das informações atualizadas</p><p>referente ameaças à segurança e eficácia.</p><p>FONTE: Adaptado de Security Awareness Program Special Interest Group (2014)</p><p>65</p><p>QUADRO 10 – MÉTRICAS PARA AVALIAR TREINAMENTO DE CONSCIENTIZAÇÃO</p><p>3.4 DEFINIR MÉTRICAS PARA AVALIAR O TREINAMENTO DE</p><p>CONSCIENTIZAÇÃO</p><p>As métricas podem ser uma ferramenta eficaz para medir o sucesso de um</p><p>programa de conscientização de segurança e fornecer informações para manter o</p><p>programa de conscientização de segurança atualizado e eficaz. As métricas específicas</p><p>utilizadas para medir o sucesso de um programa de conscientização de segurança variam</p><p>de organização para organização, baseando-se em considerações como tamanho,</p><p>setor e tipo de treinamento. O Quadro 10 exibe algumas métricas de um programa de</p><p>conscientização de segurança bem-sucedido e pode ser utilizada como ponto de partida</p><p>para o desenvolvimento de métricas.</p><p>MÉTRICA</p><p>INDICADOR DE EFICÁCIA DO</p><p>TREINAMENTO</p><p>MÉTRICAS OPERACIONAIS</p><p>Tempo de inatividade e de rede reduzidos</p><p>ou interrupções de aplicativos.</p><p>Gerenciamento de alterações consistente</p><p>e processos aprovados; menos surtos de</p><p>Malware; melhores controles.</p><p>Redução de surtos de Malware</p><p>e problemas de desempenho do</p><p>computador relacionados a Malware.</p><p>Menos colaboradores abriram e-mails</p><p>maliciosos; aumento de relatórios de</p><p>colaboradores de e-mails maliciosos.</p><p>Aumento no relatório de tentativa de</p><p>fraude por e-mail ou telefone.</p><p>Melhor reconhecimento pelos</p><p>colaboradores de phishing e outras</p><p>tentativas de engenharia social.</p><p>Aumento no relatório de preocupações de</p><p>segurança e acesso incomum aumentou</p><p>no relatório.</p><p>Maior entendimento dos colaboradores</p><p>sobre riscos</p><p>Aumento do número de consultas dos</p><p>colaboradores sobre como implementar</p><p>procedimentos seguros.</p><p>Melhor conscientização dos</p><p>colaboradores sobre possíveis ameaças.</p><p>A digitalização Data Loss Prevention (DLP)</p><p>e os rastreamentos de rede estão ativos,</p><p>mas não detectam os dados do titular do</p><p>cartão fora do CDE.</p><p>Melhor entendimento dos colaboradores</p><p>sobre ameaças em potencial.</p><p>As verificações de vulnerabilidade estão</p><p>ativas e detectam vulnerabilidades altas</p><p>ou críticas.</p><p>Diminuição do tempo entre a detecção e</p><p>remediação.</p><p>66</p><p>As vulnerabilidades são tratadas ou</p><p>atenuadas em tempo hábil.</p><p>Melhor entendimento do pessoal</p><p>sobre possíveis ameaças e riscos para</p><p>informações confidenciais.</p><p>MÉTRICAS DO PROGRAMA DE TREINAMENTO</p><p>Aumento do número de pessoas</p><p>concluindo o treinamento.</p><p>Rastreamento de presença e avaliações</p><p>de desempenho.</p><p>Aumento do número de funcionários</p><p>com acesso privilegiado que receberam o</p><p>treinamento necessário</p><p>Rastreamento de presença e avaliações</p><p>de desempenho.</p><p>Aumento da compreensão do pessoal</p><p>sobre o material de treinamento.</p><p>Feedback do pessoal; testes e avaliações</p><p>de treinamento.</p><p>FONTE: Adaptado de Security Awareness Program Special Interest Group (2014, p. 11)</p><p>QUADRO 10 – LISTA DE VERIFICAÇÃO DO PROGRAMA</p><p>Data Loss Prevention (DLP) ou prevenção de perdas de dados. O DLP é um</p><p>conjunto de ferramentas e processos utilizados com o objetivo de certificar</p><p>que os dados confidenciais não sejam perdidos, ou utilizados de forma</p><p>indevida ou ainda que não sejam acessados por usuários sem autorização.</p><p>NOTA</p><p>4 LISTA DE VERIFICAÇÃO DO PROGRAMA DE</p><p>CONSCIENTIZAÇÃO DE SEGURANÇA</p><p>Ter uma lista de verificação pode auxiliar as organizações a realizarem o</p><p>planejamento e o gerenciamento do programa treinamento de conscientização sobre</p><p>segurança. O Quadro 10 lista informações que podem auxiliar no treinamento de</p><p>conscientização de segurança e no planejamento educacional. Cabe ressaltar, que não</p><p>é um requisito a inclusão e utilização dessas informações.</p><p>ETAPA LISTA DE VERIFICAÇÃO</p><p>Criando o programa</p><p>de conscientização</p><p>Identifique os padrões de conformidade ou de auditoria aos</p><p>quais sua organização deve aderir.</p><p>Identifique os requisitos de conscientização de segurança para</p><p>esses padrões.</p><p>67</p><p>Criando o programa</p><p>de conscientização</p><p>Identifique objetivos organizacionais, riscos e política de</p><p>segurança.</p><p>Identifique as partes interessadas e obtenha o apoio delas.</p><p>Crie uma linha de base da conscientização de segurança da</p><p>organização.</p><p>Crie o termo de abertura do projeto para estabelecer o escopo</p><p>do programa de treinamento de conscientização de segurança.</p><p>Crie um comitê de direção para ajudar no planejamento,</p><p>execução e manutenção do programa de conscientização.</p><p>Identifique quem para quem será o treinamento, funções</p><p>diferentes podem exigir treinamento diferente/adicional, como</p><p>por exemplo, colaboradores, pessoal de TI, desenvolvedores,</p><p>liderança sênior.</p><p>Identifique o que será comunicado aos diferentes grupos,</p><p>o objetivo é o treinamento mais curto possível e com maior</p><p>impacto.</p><p>Identifique como será comunicado o conteúdo, como por</p><p>exemplo, três categorias de treinamento: novo, anual e contínuo.</p><p>Implementando a</p><p>conscientização</p><p>Se uma organização compartilhar o CHD ou terceirizar uma</p><p>função que possa impactar a segurança do ambiente dos CDE</p><p>é necessário a compreensão de determinados requisitos para</p><p>Desenvolva e/ou adquira materiais e conteúdo de treinamento</p><p>para atender aos requisitos identificados durante a criação do</p><p>programa.</p><p>Documente como e quando será medido o sucesso do programa.</p><p>Identifique com quem comunicar os resultados, quando e como.</p><p>Implante o treinamento de conscientização de segurança</p><p>utilizando diferentes métodos de comunicação identificados</p><p>durante a criação do programa.</p><p>Implemente mecanismos de rastreamento para registrar quem</p><p>conclui o treinamento e quando ele foi concluído.</p><p>68</p><p>Sustentando a</p><p>conscientização</p><p>Identifique quando o programa de conscientização de segurança</p><p>será revisado anualmente.</p><p>Identifique as ameaças novas ou decorrentes de mudança de</p><p>padrões de conformidade e atualizações necessárias; as incluir</p><p>na atualização anual.</p><p>Realize avaliações periódicas da conscientização de segurança</p><p>da organização e compare com a linha de base.</p><p>Pesquise a equipe para obter feedback, como por exemplo,</p><p>utilidade, eficácia, facilidade de entendimento, facilidade de</p><p>implementação, alterações recomendadas,</p><p>acessibilidade.</p><p>Manter o compromisso da gerência de apoiar, endossar e</p><p>promover o programa.</p><p>Documentando</p><p>o programa de</p><p>conscientização</p><p>Documente o programa de conscientização sobre segurança,</p><p>incluindo todas as etapas listadas anteriormente.</p><p>FONTE: Adaptado de Security Awareness Program Special Interest Group (2014)</p><p>Fique agora com a leitura complementar, a qual traz os ataques da internet e os</p><p>códigos maliciosos (Malware). Esse material foi retirado da Cartilha de Segurança para</p><p>Internet, versão 4.0, elaborada pelo Cert.Br, que possui um extenso material sobre o tema.</p><p>O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança</p><p>no Brasil (CERT.br) é o grupo responsável, desde o ano de 1997, para tratar</p><p>de questões relacionadas aos incidentes de segurança relacionadas a redes</p><p>conectadas à Internet no Brasil. O Cert.br também realiza treinamento e</p><p>conscientização. Para saber mais acesse o link https://www.cert.br/.</p><p>DICAS</p><p>69</p><p>CARTILHA DE SEGURANÇA PARA INTERNET, VERSÃO 4.0</p><p>Equipe CERT.br</p><p>ATAQUES NA INTERNET</p><p>Ataques costumam ocorrer na Internet com diversos objetivos, visando</p><p>diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede que</p><p>seja acessível via Internet pode ser alvo de um ataque, assim como qualquer computador</p><p>com acesso a` Internet pode participar de um ataque.</p><p>Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos,</p><p>variando da simples diversão até a realização de ações criminosas. Alguns exemplos são:</p><p>• Demonstração de poder: mostrar a uma organização que ela pode ser invadida</p><p>ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para</p><p>que o ataque não ocorra novamente.</p><p>• Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir</p><p>computadores, tornar-se serviços inacessíveis ou desfigurar sites considerados</p><p>visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de</p><p>atacantes para revelar quem consegue realizar o maior número de ataques ou ser o</p><p>primeiro a conseguir atingir um determinado alvo.</p><p>• Motivações financeiras: coletar e utilizar informações confidenciais de usuários</p><p>para aplicar golpes.</p><p>• Motivações ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo</p><p>contrário a opinião do atacante; divulgar mensagens de apoio ou contrarias a uma</p><p>determinada ideologia.</p><p>• Motivações comerciais: tornar inacessível ou invadir sites e computadores</p><p>de organizações concorrentes, para tentar impedir o acesso dos clientes ou</p><p>comprometer a reputação destas organizações.</p><p>Exploração de Vulnerabilidades</p><p>Uma vulnerabilidade é definida como uma condição que, quando explorada por</p><p>um atacante, pode resultar em uma violação de segurança. Exemplos de vulnerabilidades</p><p>são falhas no projeto, na implementação ou na configuração de programas, serviços ou</p><p>equipamentos de rede.</p><p>Um ataque de exploração de vulnerabilidades ocorre quando um atacante, uti-</p><p>lizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como invadir um</p><p>sistema, acessar informações confidenciais, disparar ataques contra outros computa-</p><p>dores ou tornar um serviço inacessível.</p><p>LEITURA</p><p>COMPLEMENTAR</p><p>70</p><p>Varredura em redes (scan)</p><p>Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas</p><p>minuciosas em redes, com o objetivo de identificar computadores ativos e coletar</p><p>informações sobre eles como, por exemplo, serviços disponibilizados e programas</p><p>instalados. Com base nas informações coletadas é possível associar possíveis</p><p>vulnerabilidades aos serviços disponibilizados e aos programas instalados nos</p><p>computadores ativos detectados. A varredura em redes e a exploração de vulnerabilidades</p><p>associadas podem ser usadas de forma:</p><p>• Legítima: por pessoas devidamente autorizadas, para verificar a segurança de</p><p>computadores e redes e, assim, tomar medidas corretivas e preventivas.</p><p>• Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos</p><p>serviços disponibilizados e nos programas instalados para a execução de atividades</p><p>maliciosas. Os atacantes também podem utilizar os computadores ativos</p><p>detectados como potenciais alvos no processo de propagação automática de</p><p>códigos maliciosos e em ataques de força bruta.</p><p>Falsificação de e-mail (e-mail spoofing)</p><p>Falsificação de e-mail, ou e-mail spoofing, é uma técnica que consiste em</p><p>alterar campos do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de</p><p>uma determinada origem quando, na verdade, foi enviado de outra.</p><p>Esta técnica é possível devido a características do protocolo Simple Mail Transfer</p><p>Protocol (SMTP) que permitem que campos do cabeçalho, como From: (endereço de quem</p><p>enviou a mensagem), Reply-To (endereço de resposta da mensagem) e Return-Path</p><p>(endereço no qual possíveis erros no envio da mensagem são reportados), sejam falsificados.</p><p>Ataques deste tipo são bastante usados para propagação de códigos maliciosos,</p><p>envio de spam e em golpes de phishing. Atacantes utilizam-se de endereços de e-mail</p><p>coletados de computadores infectados para enviar mensagens e tentar fazer com que</p><p>os seus destinatários acreditem que elas partiram de pessoas conhecidas. Exemplos de</p><p>e-mails com campos falsificados são aqueles recebidos como sendo:</p><p>• de alguém conhecido, solicitando que você clique em um link ou execute um arquivo</p><p>anexo;</p><p>• do seu banco, solicitando que você de dados da sua conta bancária;</p><p>• Siga um link fornecido na própria mensagem e informe do administrador do serviço</p><p>de e-mail que você utiliza, solicitando informações pessoais e ameaçando bloquear</p><p>a sua conta caso você não as envie.</p><p>Você também pode já ter observado situações na qual o seu próprio endereço</p><p>de e-mail foi indevidamente utilizado. Alguns indícios disto são:</p><p>71</p><p>• você recebe respostas de e-mails que você nunca enviou;</p><p>• você recebe e-mails aparentemente enviados por você mesmo, sem que você</p><p>tenha feito isto;</p><p>• você recebe mensagens de devolução de e-mails que você nunca enviou, reportando</p><p>erros como usuário desconhecido e caixa de entrada lotada (cota excedida).</p><p>Interceptação de tráfego (Sniffing)</p><p>Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar</p><p>os dados trafega- dos em redes de computadores, por meio do uso de programas</p><p>específicos chamados de sniffers. Esta técnica pode ser utilizada de forma:</p><p>• Legítima: por administradores de redes, para detectar problemas, analisar</p><p>desempenho e monitorar atividades maliciosas relativas aos computadores ou</p><p>redes por eles administrados.</p><p>• Maliciosa: por atacantes, para capturar informações sensíveis, como senhas,</p><p>números de cartão de credito e o conteúdo de arquivos confidenciais que estejam</p><p>trafegando por meio de conexões inseguras, ou seja, sem criptografia.</p><p>Força bruta (Brute force)</p><p>Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa</p><p>e erro, um nome de usuário e senha e, assim, executar processos e acessar sites,</p><p>computadores e serviços em nome e com os mesmos privilégios deste usuário.</p><p>Qualquer computador, equipamento de rede ou serviço que seja acessível via</p><p>Internet, com um nome de usuário e uma senha, pode ser alvo de um ataque de força</p><p>bruta. Dispositivos moveis, que estejam protegidos por senha, além de poderem ser</p><p>atacados pela rede, também podem ser alvo deste tipo de ataque caso o atacante tenha</p><p>acesso físico a eles. Se um atacante tiver conhecimento do seu nome de usuário e da</p><p>sua senha ele pode efetuar ações maliciosas em seu nome como, por exemplo:</p><p>• trocar a sua senha, dificultando que você acesse novamente o site ou computador</p><p>invadido;</p><p>• invadir o serviço de e-mail que você utiliza e ter acesso ao conteúdo das suas mensagens e</p><p>a sua lista de contatos, além de poder enviar mensagens em seu nome;</p><p>• acessar a sua rede social e enviar mensagens aos seus seguidores contendo</p><p>códigos maliciosos ou alterar as suas opções de privacidade;</p><p>• invadir o seu computador e, de acordo com as permissões do seu usuário, executar</p><p>ações,</p><p>como apagar arquivos, obter informações confidenciais e instalar códigos maliciosos.</p><p>Mesmo que o atacante não consiga descobrir a sua senha, você pode ter</p><p>problemas ao acessar a sua conta caso ela tenha sofrido um ataque de força bruta, pois</p><p>muitos sistemas bloqueiam as contas quando várias tentativas de acesso sem sucesso</p><p>são realizadas. Apesar dos ataques de força bruta poderem ser realizados manualmente,</p><p>72</p><p>na grande maioria dos casos, eles são realizados com o uso de ferramentas automatizadas</p><p>facilmente obtidas na Internet e que permitem tornar o ataque bem mais efetivo. As</p><p>tentativas de adivinhação costumam ser baseadas em:</p><p>• dicionários de diferentes idiomas e que podem ser facilmente obtidos na Internet;</p><p>• listas de palavras comumente usadas, como personagens de filmes e nomes de</p><p>times de futebol;</p><p>• substituições óbvias de caracteres, como trocar “a” por “@” e “o” por “0”’;</p><p>• sequências numéricas e de teclado, como “123456”, “qwert” e “1qaz2wsx”;</p><p>• informações pessoais, de conhecimento prévio do atacante ou coletadas na Internet</p><p>em redes sociais e blogs, como nome, sobrenome, datas e números de documentos.</p><p>Um ataque de força bruta, dependendo de como é realizado, pode resultar</p><p>em um ataque de negação de serviço, devido à sobrecarga produzida pela grande</p><p>quantidade de tentativas realizadas em um pequeno período de tempo.</p><p>Desfiguração de página (Defacement)</p><p>Desfiguração de página, defacement ou pichação, é uma técnica que consiste em</p><p>alterar o conteúdo da página Web de um site. As principais formas que um atacante, neste</p><p>caso também chamado de defacer, pode utilizar para desfigurar uma página Web são:</p><p>• explorar erros da aplicação Web; explorar vulnerabilidades do servidor de aplicação</p><p>Web;</p><p>• explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados</p><p>no desenvolvimento da aplicação Web;</p><p>• invadir o servidor em que a aplicação Web está hospedada e alterar diretamente os</p><p>arquivos que compõem o site;</p><p>• furtar senhas de acesso a` interface Web usada para administração remota.</p><p>Para ganhar mais visibilidade, chamar mais atenção e atingir maior número de</p><p>visitantes, geral- mente, os atacantes alteram a página principal do site, porém páginas</p><p>internas também podem ser alteradas.</p><p>Negação de serviço (Dos e DDoS)</p><p>Negação de serviço, ou Denial of Service (DoS), é uma técnica pela qual um</p><p>atacante utiliza um computador para tirar de operação um serviço, um computador ou</p><p>uma rede conectada a Internet. Quando utilizada de forma coordenada e distribuída, ou</p><p>seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de</p><p>negação de serviço distribuído, ou Distributed Denial of Service (DDoS).</p><p>73</p><p>O objetivo destes ataques não é invadir e nem coletar informações, mas sim</p><p>exaurir recursos e causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas</p><p>que dependem dos recursos afetados são prejudicadas, pois ficam impossibilitadas de</p><p>acessar ou realizar as operações desejadas.</p><p>Nos casos já registrados de ataques, os alvos ficaram impedidos de oferecer</p><p>serviços durante o período em que eles ocorreram, mas, ao final, voltaram a operar</p><p>normalmente, sem que tivesse havido vazamento de informações ou comprometimento</p><p>de sistemas ou computadores.</p><p>Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu</p><p>computador seja utilizado em ataques. A grande maioria dos computadores, porém,</p><p>participa dos ataques sem o conhecimento de seu dono, por estar infectado e fazendo</p><p>parte de botnets.</p><p>Ataques de negação de serviço podem ser realizados por diversos meios, como:</p><p>• pelo envio de grande quantidade de requisições para um serviço, consumindo os</p><p>recursos necessários ao seu funcionamento (processamento, número de conexões</p><p>simultâneas, memória e espaço em disco, por exemplo) e impedindo que as</p><p>requisições dos demais usuários sejam atendidas;</p><p>• pela geração de grande trafego de dados para uma rede, ocupando toda a banda</p><p>disponível e tornando indisponível qualquer acesso a computadores ou serviços</p><p>desta rede;</p><p>• pela exploração de vulnerabilidades existentes em programas, que podem fazer</p><p>com que um determinado serviço fique inacessível.</p><p>Nas situações nas quais há´ saturação de recursos, caso um serviço não</p><p>tenha sido bem dimensionado, ele pode ficar inoperante ao tentar atender as próprias</p><p>solicitações legítimas. Por exemplo, um site de transmissão dos jogos da Copa de Mundo</p><p>pode não suportar uma grande quantidade de usuários que queiram assistir aos jogos</p><p>finais e parar de funcionar.</p><p>Prevenção</p><p>O que define as chances de um ataque na Internet ser ou não bem-sucedido</p><p>é o conjunto de medidas preventivas tomadas pelos usuários, desenvolvedores de</p><p>aplicações e administradores dos computadores, serviços e equipamentos envolvidos.</p><p>Se cada um fizer a sua parte, muitos dos ataques realizados vias Internet podem ser</p><p>evitadas ou, ao menos, minimizados.</p><p>A parte que cabe a você, como usuário da Internet, é proteger os seus dados,</p><p>fazer uso dos mecanismos de proteção disponíveis e manter o seu computador</p><p>atualizado e livre de códigos maliciosos. Ao fazer isto, você contribuirá para a segurança</p><p>geral da Internet, pois:</p><p>74</p><p>• quanto menor a quantidade de computadores vulneráveis e infectados, menor será a</p><p>potência das botnets e menos eficazes serão os ataques de negação de serviço;</p><p>• quanto mais consciente dos mecanismos de segurança você estiver, menores serão</p><p>as chances de sucesso dos atacantes;</p><p>• quanto melhores forem as suas senhas, menores serão as chances de sucesso de</p><p>ataques de força bruta e, consequentemente, de suas contas serem invadidas.</p><p>• quanto mais os usuários usarem criptografia para proteger os dados armazenados nos</p><p>computa- dores ou aqueles transmitidos pela Internet, menores serão as chances de</p><p>tráfego em texto claro ser interceptado por atacantes;</p><p>• quanto menor a quantidade de vulnerabilidades existentes em seu computador,</p><p>menores serão as chances de ele ser invadido ou infectado.</p><p>Faça sua parte e contribua para a segurança da Internet, incluindo a sua própria!</p><p>CÓDIGOS MALICIOSOS (MALWARE)</p><p>Códigos maliciosos (Malware) são programas especificamente desenvolvidos</p><p>para executar ações danosas e atividades maliciosas em um computador. Algumas</p><p>das diversas formas como os códigos maliciosos podem infectar ou comprometer um</p><p>computador são:</p><p>• pela exploração de vulnerabilidades existentes nos programas instalados;</p><p>• pela autoexecução de mídias removíveis infectadas, como pen drive;</p><p>• pelo acesso a páginas Web maliciosas, utilizando navegadores vulneráveis;</p><p>• pela ação direta de atacantes que, após invadirem o computador, incluem arquivos</p><p>contendo códigos maliciosos;</p><p>• pela execução de arquivos previamente infectados, obtidos em anexos de</p><p>mensagens eletrônicas, via mídias removíveis, em páginas Web ou diretamente de</p><p>outros computadores (por meio do compartilhamento de recursos).</p><p>Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados</p><p>armazenados no computador e podem executar ações em nome dos usuários, de acordo</p><p>com as permissões de cada usuário. Os principais motivos que levam um atacante a</p><p>desenvolver e a propagar códigos maliciosos são a obtenção de vantagens financeiras,</p><p>a coleta de informações confidenciais, o desejo de autopromoção e o vandalismo. Além</p><p>disto, os códigos maliciosos são muitas vezes usados como intermediários e possibilitam</p><p>a prática de golpes, a realização de ataques e a disseminação de spam. Os principais</p><p>tipos de códigos maliciosos existentes são apresentados aqui.</p><p>Vírus</p><p>Vírus é um programa ou parte de um programa de computador, normalmente</p><p>malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros</p><p>programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de</p><p>infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que</p><p>o seu computador seja infectado é preciso que um programa já´ infectado seja executado.</p><p>75</p><p>O principal</p><p>meio de propagação de vírus costumava ser os disquetes. Com o</p><p>tempo, porém, estas mídias caíram em desuso e começaram a surgir novas maneiras,</p><p>como o envio de e-mail. Atualmente, as mídias removíveis tornaram-se novamente o</p><p>principal meio de propagação, não mais por disquetes, mas, principalmente, pelo uso de</p><p>pen drive. Há diferentes tipos de vírus. Alguns procuram permanecer ocultos, infectando</p><p>arquivos do disco e executando uma série de atividades sem o conhecimento do usuário.</p><p>Há outros que permanecem inativos durante certos períodos, entrando em atividade</p><p>apenas em datas específicas. Alguns dos tipos de vírus mais comuns são:</p><p>• Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo</p><p>conteúdo tenta induzir o usuário a clicar sobre este arquivo, fazendo com que seja</p><p>executado. Quando entra em ação, infecta arquivos e programas e envia cópias</p><p>de si mesmo para os e-mails encontrados nas listas de contatos gravadas no</p><p>computador.</p><p>• Vírus de script: escrito em linguagem de script, como Script e JavaScript, e</p><p>recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou</p><p>como parte do próprio e-mail escrito em formato HyperText Markup Language</p><p>(HTML). Pode ser automaticamente executado, dependendo da configuração do</p><p>navegador Web e do programa leitor de e-mails do usuário.</p><p>• Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro,</p><p>que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem</p><p>como, por exemplo, os que compõem o Microsoft Office (Excel, Word e PowerPoint,</p><p>entre outros).</p><p>• Vírus de telefone celular: vírus que se propaga de celular para celular por meio</p><p>da tecnologia bluetooth ou de mensagens Multimídia Message Service (MMS). A</p><p>infecção ocorre quando um usuário permite o recebimento de um arquivo infectado</p><p>e o executa. Após infectar o celular, o vírus pode destruir ou sobrescrever arquivos,</p><p>remover ou transmitir contatos da agenda, efetuar ligações telefônicas e drenar a</p><p>carga da bateria, além de tentar se propagar para outros celulares.</p><p>Worm</p><p>Worm é um programa capaz de se propagar automaticamente pelas redes,</p><p>enviando copias de si mesmo de computador para computador. Diferente do vírus, o</p><p>worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas</p><p>ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática</p><p>de vulnerabilidades existentes em programas instalados em computadores.</p><p>Worms são notadamente responsáveis por consumir muitos recursos, devido</p><p>à grande quantidade de cópias de si mesmo que costumam propagar e, como</p><p>consequência, podem afetar o desempenho de redes e a utilização de computadores. O</p><p>processo de propagação e infecção dos worms ocorre da seguinte maneira:</p><p>76</p><p>• Identificação dos computadores alvos: após infectar um computador, o</p><p>worm tenta se propagar e continuar o processo de infecção. Para isto, necessita</p><p>identificar os computadores alvos para os quais tentara´ se copiar, o que pode</p><p>ser feito de uma ou mais das seguintes maneiras: (i) efetuar varredura na rede e</p><p>identificar computadores ativos; (ii) aguardar que outros computadores contatem</p><p>o computador infectado; (iii) utilizar listas, predefinidas ou obtidas na Internet,</p><p>contendo a identificação dos alvos; (iv) utilizar informações contidas no computador</p><p>infectado, como arquivos de configuração e listas de endereços de e-mail.</p><p>• Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e</p><p>tenta enviá-las para estes computadores, por uma ou mais das seguintes formas: (i)</p><p>como parte da exploração de vulnerabilidades existentes em programas instalados</p><p>no computador alvo; (ii) anexadas a e-mails; (iii) via canais de Internet Relay Chat</p><p>(IRC); (iv) via programas de troca de mensagens instantâneas; (v) incluídas em</p><p>pastas compartilhadas em redes locais ou do tipo Peer to Peer (P2P).</p><p>• Ativação das cópias: após realizado o envio da cópia, o worm necessita ser</p><p>executado para que a infecção ocorra, o que pode acontecer de uma ou mais das</p><p>seguintes maneiras: (i) imediatamente após ter sido transmitido, pela exploração de</p><p>vulnerabilidades em programas sendo executados no computador alvo no momento do</p><p>recebimento da cópia; (ii) diretamente pelo usuário, pela execução de uma das cópias</p><p>enviadas ao seu computador; (iii) pela realização de uma ação específica do usuário, a</p><p>qual o worm está condicionado como, por exemplo, a inserção de uma mídia removível.</p><p>• Reinício do processo: após o alvo ser infectado, o processo de propagação e</p><p>infecção recomeça, sendo que, a partir de agora, o computador que antes era o alvo</p><p>passa a ser também o computador originador dos ataques.</p><p>Bot e botnet</p><p>Bot é um programa que dispõe de mecanismos de comunicação com o invasor</p><p>que permitem que ele seja controlado remota- mente. Possui processo de infecção</p><p>e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente,</p><p>explorando vulnerabilidades existentes em programas instalados em computadores.</p><p>A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via</p><p>canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar,</p><p>o invasor pode enviar instruções para que ações maliciosas sejam executadas, como</p><p>desferir ataques, furtar dados do computador infectado e enviar spam.</p><p>Um computador infectado por um bot costuma ser chamado de zumbi (zombie</p><p>computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono.</p><p>Também pode ser chamado de spam zombie quando o bot instalado o transforma em</p><p>um servidor de e-mails e o utiliza para o envio de spam.</p><p>Botnet é uma rede formada por centenas ou milhares de computadores zumbis</p><p>e que permite potencializar as ações danosas executadas pelos bots. Quanto mais</p><p>zumbis participarem da botnet mais potente ela será. O atacante que a controlar, além</p><p>de usá-la para seus próprios ataques, também pode alugá-la para outras pessoas ou</p><p>grupos que desejem que uma ação maliciosa especifica seja executada.</p><p>77</p><p>Algumas das ações maliciosas que costumam ser executadas por intermédio de bot-</p><p>nets são: ataques de negação de serviço, propagação de códigos maliciosos (inclusive do</p><p>próprio bot), coleta de informações de um grande número de computadores, envio de spam</p><p>e camuflagem da identidade do atacante (com o uso de proxies instalados nos zumbis). O es-</p><p>quema simplificado apresentado a seguir exemplifica o funcionamento básico de uma botnet:</p><p>• um atacante propaga um tipo específico de bot na esperança de infectar e conseguir</p><p>a maior quantidade possível de zumbis;</p><p>• os zumbis ficam então à disposição do atacante, agora seu controlador, à espera</p><p>dos comandos a serem executados;</p><p>• quando o controlador deseja que uma ação seja realizada, ele envia aos zumbis</p><p>os comandos a serem executados, usando, por exemplo, redes do tipo P2P ou</p><p>servidores centralizados;</p><p>• os zumbis executam então os comandos recebidos, durante o período</p><p>predeterminado pelo controlador;</p><p>• quando a ação se encerra, os zumbis voltam a ficar à espera dos próximos comandos</p><p>a serem executados.</p><p>Spyware</p><p>Spyware é um programa projetado para monitorar as atividades de um sistema</p><p>e enviar as informações coletadas para terceiros. Pode ser usado tanto de forma legítima</p><p>quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de</p><p>informação monitorada e do uso que é feito por quem recebe as informações coletadas.</p><p>Pode ser considerado de uso:</p><p>• Legítimo: quando instalado em um computador pessoal, pelo próprio dono ou</p><p>com consentimento deste, com o objetivo de verificar se outras pessoas o estão</p><p>utilizando de modo abusivo ou não autorizado.</p><p>• Malicioso: quando executa ações que podem comprometer a privacidade do</p><p>usuário e a segurança do computador, como monitorar e capturar informações</p><p>referentes à navegação do usuário ou inseridas em outros programas (por exemplo,</p><p>conta de usuário e senha).</p><p>Alguns tipos específicos de programas spyware</p><p>são:</p><p>• Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no</p><p>teclado do computador. Sua ativação, em muitos casos, é condicionada a uma ação</p><p>prévia do usuário, como o acesso a um site específico de comercio eletrônico ou de</p><p>Internet Banking.</p><p>• Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela</p><p>apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que</p><p>circunda a posição em que o mouse é clicado. É bastante utilizado por atacantes</p><p>para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis</p><p>principalmente em sites de Internet Banking.</p><p>78</p><p>• Adware: projetado especificamente para apresentar propagandas. Pode ser usado</p><p>para fins legítimos, quando incorporado a programas e serviços, como forma</p><p>de patrocínio ou retorno financeiro para quem desenvolve programas livres ou</p><p>presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as</p><p>propagandas apresentadas são direcionadas, de acordo com a navegação do usuário</p><p>e sem que este saiba que tal monitoramento está sendo feito.</p><p>Backdoor</p><p>Backdoor é um programa que permite o retorno de um invasor a um computa-</p><p>dor com- prometido, por meio da inclusão de serviços criados ou modificados para este</p><p>fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente</p><p>infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos</p><p>programas instalados no computador para invadi-lo. Após incluído, o backdoor é usado para</p><p>assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado</p><p>remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na</p><p>realização da invasão ou infecção e, na maioria dos casos, sem que seja notado.</p><p>A forma usual de inclusão de um backdoor consiste na disponibilização</p><p>de um novo serviço ou na substituição de um determinado serviço por uma versão</p><p>alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas</p><p>de administração remota, como BackOrifice, NetBus, Sub-Seven, VNC e Radmin, se</p><p>mal configurados ou utilizados sem o consentimento do usuário, também podem ser</p><p>classificados como backdoors. Há casos de backdoors incluídos propositalmente por</p><p>fabricantes de programas, sob alegação de necessidades administrativas. Esses casos</p><p>constituem uma séria ameaça à segurança de um computador que contenha um destes</p><p>programas instalados pois, além de comprometerem a privacidade do usuário, também</p><p>podem ser usados por invasores para acessarem remotamente ao computador.</p><p>Cavalo de troia (Trojan)</p><p>Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar</p><p>as funções para as quais foi aparentemente projetado, também executa outras funções,</p><p>normalmente maliciosas, e sem o conhecimento do usuário. Exemplos de trojans são</p><p>programas que você recebe ou obtém de sites na Internet e que parecem ser apenas</p><p>cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes</p><p>programas, geralmente, consistem em um único arquivo e necessitam ser explicitamente</p><p>executados para que sejam instalados no computador.</p><p>Trojans também podem ser instalados por atacantes que, após invadirem</p><p>um computador, alteram programas já existentes para que, além de continuarem a</p><p>desempenhar as funções originais, também executem ações maliciosas. Há diferentes</p><p>tipos de trojans, classificados de acordo com as ações maliciosas que costumam</p><p>executar ao infectar um computador. Alguns destes tipos são:</p><p>79</p><p>• Trojan Downloader: instala outros códigos maliciosos, obtidos de sites na Internet.</p><p>• Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio código do trojan.</p><p>• Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao</p><p>computador.</p><p>• Trojan dos: instala ferramentas de negação de serviço e as utiliza para desferir ataques.</p><p>• Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco rígido e pode</p><p>deixar o computador fora de operação.</p><p>• Trojan Clicker: redireciona a navegação do usuário para sites específicos, com o objetivo</p><p>de aumentar a quantidade de acessos a estes sites ou apresentar propagandas.</p><p>• Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja</p><p>utilizado para navegação anônima e para envio de spam.</p><p>• Trojan Spy: instala programas spyware e os utiliza para coletar informações sensíveis,</p><p>como senhas e números de cartão de credito, e enviá-las ao atacante.</p><p>• Trojan Banker ou Bancos: coleta dados bancários do usuário, por meio da instalação</p><p>de programas spyware que são ativados quando sites de Internet Banking são</p><p>acessados. É similar ao Trojan Spy, porém com objetivos mais específicos.</p><p>Rootkit</p><p>Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar</p><p>a presença de um invasor ou de outro código malicioso em um computador comprometido.</p><p>O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:</p><p>• remover evidências em arquivos de logs;</p><p>• instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro</p><p>ao computador infectado;</p><p>• esconder atividades e informações, como arquivos, diretórios, processos, chaves de</p><p>registro, conexões de rede etc.;</p><p>• mapear potenciais vulnerabilidades em outros computadores, por meio de</p><p>varreduras na rede;</p><p>• capturar informações da rede na qual o computador comprometido está localizado,</p><p>pela interceptação de tráfego.</p><p>É muito importante ressaltar que o nome rootkit não indica que os programas e</p><p>as técnicas que o compõe são usadas para obter acesso privilegiado a um computador,</p><p>mas sim para mantê-lo. Rootkits inicialmente eram usados por atacantes que, após</p><p>invadirem um computador, os instalavam para manter o acesso privilegiado, sem precisar</p><p>recorrer novamente aos métodos utilizados na invasão, e para esconder suas atividades do</p><p>responsável e/ou dos usuários do computador. Apesar de ainda serem bastante usados por</p><p>atacantes, os rootkits atualmente têm sido também utilizados e incorporados por outros</p><p>códigos maliciosos para ficarem ocultos e não serem detectados pelo usuário e nem por</p><p>mecanismos de proteção. Há casos de rootkits instalados propositalmente por organizações</p><p>distribuidoras de Compact Disc (CD) de música, sob a alegação de necessidade de proteção</p><p>aos direitos autorais de suas obras. A instalação nestes casos costumava ocorrer de forma</p><p>automática, quando um dos CDs distribuídos contendo o código malicioso era inserido</p><p>80</p><p>e executado. É importante ressaltar que estes casos constituem uma séria ameaça</p><p>à segurança do computador, pois os rootkits instalados, além de comprometerem a</p><p>privacidade do usuário, também podem ser reconfigurados e utilizados para esconder a</p><p>presença e os arquivos inseridos por atacantes ou por outros códigos maliciosos.</p><p>Prevenção</p><p>Para manter o seu computador livre da ação dos códigos maliciosos existe um</p><p>conjunto de medidas preventivas que você precisa adotar. Essas medidas incluem manter os</p><p>programas instalados com as versões mais recentes e com todas as atualizações disponíveis</p><p>aplicadas e usar mecanismos de segurança, como antiMalware e firewall pessoal. Além disso,</p><p>há alguns cuidados que você e todos que usam o seu computador devem tomar sempre que</p><p>forem manipular arquivos. Novos códigos maliciosos podem surgir, a velocidades nem sempre</p><p>acompanhadas pela capacidade de atualização dos mecanismos de segurança.</p><p>Resumo Comparativo</p><p>Cada tipo de código malicioso possui características próprias que o define</p><p>e o diferencia dos demais tipos, como forma de obtenção, forma de instalação, meios</p><p>usados para propagação e ações maliciosas mais comuns executadas nos computadores</p><p>infectados. Para facilitar a classificação e a conceituação, a tabela a seguir apresenta um</p><p>resumo comparativo das características de cada tipo. É importante ressaltar, entretanto,</p><p>que definir e identificar essas características têm se tornado tarefas cada vez mais</p><p>difíceis,</p><p>devido às diferentes classificações existentes e ao surgimento de variantes que mesclam</p><p>características dos demais códigos. Desta forma, o resumo apresentado na tabela não e</p><p>definitivo e baseia-se nas definições apresentadas nesta leitura complementar.</p><p>81</p><p>FONTE: CERT.br. Cartilha de segurança para Internet, versão 4.0. São Paulo: Comitê Gestor da Internet</p><p>no Brasil, 2012, p. 17-31. Disponível em: https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf.</p><p>Acesso em: 5 jun. 2020.</p><p>82</p><p>RESUMO DO TÓPICO 3</p><p>Neste tópico, você aprendeu:</p><p>• A conscientização de segurança da informação da organização deve ser tratada como</p><p>um processo de melhoria continuada, garantindo que o treinamento e o conhecimento</p><p>sejam mantidos diariamente em alto nível de conscientização de segurança.</p><p>• A proteção de dados do titular do cartão (Card Holder Data – CHD) deve fazer parte do</p><p>programa de conscientização sobre segurança da informação em toda a organização.</p><p>• Garantir que a equipe esteja ciente da importância da segurança dos dados do titular do</p><p>cartão é importante para o sucesso de um programa de conscientização de segurança.</p><p>• Um aspecto crítico da conscientização é determinar o tipo de conteúdo que será utilizado.</p><p>• Determinar as diferentes funções dentro de uma organização é o primeiro passo</p><p>para desenvolver um conteúdo apropriado e determinar as informações que devem</p><p>estar inclusas na conscientização.</p><p>• Estabelecer uma lista de verificação pode ajudar uma organização a desenvolver,</p><p>monitorar e/ou manter um programa de treinamento de conscientização de</p><p>segurança de forma eficaz.</p><p>• O primeiro passo para criar um plano de programa de conscientização é montar uma</p><p>equipe de conscientização.</p><p>• A equipe de conscientização é responsável pelo desenvolvimento, entrega e</p><p>manutenção do programa de conscientização de segurança.</p><p>• A equipe de conscientização de ser formada por pessoas de diferentes áreas e com</p><p>responsabilidades diferentes, representando uma seção transversal da organização.</p><p>• A presença de uma equipe ajudará a garantir o sucesso do programa de conscientização</p><p>de segurança por meio da atribuição de responsabilidade pelo programa.</p><p>• O tamanho e a participação da equipe de conscientização de segurança dependerão</p><p>das necessidades específicas de cada organização e de sua cultura.</p><p>• A conscientização de segurança baseada em funções provê às organizações de</p><p>realizarem o treinamento nos níveis apropriados, se baseando em suas funções de</p><p>trabalho.</p><p>83</p><p>• A primeira tarefa ao definir um programa de conscientização de segurança baseado</p><p>em funções é agrupar indivíduos de acordo com suas funções, ou seja, conforme as</p><p>funções de trabalho, na organização.</p><p>• O plano do programa de conscientização pode ser pensado para três tipos de</p><p>funções: Todo o pessoal, Funções especializadas e Gestão (Gerência).</p><p>• Um programa sólido de conscientização ajudará todas as pessoas da organização</p><p>a reconhecerem ameaças, verem a segurança como benéfica para a tomar como</p><p>hábito no trabalho e em casa, e se sentirem confortável em relatarem possíveis</p><p>problemas de segurança.</p><p>• O treinamento adicional para aqueles em Funções Especializadas deve se</p><p>concentrar na obrigação das pessoas seguirem procedimentos seguros para lidar</p><p>com informações confidenciais e reconhecer os riscos associados se o acesso</p><p>privilegiado for mal utilizado.</p><p>• A gerência precisa entender a política de segurança da organização e os requisitos de</p><p>segurança suficientemente bem, para que possam discutir e reforçar positivamente</p><p>a mensagem para a equipe, assim como incentivar a conscientização, reconhecer e</p><p>resolver problemas relacionados à segurança, caso ocorram.</p><p>• Os gerentes da equipe com acesso privilegiado devem ter um entendimento sólido</p><p>dos requisitos de segurança de sua equipe, especialmente aqueles com acesso a</p><p>dados confidenciais.</p><p>• Estabelecer um nível mínimo de conscientização para todo o pessoal pode ser a</p><p>base do programa de conscientização de segurança.</p><p>• O programa de conscientização sobre segurança deve ser ministrado de maneira</p><p>que se adapte à cultura geral de organização e que tenha o maior impacto para as</p><p>pessoas da organização.</p><p>• A chave para um programa eficaz de conscientização de segurança é direcionar a</p><p>entrega de material relevante ao público apropriado de maneira oportuna e eficiente.</p><p>• Ao disseminar o treinamento de conscientização sobre segurança por meio de</p><p>vários canais de comunicação, a organização garante que o pessoal seja exposto à</p><p>mesma informação várias vezes de diferentes maneiras.</p><p>• O canal de comunicação usado deve corresponder ao público que recebe o conteúdo</p><p>do treinamento e o tipo de conteúdo, bem como o próprio conteúdo.</p><p>84</p><p>• Os métodos de comunicação eletrônica podem ser de notificações por e-mail,</p><p>e-Learning, mídia social interna etc.</p><p>• As notificações não eletrônicas podem ser na forma de pôsteres, malas diretas</p><p>internas, boletins e eventos de treinamento ministrados por instrutores.</p><p>• Eventos pessoais de conscientização de segurança envolvendo a participação ativa</p><p>do pessoal podem ser extremamente eficazes.</p><p>• A inclusão de atividades envolvendo o público, como atividades baseadas em</p><p>cenários, ajudam a garantir que os conceitos sejam entendidos e lembrados.</p><p>• Um exercício estruturado de engenharia social ensinará aos colaboradores de forma</p><p>rápida a identificar um ataque de engenharia social e reagir adequadamente.</p><p>• Seminários internos, treinamento fornecido durante os intervalos para o almoço,</p><p>comumente chamado de "almoce e aprenda" e eventos sociais dos colaboradores</p><p>também são ótimas oportunidades para a equipe de conscientização de segurança</p><p>interagir com o pessoal e introduzir conceitos de segurança.</p><p>• O tamanho da audiência em uma apresentação liderada por instrutor é importante:</p><p>quanto maior o grupo, maior o risco de que o conteúdo não seja comunicado</p><p>efetivamente, pois os indivíduos podem perder o foco no material apresentado se</p><p>não se sentirem envolvidos.</p><p>• A comunicação da conscientização sobre segurança seja incluída nos processos de</p><p>novos contratados, bem como quando os colabores mudam de função.</p><p>• O treinamento de conscientização de segurança pode ser combinado com outros</p><p>requisitos organizacionais, como acordos de confidencialidade e ética.</p><p>• É recomendável que todos os colaboradores recebam treinamento básico</p><p>de conscientização sobre segurança, desenvolvido de acordo com a política</p><p>organizacional.</p><p>• Além do treinamento geral de conscientização sobre segurança, recomenda-se que</p><p>a equipe seja exposta a conceitos gerais de segurança de dados do titular do cartão,</p><p>promovendo o manuseio adequado dos dados em toda a organização e conforme</p><p>com sua função na organização.</p><p>• Embora, o plano do programa de conscientização em segurança da informação</p><p>de uma organização geralmente é específico e personalizado, é aconselhável</p><p>que a organização incorpore as melhores práticas da área, utilizando materiais de</p><p>referência confiáveis.</p><p>85</p><p>• Publicação Especial 800-50 do Instituto Nacional de Padrões e Tecnologia (NIST),</p><p>Organização Internacional de Padrões (ISO) 27002: 2013, Organização Internacional</p><p>de Padrões (ISO) 27001: 2013 e COBIT são materiais de referência confiáveis e que as</p><p>práticas contidas devem ser incorporadas no plano de conscientização.</p><p>• Cada organização deve considerar o tempo, os recursos e a cultura ao selecionar</p><p>os materiais a serem usados no treinamento de conscientização sobre segurança.</p><p>• Shoulder surfing é o “espiar sobre os ombros”, ou seja, este tipo de ataque é</p><p>ocasionado quando umas das pessoas envolvidas consegue (ou é capaz de) olhar</p><p>sobre o ombro de outra pessoa e/ou espionar a tela do outro.</p><p>• Dumpster Diving (ou trashing) é o termo utilizado para a ação de hackers que</p><p>vasculham a lixeira.</p><p>• As métricas podem ser uma ferramenta eficaz para medir o sucesso de um programa</p><p>de conscientização de segurança e fornecer informações para manter o programa</p><p>de conscientização de segurança</p><p>atualizado e eficaz.</p><p>• Data Loss Prevention (DLP) ou prevenção de perdas de dados é um conjunto</p><p>de ferramentas e processos utilizados com o objetivo de certificar que os dados</p><p>confidenciais não sejam perdidos, ou utilizados de forma indevida ou ainda que não</p><p>sejam acessados por usuários sem autorização.</p><p>• Ter uma lista de verificação pode auxiliar as organizações a realizarem o planejamento</p><p>e o gerenciamento do programa treinamento de conscientização sobre segurança.</p><p>• Que a lista de verificação deve ser realizada para cada uma das quatro etapas</p><p>do programa, sendo: Criando o programa de conscientização, implementando a</p><p>conscientização, sustentando a conscientização de segurança e documentando o</p><p>programa de conscientização.</p><p>• Ataques na internet acontecem por diferentes objetivos, alvos e são utilizadas as</p><p>mais variadas técnicas.</p><p>• Os códigos Malware são programas que foram escritos de forma específica com</p><p>objetivo de causar dano e tarefas maliciosas em um computador.</p><p>• Algumas das várias maneiras como os Malware podem infectar um computador.</p><p>86</p><p>AUTOATIVIDADE</p><p>1 A primeira tarefa ao definir um programa de conscientização de segurança baseado</p><p>em funções é agrupar indivíduos de acordo com suas funções, ou seja, conforme as</p><p>funções de trabalho, na organização. Essas funções podem ser de três tipos: todas as</p><p>pessoas, pessoal especializado e gerência. Com relação a esses três tipos, analise as</p><p>sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas:</p><p>( ) Todos da organização devem estar cientes da sensibilidade dos dados do cartão de</p><p>pagamento, mesmo que suas responsabilidades diárias não envolvam o trabalho</p><p>com os dados do cartão de pagamento.</p><p>( ) A conscientização referente às funções especializadas deve se concentrar na obriga-</p><p>ção das pessoas seguirem procedimentos seguros para lidar com informações confi-</p><p>denciais e reconhecer os riscos associados se o acesso privilegiado for mal utilizado.</p><p>( ) A gerência possui necessidades adicionais de treinamento que podem diferir das</p><p>duas áreas anteriores.</p><p>( ) A gerência precisa ter uma visão geral e não se preocupar em entender a política de</p><p>segurança da organização, pois é a equipe de conscientização que possui esse papel.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – V – F.</p><p>b) ( ) V – F – V – F.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) F – F – V – V.</p><p>2 A chave para um programa eficaz de conscientização de segurança é direcionar a</p><p>entrega de material relevante ao público apropriado de maneira oportuna e eficiente. Para</p><p>ser eficaz, o canal de comunicação também deve se adequar à cultura da organização.</p><p>Ao disseminar o treinamento de conscientização sobre segurança por meio de vários</p><p>canais de comunicação, a organização garante que o pessoal seja exposto à mesma</p><p>informação várias vezes de diferentes maneiras. Desta forma, as pessoas se lembram das</p><p>informações a elas apresentadas. O conteúdo pode precisar ser adaptado dependendo</p><p>do canal. Escolha a sentença CORRETA referente aos métodos de comunicação.</p><p>a) ( ) Pôsteres não devem ser utilizados como métodos de comunicação.</p><p>b) ( ) Os boletins e malas diretas internas são métodos de comunicação eletrônica.</p><p>c) ( ) Atividades baseadas em cenários é um método de comunicação eletrônica que</p><p>ajuda que os conceitos sejam entendidos e lembrados.</p><p>d) ( ) Notificações por e-mail, e-Learning, mídia social interna etc. são métodos de</p><p>comunicação eletrônica.</p><p>87</p><p>3 As métricas podem ser uma ferramenta eficaz para medir o sucesso de um programa</p><p>de conscientização de segurança e fornecer informações para manter o programa de</p><p>conscientização de segurança atualizado e eficaz. As métricas específicas utilizadas</p><p>para medir o sucesso de um programa de conscientização de segurança variam de</p><p>organização para organização, baseando se em considerações como tamanho, setor</p><p>e tipo de treinamento. Analise as afirmações quanto às métricas operacionais que</p><p>podem ser utilizadas como ponto de partida para o desenvolvimento de métricas,</p><p>classificando com V as sentenças verdadeiras e com F as sentenças falsas.</p><p>( ) A métrica de tempo de inatividade e de rede reduzidos ou interrupções de</p><p>aplicativos pode ser medida com indicadores como gerenciamento de alterações</p><p>consistente e processos aprovados; menos surtos de Malware; melhores controles.</p><p>( ) A métrica de redução de surtos de Malware e problemas de desempenho do</p><p>computador relacionados a Malware pode ser medida com indicadores como</p><p>menos colaboradores abriram e-mails maliciosos e aumento de relatórios de</p><p>colaboradores de e-mails maliciosos.</p><p>( ) A métrica de aumento no relatório de preocupações de segurança e acesso</p><p>incomum aumentou no relatório pode ser medida com indicadores como diminuição</p><p>do tempo entre a detecção e remediação.</p><p>( ) A métrica das verificações de vulnerabilidade estão ativas e detectam</p><p>vulnerabilidades altas ou críticas pode ser medida com indicadores como melhor</p><p>conscientização dos colaboradores sobre possíveis ameaças.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – F – F.</p><p>b) ( ) V – F – V – F.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) F – F – V – V.</p><p>5 Além das métricas operacionais como: tempo de inatividade e de rede reduzidos</p><p>ou interrupções de aplicativos, redução de surtos de Malware e problemas de</p><p>desempenho do computador relacionados a Malware, aumento do número de</p><p>consultas dos colaboradores sobre como implementar procedimentos seguros entre</p><p>outras, que são utilizadas para medir o sucesso de um programa eficaz, podemos</p><p>utilizar métricas do programa de treinamento. Analise as sentenças a seguir quanto às</p><p>métricas do programa de treinamento, classificando com V as sentenças verdadeiras</p><p>e com F as sentenças falsas.</p><p>( ) A métrica de aumento do número de pessoas concluindo o treinamento pode ser</p><p>medida com indicadores rastreamento de presença e avaliações de desempenho.</p><p>( ) A métrica de aumento do número de funcionários com acesso privilegiado que</p><p>receberam o treinamento necessário pode ser medida com indicadores como</p><p>feedback do pessoal; testes e avaliações de treinamento.</p><p>88</p><p>( ) A métrica de aumento da compreensão do pessoal sobre o material de treinamento</p><p>pode ser medida com indicadores como rastreamento de presença e avaliações de</p><p>desempenho.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – F.</p><p>b) ( ) V – F – V.</p><p>c) ( ) F – V – V.</p><p>d) ( ) V – F – F.</p><p>89</p><p>PADRÃO, NORMAS E PLANO</p><p>DE CONSCIENTIZAÇÃO EM</p><p>SEGURANÇA DA INFORMAÇÃO</p><p>UNIDADE 2 —</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>PLANO DE ESTUDOS</p><p>A partir do estudo desta unidade, você deverá ser capaz de:</p><p>• compreender a estrutura capaz de fornecer governança de TI, ou seja, compreender</p><p>o Control Objectives for Information and Related Technology (COBIT);</p><p>• conhecer as principais práticas referente à ABNT NBR ISO/IEC 27001:2013, que faz</p><p>parte da grande família da ABNT NBR ISO/IEC 27000:2018;</p><p>• conhecer as principais práticas referente à ABNT NBR ISO/IEC 27002:2013, que faz</p><p>parte da grande família da ABNT NBR ISO/IEC 27000:2018;</p><p>• conhecer as principais práticas relacionadas ao ciclo de vida do plano programa de</p><p>conscientização e treinamento da publicação Especial 800-50 do Instituto Nacional</p><p>de Padrões e Tecnologia;</p><p>• conhecer as quatro etapas do ciclo de vida do plano programa de conscientização</p><p>e treinamento da publicação Especial 800-50 do Instituto Nacional de Padrões e</p><p>Tecnologia.</p><p>A cada tópico desta unidade você encontrará autoatividades com o objetivo de</p><p>reforçar o conteúdo apresentado.</p><p>TÓPICO 1 – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY</p><p>(COBIT)</p><p>TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/</p><p>IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013</p><p>TÓPICO 3 – CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E</p><p>TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL] INSTITUTE OF</p><p>STANDARDS AND TECHNOLOGY (NIST)</p><p>Preparado para ampliar seus conhecimentos? Respire e vamos em frente!</p><p>Procure</p><p>um ambiente que facilite a concentração, assim absorverá melhor as informações.</p><p>CHAMADA</p><p>90</p><p>CONFIRA</p><p>A TRILHA DA</p><p>UNIDADE 2!</p><p>Acesse o</p><p>QR Code abaixo:</p><p>91</p><p>TÓPICO 1 —</p><p>CONTROL OBJECTIVES FOR INFORMATION AND</p><p>RELATED TECHNOLOGY (COBIT)</p><p>UNIDADE 2</p><p>1 INTRODUÇÃO</p><p>As mudanças tecnológicas fazem parte do dia a dia das organizações. Aliado a</p><p>essas mudanças estão os riscos e as vulnerabilidades no cotidiano das organizações.</p><p>Desta forma, é necessário ter conhecimento da legislação que a organização precisa</p><p>seguir, bem como elicitar os requisitos referentes à segurança necessários para atendê-</p><p>la. Ao se saber quais são os requisitos legais é necessário identificar quais são os controles</p><p>apontados pelas normas de segurança. “A partir dos controles identificados, é necessário</p><p>gerar as políticas, normas e procedimentos para a implementação dos controles” (COELHO;</p><p>ARAÚJO; BEZERRA, 2014, p. 8).</p><p>Agora, acadêmico, vamos visualizar graficamente na Figura 1 esta visão geral.</p><p>FIGURA 1 – VISÃO GERAL DA SEGURANÇA DA INFORMAÇÃO</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 7)</p><p>Outro ponto, que queremos que você tenha em mente, é a existência de três</p><p>fontes principais a serem consideradas no momento de estabelecer os requisitos de</p><p>segurança da informação de uma organização, sendo elas:</p><p>• Análise e avaliação de riscos: deve-se levar em consideração quais são “[...] os</p><p>objetivos e estratégias de negócio da organização, resultando na identificação</p><p>de vulnerabilidades e ameaças aos ativos. Nesse contexto, leva-se em conta a</p><p>92</p><p>probabilidade de ocorrência de ameaças e o impacto para o negócio” (COELHO;</p><p>ARAÚJO; BEZERRA, 2014, p. 9).</p><p>• Legislação vigente: é necessário identificar os “[...] estatutos, regulamentação e</p><p>cláusulas contratuais que devem atender à organização, seus parceiros, terceirizados</p><p>e fornecedores” (COELHO; ARAÚJO; BEZERRA, 2014, p. 9).</p><p>• Conjunto de princípios: é necessário identificar os “[...] objetivos e requisitos de negócio</p><p>para o processamento de dados que a organização deve definir para dar suporte às</p><p>suas operações” (COELHO; ARAÚJO; BEZERRA, 2014, p. 9).</p><p>O objetivo, a partir daqui, é trazer o conhecimento que você precisa referente às</p><p>melhores práticas a serem utilizadas para criar um plano do programa de conscientização</p><p>e treinamento, conforme identificamos no Tópico 3, da Unidade 1. Assim, iremos abordar,</p><p>agora, neste tópico, o Cobit.</p><p>No Tópico 2 abordaremos o código de práticas para técnicas de Segurança</p><p>da Tecnologia da Informação para controles de Segurança da Informação,</p><p>referente às normas ABNT NBR ISO/IEC 270001:2013 e ABNT NBR ISO/IEC</p><p>270002:2013. Por fim, em nosso Tópico 3 abordaremos a publicação Especial</p><p>800-50 do NIST — Construindo um plano de programa de conscientização e</p><p>treinamento em segurança de tecnologia da informação.</p><p>ESTUDOS FUTUROS</p><p>2 FRAMEWORK COBIT</p><p>O Control Objectives for Information and related Technology (COBIT) é um con-</p><p>junto de melhores práticas para o gerenciamento de TI, que foi criado pela Information</p><p>Systems Audit and Control Association (ISACA), uma Associação de Auditoria e Controle</p><p>de Sistemas de Informação internacional, e pelo Information Technology Governance Ins-</p><p>titute (ITGI). A ISACA desenvolve e mantém o framework Cobit, reconhecido internacio-</p><p>nalmente, ajudando profissionais de Tecnologia da Informação (TI) e líderes empresariais</p><p>no cumprimento de suas responsabilidades de Governança de TI e para que agreguem</p><p>valor aos negócios (ISACA, 2018a). Isaca (2018b) coloca que a equipe de desenvolvimento</p><p>do Cobit ® 2019 analisou os padrões e estruturas apresentados na Figura 2 para alinhar o</p><p>Cobit ® 2019, evoluindo para uma estrutura de governança e gerenciamento (gestão) de</p><p>Informações & Tecnologias (I&T), de forma abrangente e mais ampla.</p><p>93</p><p>FIGURA 2 – PADRÕES E ESTRUTUADAS ANALISADAS NO COBIT 2019</p><p>FONTE: Isaca (2018b, p. 8)</p><p>O framework Cobit ® 2019 fornece aos profissionais de segurança de informação</p><p>e para as partes interessadas da organização, orientações e práticas detalhadas a serem</p><p>aplicadas na segurança da informação, fundamentadas nas melhores práticas acadêmicas,</p><p>além de ele ser reconhecido mundialmente ao apoiar a governança corporativa de</p><p>informações e tecnologia de maneira eficaz. O framework Cobit ® 2019 foi atualizado com</p><p>novas informações e orientações, visando a uma implementação mais fácil e personalizada</p><p>do Cobit ® 2019 (ISACA, 2018a).</p><p>A Figura 3 traz a estrutura do Cobit ® 2019 e a Figura 4 apresenta as maiores</p><p>diferenças entre a versão do Cobit ® 2019 e a versão do Cobit 5 (ISACA, 2018b). Essa</p><p>estrutura se refere a: (i) a introdução e metodologia, que trazem o detalhamento dos</p><p>princípios de governança, oferecendo conceitos e a exemplificação básica, bem como</p><p>lança a construção da estrutura de maneira geral, incluso o Cobit Core Model, modelo</p><p>central; (ii) objetivos de governança e gerenciamento, que proveem a descrição de</p><p>maneira detalhada do Cobit Core Model, bem como os seus 40 objetivos de governança/</p><p>gerenciamento.</p><p>Eles são estabelecidos e acordados com o processo, metas da organização e com</p><p>as práticas de governança e gerenciamento; (iii) a guia de design, que traz o desenho de</p><p>uma solução de governança de informação e tecnologia, provendo informação referente</p><p>de como criar um sistema de governança sob medida; (iv) guia de implementação que</p><p>traz a forma de implementar e otimizar uma solução de governança de informação e</p><p>tecnologia, provendo um roteiro para melhoria contínua da governança.</p><p>94</p><p>FIGURA 3 - ESTRUTURA DO COBIT 2019</p><p>FIGURA 4 – MAIORES DIFERENTEÇAS ENTRE COBIT 2019 E COBIT 5</p><p>FONTE: A autora</p><p>FONTE: Isaca (2018a, p. 5)</p><p>Basicamente podemos dizer que o modelo de habilitador foi removido, contudo,</p><p>estruturas similares ainda farão parte do modelo conceitual do Cobit, mas de forma oculta.</p><p>Além dos habilitadores, os objetivos do processo foram removidos e seu papel passa a ser</p><p>assumido pelas declarações de prática de processo. Cabe destacar ainda que o modelo</p><p>de avaliação de capacidade de processo fundamentado no Cobit 5 e na ABNT NBR ISO/</p><p>95</p><p>QUADRO 1 - TERMOS E SIGNIFICADOS DA FIGURA 4</p><p>FONTE: A autora</p><p>IEC 15504, agora ABNT NBR ISO/IEC 33000, foi substituído por um modelo de capacidade</p><p>inspirado no Capability Maturity Model® Integration (CMMI). Por fim, ainda referente a esta</p><p>figura, veja o que preparamos para você, no Quadro 1, os termos e significados da Figura 4.</p><p>TERMO SIGNIFICADO</p><p>Framework Estrutura</p><p>Enabling processes Facilitadores</p><p>Implementation Guide Guia de implementação</p><p>Design Guide Guia de desenho</p><p>Introduction & Methodology Introdução & Metodologia</p><p>Governance & Management Objectives Objetivos de Gerenciamento e Governança</p><p>Designing Your Information & Technology</p><p>Governance System</p><p>Desenhando o sistema de Governança de</p><p>Informação & Tecnologia</p><p>Implementaing and Optimizing Your Infor-</p><p>mation & Technology Governance System</p><p>Implementando e Otimizando o Sistema de</p><p>Governança de Informação & Tecnologia</p><p>Focus Area Áreas foco</p><p>Small and Medium-sized Enterprises (SME) Empresas de pequeno ou médio porte</p><p>Developments and Operations (DevOps) Desenvolvimento e Operações</p><p>Risk Risco</p><p>Security Segurança</p><p>Você deve se perguntar, por que é importante vermos essas diferenças e</p><p>como a orientação da ISACA viabiliza a boa prática da conscientização? É importante</p><p>entendermos quais são as diferenças existentes devido que o ISACA viabilizava as</p><p>boas práticas de conscientização pelos habilitadores no Cobit 5 (inclusive processos),</p><p>fornecendo orientação sobre as exigências relativas ao comportamento humano.</p><p>Segundo Isaca (2012):</p><p>• Os habilitadores do Cobit 5 incluem pessoas, habilidades e competências, bem</p><p>como cultura, ética e comportamento.</p><p>• O processo do Cobit 5 (Align, Plan and Organize – APO) APO07, se refere ao</p><p>gerenciamento de recursos humanos.</p><p>96</p><p>• O processo do Cobit 5 (Build, Acquire and Implement – BAI) BAI02, se refere ao</p><p>gerenciamento na definição de requisitos.</p><p>• Os processos Cobit 5 BAI05, se refere</p><p>ao gerenciamento da capacidade de mudança</p><p>organizacional.</p><p>• O processo Cobit BAI08, se refere ao gerenciamento do conhecimento.</p><p>De acordo com Isaca (2018c), essas práticas referentes à implementação</p><p>permanecem iguais e voltaremos nesse assunto no Item 3 deste tópico. Agora, vamos</p><p>falar de outra característica importante, os Fatores de Desenho e Área de Foco, que</p><p>permitem criar uma solução de governança sob medida e são justamente estes</p><p>componentes que eram referidos como habilitadores no Cobit 5.</p><p>Para que você possa compreender melhor essas questões, apresentamos</p><p>visualmente o overview do Cobit ® 2019, na Figura 5.</p><p>FIGURA 5 - OVERVIEW DO COBIT 2019</p><p>FONTE: Isaca (2018c, p. 6)</p><p>QUADRO 2 - TERMOS E SIGNIFICADOS DA FIGURA 5</p><p>Veja o que preparamos para você, que traz no Quadro 2 os termos e significados</p><p>da Figura 5.</p><p>TERMO SIGNIFICADO</p><p>Inputs Entrada</p><p>Standards, frameworks, regulations Padrões, estruturas, regulamentos</p><p>97</p><p>FONTE: A autora</p><p>Community contribution Contribuição da comunidade</p><p>Core publication Publicação central (principal)</p><p>Reference model of governance and</p><p>management objective</p><p>Modelo de referência dos objetivos de</p><p>governança e gerenciamentos (gestão)</p><p>Enterprise strategy Estratégia empresarial</p><p>Enterprise goals Objetivos da empresa</p><p>Enterprise size Tamanho da empresa</p><p>Role of it Papel da TI</p><p>Sourcing model for IT Modelo fornecido para TI</p><p>Compliance requirements Requisitos de conformidade</p><p>Design factors Fatores de desenho</p><p>Tailored enterprise governance system for</p><p>information and technology</p><p>Sistema de governança corporativa de</p><p>Informação e Tecnologia sob medida</p><p>Priority governance and management</p><p>objectives</p><p>Objetivos prioritários de governança e</p><p>gerenciamento</p><p>Specific guidance from focus areas Orientação das áreas foco</p><p>Target capability and performance</p><p>management guidance</p><p>Orientação sobre o gerenciamento de</p><p>capacidade e o nível de desempenho</p><p>Pela Figura 5 é possível perceber que o Cobit ® 2019 sofreu alterações significativas</p><p>nos fatores de desenho. O desenho aborda desde a estratégia corporativa até os objetivos</p><p>referentes à organização, tamanho, o papel exercido pela TI, o modelo de prestação de</p><p>serviços da TI, os requisitos de conformidade e afins.</p><p>Em contrapartida, a área de foco (antigos habilitadores) tem como objetivo</p><p>definir o componente principal do seu sistema de Governança, ou seja, se é referente</p><p>à segurança, ao risco, ao desenvolvimento e operações (Developments and Operations</p><p>– DevOps), ou mesmo se é sobre uma empresa pequena ou de médio porte (ISACA,</p><p>2018c). Segundo Isaca (2018c) são seis os principais princípios para um Sistema de</p><p>Governança (Governance System):</p><p>• Provide stakeholder value: cada organização precisa de um sistema de governança</p><p>para satisfazer as necessidades das partes interessadas e gerar valor a partir do uso</p><p>da informação e da tecnologia.</p><p>• Holistic approach: um sistema de governança corporativa de TI é construído a partir de</p><p>vários componentes de diferentes tipos e trabalhando em conjunto de maneira holística.</p><p>• Dynamic Governance System: um sistema de governança deve ser dinâmico, ou</p><p>seja, sempre que um ou mais dos fatores de projeto são alterados, o impacto dessas</p><p>alterações no sistema deve ser considerado.</p><p>• Governance Distinct from Management: um sistema de governança deve distinguir</p><p>de forma clara entre as atividades e as estruturas de governança e de gerenciamento.</p><p>98</p><p>• Tailored to enterprise needs: um sistema de governança deve se adaptar às</p><p>necessidades da organização, utilizando um conjunto de fatores de design como</p><p>parâmetros para personalizar e priorizar os componentes do sistema de governança.</p><p>• End-to-End Governance System: um sistema de governança deve cobrir a atividade</p><p>fim da organização, concentrando-se não só nas funções desempenhadas por ela,</p><p>mas sim por toda tecnologia e processamento de informações que a organização</p><p>precisa para alcançar seus objetivos.</p><p>A Figura 6 traz esses seis princípios do sistema de governança.</p><p>FIGURA 6 – PRINCÍPIOS DO SISTEMA DE GOVERNANÇA</p><p>FONTE: Adaptada de Isaca (2018c, p. 11)</p><p>Além dos seis princípios do sistema de governança, existem três princípios do</p><p>Framework de Governança (Governance Framework) ilustrados na Figura 7 e descritos</p><p>aqui (ISACA, 2018c):</p><p>• Based on conceptual model: uma estrutura de governança deve estar fundamentada em</p><p>um modelo conceitual, identificando os principais componentes e as relações existentes</p><p>entre esses componentes, maximizando a consistência e possibilitando a automação.</p><p>• Open and flexible: uma estrutura de governança deve ser aberta e flexível, permitindo</p><p>adicionar novo conteúdo e ter a capacidade de resolver novos problemas da maneira</p><p>mais flexível, mantendo a integridade e a consistência.</p><p>• Aligned to major standards: uma estrutura de governança deve estar alinhada aos</p><p>principais padrões, estruturas e regulamentos relacionados.</p><p>FIGURA 7 – PRINCÍPIOS DO FRAMEWORK DE GOVERNANÇA</p><p>FONTE: Adaptada de Isaca (2018c, p. 11).</p><p>99</p><p>FIGURA 8 – OBJETIVOS DE GOVERNANÇA E GESTÃO</p><p>FONTE: Isaca (2018c, p. 15)</p><p>Assim, para que um plano de programa de conscientização tenha sucesso,</p><p>temos que pensar que a informação e a tecnologia precisam trazer contribuições</p><p>significativas para os objetivos da organização, e para que isso aconteça, vários objetivos</p><p>de governança e gerenciamento devem ser alcançados (ISACA, 2018c).</p><p>Agora, tire uns minutos para ver o UNI-IMPORTANTE e os dois UNI-DICA que</p><p>preparamos para você.</p><p>• Um objetivo de governança ou gerenciamento sempre está relacionado</p><p>a um processo e a uma série de componentes que se relacionam a</p><p>outros tipos para ajudar a alcançar o objetivo (ISACA, 2018c).</p><p>• Um objetivo de governança se refere a um processo de governança,</p><p>enquanto um objetivo de gerenciamento se relaciona a um processo de</p><p>gestão (ISACA, 2018c).</p><p>Os objetivos cascata de tecnologia e informação do Cobit 5 foram</p><p>substituídos pelos objetivos de alinhamento no Cobit ® 2019, dizendo</p><p>respeito ao alinhamento da tecnologia da informação com os objetivos</p><p>corporativos. Já os objetivos dos habilitadores do Cobit 5 passam a se</p><p>chamar de Objetivos de Governança e Gerenciamento no Cobit ® 2019.</p><p>IMPORTANTE</p><p>ATENÇÃO</p><p>Semelhante ao Cobit 5, os objetivos de governança e gerenciamento do Cobit</p><p>® 2019 estão agrupados em cinco domínios. Os domínios têm nomes que expressam o</p><p>objetivo principal e as áreas de atividade dos objetivos contidos nele, ou seja, as áreas de</p><p>foco. Para que você tenha o melhor entendimento do tema, a Figura 8 traz a representação</p><p>desses domínios e a Figura 9 traz o Modelo Central ou Modelo Essencial, que representa o</p><p>modelo básico dos processos do Cobit ® 2019.</p><p>100</p><p>FI</p><p>GU</p><p>RA</p><p>9</p><p>–</p><p>M</p><p>O</p><p>D</p><p>EL</p><p>O</p><p>C</p><p>EN</p><p>TR</p><p>A</p><p>L</p><p>(C</p><p>O</p><p>RE</p><p>) D</p><p>O</p><p>C</p><p>O</p><p>BI</p><p>T</p><p>®</p><p>2</p><p>01</p><p>9</p><p>FO</p><p>N</p><p>TE</p><p>: I</p><p>sa</p><p>ca</p><p>(2</p><p>01</p><p>8c</p><p>, p</p><p>. 1</p><p>6)</p><p>101</p><p>Veja o que preparamos para você, que traz no Quadro 3 os termos e significados</p><p>da Figura 8 e Figura 9.</p><p>QUADRO 3 - TERMOS E SIGNIFICADOS DA FIGURA 8 E FIGURA 9</p><p>TERMO SIGNIFICADO</p><p>Governance objectives Objetivos de governança</p><p>Evaluate, Direct and Monitor (EDM) Avaliar, Direcionar e Monitorar</p><p>Management objectives Objetivos de gerenciamento (gestão)</p><p>Align, Plan and Organize (APO) Alinhar, Planejar e Organizar</p><p>Build, Acquire and Implement (BAI) Construir, Adquirir e Implementar</p><p>Deliver, Service and Support (DSS) Entregar, Serviço e Suporte</p><p>Monitor, Evaluate and Assess (MEA) Monitorar, Avaliar e Analisar</p><p>EDM01 – Ensured Governance Framework</p><p>Setting and Maintenance</p><p>EDM01 – Garantir a definição e manutenção</p><p>do modelo de Governança</p><p>EDM02 – Ensured Benefits Delivery EDM02 – Garantir a realização de benefícios</p><p>EDM03 – Ensured Risk Optimization EDM03 – Garantir a otimização do risco</p><p>EDM04 – Ensured Resource Optimization EDM04 – Garantir a otimização dos recursos</p><p>EDM05 – Ensured Stakeholder Engagement</p><p>EDM05 – Garantir a transparência para as</p><p>partes interessadas</p><p>APO01 – Managed I&T Management</p><p>Framework</p><p>APO01 – Gerenciar a estrutura de gestão</p><p>de I&T</p><p>APO02 – Managed</p><p>Strategy APO02 – Gerenciar a estratégia</p><p>APO03 – Managed Enterprise Architecture</p><p>APO03 – Gerenciar a estrutura da</p><p>organização</p><p>APO04 – Managed Innovation APO04 – Gerenciar inovação</p><p>APO05 – Managed Portfolio APO05 – Gerenciar portfólio</p><p>APO06 – Managed Budget and Costs APO06 – Gerenciar orçamento e custos</p><p>APO07 – Managed Human Resources APO07 – Gerenciar recursos humanos</p><p>APO08 – Managed Relationships APO08 – Gerenciar relacionamentos</p><p>APO09 – Managed Service Agreements</p><p>APO09 – Gerenciar contratos de prestação</p><p>de serviço</p><p>102</p><p>APO10 – Managed Vendors APO10 – Gerenciar fornecedores</p><p>APO11 – Managed Quality APO11 – Gerenciar qualidade</p><p>APO12 – Managed Risk APO12 – Gerenciar riscos</p><p>APO13 – Managed Security APO13 – Gerenciar segurança</p><p>APO14 – Managed Data APO14 – Gerenciar dados</p><p>MEA01 – Managed Performance and</p><p>Conformance Monitoring</p><p>MEA01 – Gerenciar o monitoramento de</p><p>desempenho e conformidade</p><p>BAI01 – Managed Programs BAI01 – Gerenciar Programas</p><p>BAI02 – Managed Requirements Definition BAI02 – Gerenciar definição de requisitos</p><p>BAI03 – Managed Solutions Identification</p><p>and Build</p><p>BAI03 – Gerenciar identificação e</p><p>desenvolvimento de soluções</p><p>BAI04 – Managed Availability and Capacity</p><p>BAI04 – Gerenciar disponibilidade e</p><p>Capacidade</p><p>BAI05 – Managed Organizational Change</p><p>BAI05 – Gerenciar a capacidade de</p><p>mudança organizacional</p><p>BAI06 – Managed IT Changes BAI06 – Gerenciar mudanças de TI</p><p>BAI07 – Managed IT Change Acceptance</p><p>and Transitioning</p><p>BAI07 – Gerenciar aceitação e transição da</p><p>mudança de TI</p><p>BAI08 – Managed Knowledge BAI08 – Gerenciar conhecimento</p><p>BAI09 – Managed Assets BAI09 – Gerenciar ativos</p><p>BAI10 – Managed Configuration BAI10 – Gerenciar configuração</p><p>BAI11 – Managed Projects BAI11 – Gerenciar projetos</p><p>MEA02 – Managed System of Internal</p><p>Control</p><p>MEA02 – Gerenciar sistema de controle</p><p>interno</p><p>MEA03 – Managed Compliance with</p><p>External Requirements</p><p>MEA03 – Gerenciar conformidade com os</p><p>requisitos externos</p><p>DSS01 – Managed Operation DSS01 – Gerenciar operações</p><p>DSS02 – Managed Service Requests and</p><p>Incidents</p><p>DSS02 – Gerenciar solicitações de</p><p>incidentes de serviços</p><p>DSS03 – Managed Problems DSS03 – Gerenciar problemas</p><p>DSS04 – Managed Continully DSS04 – Gerenciar continuidade</p><p>DSS05 – Managed Security Services DSS05 – Gerenciar serviços de segurança</p><p>103</p><p>DSS06 – Managed Business Process</p><p>Controls</p><p>DSS06 – Gerenciar controles do processo</p><p>de negócio</p><p>MEA04 – Managed Assurance MEA04 – Gerenciar avaliação</p><p>FONTE: A autora</p><p>QUADRO 4 - CONCEITOS CHAVES DOS OBJETIVOS DE GOVERNANÇA E GERENCIAMENTO</p><p>Como falamos anteriormente, precisamos conhecer como o Cobit ® 2019</p><p>está estruturado, para que quando estivermos em posse dele, possamos encontrar</p><p>o referencial referente à conscientização. Desta forma, elencamos, no Quadro 4, os</p><p>conceitos-chave referentes aos objetivos de governança e gerenciamento. No referido</p><p>quadro é possível identificar que os componentes relacionados estão contemplando as</p><p>práticas referentes à conscientização.</p><p>CONCEITO-CHAVE CONTEMPLA</p><p>Informação de alto nível</p><p>• Nome do domínio</p><p>• Área de foco</p><p>• Nome do objetivo de governança ou</p><p>gerenciamento</p><p>• Descrição</p><p>• Declaração de propósito</p><p>Cascata de objetivos (Objetivos de</p><p>alinhamento)</p><p>• Metas de alinhamento aplicáveis</p><p>• Objetivos aplicáveis da empresa</p><p>• Exemplo de métricas</p><p>Componentes relacionados</p><p>• Processos, práticas e atividades</p><p>• Estruturas organizacionais</p><p>• Fluxos de informação e itens</p><p>• Pessoas, habilidades e competências</p><p>• Políticas e frameworks</p><p>• Cultura, ética e comportamento</p><p>• Serviços, infraestrutura e aplicativos</p><p>Orientação relacionada</p><p>• Local dos links e referências cruzadas</p><p>aplicáveis são fornecidos a outros padrões</p><p>e estruturas de cada um dos componentes</p><p>de governança dentro de cada objetivo de</p><p>governança e gerenciamento.</p><p>FONTE: Adaptado de Isaca (2018c)</p><p>A cascata de objetivos citada no Quadro 4 são apresentadas na Figura 10 para</p><p>que você possa compreender esse alinhamento enfatizando-o dos esforços de TI com</p><p>os objetivos de negócio. Isaca (2018c) coloca que:</p><p>104</p><p>• essas eram metas relacionadas à TI no Cobit 5;</p><p>• a atualização procura evitar o entendimento frequente de que essas metas indicam</p><p>objetivos puramente internos do departamento de TI em uma organização;</p><p>• as metas de alinhamento também foram consolidadas, reduzidas, atualizadas e</p><p>esclarecidas quando necessário.</p><p>FIGURA 10 – CASCATA DE OBJETIVOS</p><p>FONTE: Adaptada de Isaca (2018c, p. 18)</p><p>Cabe destacar ainda, que o sistema de governança de cada organização é</p><p>construído a partir de vários componentes que podem ser de tipos diferentes, podendo</p><p>interagir entre si, resultando em um sistema holístico de governança para informação e</p><p>tecnologia; e que anteriormente eles eram conhecidos como facilitadores no Cobit 5. Os</p><p>componentes podem ser genéricos ou variações dos componentes genéricos.</p><p>Os componentes genéricos são descritos no modelo principal do Cobit ®</p><p>2019, sendo aplicados em princípio a qualquer situação, contudo, eles são de natureza</p><p>genérica e geralmente precisam de personalização antes de serem implementados. Já</p><p>os componentes variantes são baseados em componentes genéricos, mas adaptados</p><p>para um propósito ou contexto específico dentro de uma área de foco (por exemplo,</p><p>para segurança da informação, DevOps, um regulamento específico e afins). Agora,</p><p>acadêmico, analise a Figura 11, que exemplifica essa questão (ISACA, 2018c).</p><p>105</p><p>FIGURA 11 – COMPONENTES GENÉRICOS E VARIÁVEIS</p><p>FONTE: Isaca (2018c, p. 20)</p><p>Os componentes de governança relevantes passaram a ser agrupados no Cobit</p><p>® 2019 em Áreas de Foco. Mas o que é uma Área de Foco? Veja o UNI-NOTA sobre o tema.</p><p>Uma Área de Foco descreve um determinado tópico, domínio ou problema</p><p>de governança que pode ser tratado por uma coleção de objetivos de</p><p>governança e gerenciamento e seus componentes. As áreas de foco</p><p>podem conter uma combinação de componentes e variantes genéricos</p><p>de governança. Destacamos ainda que o número de áreas de foco é</p><p>praticamente ilimitado. É isso que torna o Cobit ® 2019 aberto. Novas</p><p>áreas de foco podem ser adicionadas conforme necessário ou conforme</p><p>especialistas e profissionais do assunto.</p><p>NOTA</p><p>Isaca (2018c) destaca os fatores de desenho no Cobit ® 2019 como conceitos-</p><p>chave e por isso, os apresentamos para você na Figura 12. Eles influenciam o desenho</p><p>do sistema de governança de uma organização e que eles precisam estar devidamente</p><p>posicionados para que a organização consiga obter sucesso no uso da informação e da</p><p>tecnologia. Portanto, podemos dizer que é necessário que exista uma conscientização</p><p>referente a esses fatores. Acadêmico, acesse o UNI que preparamos para você.</p><p>106</p><p>O Cobit Design Guide traz informações e orientações detalhadas sobre</p><p>como usar os fatores de design para projetar um sistema de governança.</p><p>Para mais informações acesse o link https://www.isaca.org/bookstore/</p><p>bookstore-cobit_19-digital/wcb19dgd.</p><p>DICAS</p><p>FIGURA 12 – FATORES DE DESENHO</p><p>FONTE: Isaca (2018c, p. 22)</p><p>FIGURA 13 – FLUXO DE TRABALHO DO PROJETO DO SISTEMA DE GOVERNANÇA</p><p>FONTE: Isaca (2018c, p. 29)</p><p>Os diferentes estágios e etapas do processo de desenho apresentados na Figura 12</p><p>resultarão em recomendações para priorizar os objetivos de governança e gerenciamento ou</p><p>nos componentes do sistema de governança relacionados, podendo ser gerenciadas nos níveis</p><p>de maturidade e capacidade que demandam um novo modelo de maturidade fundamentado</p><p>no Capability Maturity Model Integration (CMMI), ou seja, na Integração do modelo de</p><p>maturidade de capacidade (ISACA, 2018c). Tire uns minutos, para ver a exemplificação do</p><p>desenho de um sistema de governança sob medida apresentada na Figura 13.</p><p>107</p><p>Isaca (2018c) traz a abordagem de implementação, que se baseia em capacitar</p><p>as partes interessadas de negócios e de TI e os participantes para assumir a propriedade</p><p>das decisões e atividades de governança e gerenciamento relacionadas à TI, facilitando</p><p>e possibilitando mudanças. Isaca (2018c) ainda coloca que o guia de implementação</p><p>223</p><p>RESUMO DO TÓPICO 1 ...................................................................................................... 227</p><p>AUTOATIVIDADE ................................................................................................................231</p><p>TÓPICO 2 - MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO .......... 235</p><p>1 INTRODUÇÃO .................................................................................................................. 235</p><p>2 MODELOS DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ............................. 239</p><p>2.1 COMITÊ CORPORATIVO DE SEGURANÇA DA INFORMAÇÃO .................................................. 242</p><p>2.2 PAPEL DO SECURITY OFFICER .................................................................................................... 246</p><p>2.3 COMO CONDUZIR INTERNAMENTE A NEGOCIAÇÃO ............................................................... 249</p><p>2.4 SABENDO IDENTIFICAR O PARCEIRO EXTERNO ...................................................................... 251</p><p>2.5 FERRAMENTAS METODOLÓGICAS .............................................................................................. 254</p><p>3 AGREGANDO VALOR AO NEGÓCIO .................................................................................261</p><p>RESUMO DO TÓPICO 2 ...................................................................................................... 263</p><p>AUTOATIVIDADE ................................................................................................................267</p><p>TÓPICO 3 - POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO .......... 269</p><p>1 INTRODUÇÃO .................................................................................................................. 269</p><p>2 EXEMPLOS DE REGULAMENTOS E POLÍTICAS............................................................. 271</p><p>LEITURA COMPLEMENTAR .............................................................................................. 285</p><p>RESUMO DO TÓPICO 3 ...................................................................................................... 298</p><p>AUTOATIVIDADE ................................................................................................................301</p><p>REFERÊNCIAS ................................................................................................................... 303</p><p>1</p><p>UNIDADE 1 -</p><p>COLABORADORES E</p><p>COMPORTAMENTO SEGURO</p><p>OBJETIVOS DE APRENDIZAGEM</p><p>PLANO DE ESTUDOS</p><p>A partir do estudo desta unidade, você deverá ser capaz de:</p><p>• entender a segurança da informação e a sua importância para a organização,</p><p>buscando um comportamento seguro;</p><p>• conhecer os princípios básicos da segurança da informação, conhecida como a</p><p>tríade Confidencialidade, Integridade e Disponibilidade (CID);</p><p>• conhecer outras propriedades da segurança da informação, indo além da tríade CID,</p><p>para compreensão do seu papel e do comportamento seguro;</p><p>• compreender os conceitos básicos da segurança da informação como: ativo da</p><p>informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança;</p><p>e de probabilidade e impacto;</p><p>• entender o que é a engenharia social e identificar os seus possíveis ataques;</p><p>• compreender a importância da conscientização e o comportamento seguro dos</p><p>colaboradores;</p><p>• compreender que a segurança da informação faz parte da cultura da organização e</p><p>é benéfica para todos, colaboradores e organização;</p><p>• saber quais conteúdos devem ser utilizados na conscientização de segurança e</p><p>compreender que a conscientização deve ser aplicada pelas funções exercidas na</p><p>organização.</p><p>A cada tópico desta unidade você encontrará autoatividades com o objetivo de</p><p>reforçar o conteúdo apresentado.</p><p>TÓPICO 1 – ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS</p><p>TÓPICO 2 – CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL</p><p>TÓPICO 3 – PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE</p><p>CONSCIENTIZAÇÃO DE SEGURANÇA</p><p>Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure</p><p>um ambiente que facilite a concentração, assim absorverá melhor as informações.</p><p>CHAMADA</p><p>2</p><p>CONFIRA</p><p>A TRILHA DA</p><p>UNIDADE 1!</p><p>Acesse o</p><p>QR Code abaixo:</p><p>3</p><p>ENTENDENDO A INFORMAÇÃO, SUAS</p><p>VULNERABILIDADES E AMEAÇAS</p><p>1 INTRODUÇÃO</p><p>A informação está presente nas organizações nos mais variados formatos.</p><p>Podemos ver a informação armazenada de forma eletrônica ou de forma impressa,</p><p>falada, em vídeo, por imagem, som etc., assim como podemos transmitir uma informação</p><p>por voz ou mesmo pelo correio eletrônico. Independente do meio que a informação</p><p>está armazenada ou tem seu formato ou como é transmita, é necessário que ela seja</p><p>protegida de maneira adequada.</p><p>Desta forma, podemos dizer que todas as informações mantidas e processadas</p><p>por uma organização estão sujeitas a ameaças de ataques, erros (intencionais ou</p><p>não intencionais) e de natureza (como incêndio, enchente e afins) e estão sujeitas a</p><p>vulnerabilidades inerentes ao uso que fazemos da informação, pois a informação é um</p><p>ativo intangível fundamental para a sobrevivência da organização e desta forma precisa</p><p>ser mantida segura. Além disso, é necessário disponibilizar as informações de maneira</p><p>precisa, completa e em tempo hábil para as pessoas autorizadas, por ser um catalisador</p><p>para a eficiência dos negócios.</p><p>TÓPICO 1 - UNIDADE 1</p><p>Ativo é tudo que tem valor para uma organização, podendo ser tangível ou</p><p>intangível e de maneira lógica, física ou humana.</p><p>NOTA</p><p>Os melhores firewalls do mundo não poderão proteger os ativos da informação</p><p>da organização se o firewall humano estiver fraco. Segundo Pivot Point Security</p><p>(2020), estima-se que até 75% das violações da organização sejam atribuídas a falhas</p><p>humanas na manutenção das políticas, padrões e procedimentos de segurança de</p><p>seu colaborador. Para organizações que exigem conformidade com regulamentos</p><p>governamentais específicos é necessário treinamento formal de conscientização de</p><p>segurança da informação para cada colaborador, de uma a duas vezes por ano.</p><p>Assim, toda a organização corre o risco de ser comprometida. Portanto, agora</p><p>que tivemos uma ideia da importância da informação para a organização, precisamos</p><p>compreender os conceitos e princípios básicos de segurança da informação.</p><p>4</p><p>2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA</p><p>DA INFORMAÇÃO</p><p>Na literatura, encontramos várias definições para o termo segurança da</p><p>informação. Segundo ISO/IEC (2018), o termo segurança da informação geralmente</p><p>é baseado em informações consideradas como um ativo, que possui um valor que</p><p>exige proteção adequada, como contra a perda de disponibilidade, confidencialidade e</p><p>integridade.</p><p>Desta forma, “[...] é de responsabilidade da segurança da informação protegê-la</p><p>de vários tipos de ameaças, para garantir a continuidade do negócio, minimizar riscos e</p><p>maximizar o retorno dos investimentos” (COELHO; ARAÚJO; BEZERRA, 2014, p. 2).</p><p>Algumas definições formais de segurança da informação. “Preservação da con-</p><p>fidencialidade, integridade e disponibilidade da informação; adicionalmente, outras pro-</p><p>priedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem</p><p>também estar envolvidas” (ABNT NBR ISO/IEC 27002, 2005 apud TORRES, 2015, p. 10).</p><p>Sêmola (2003, p. 43) coloca segurança da informação “[...] como uma área</p><p>do conhecimento dedicada à proteção de ativos da informação contra acessos não</p><p>autorizados, alterações indevidas ou sua indisponibilidade”.</p><p>Bastos e Caubit (2009, p. 17) trazem uma definição menos formal de segurança</p><p>da informação, como ser:</p><p>[...] caracterizada pela aplicação adequada de dispositivos de</p><p>proteção sobre um ativo ou um conjunto de ativos visando preservar</p><p>o valor que este possui para as organizações. A aplicação destas</p><p>proteções busca preservar a Confidencialidade, a Integridade e a</p><p>Disponibilidade (CID), não estando restritos somente a sistemas ou</p><p>aplicativos, mas também informações armazenadas ou veiculadas</p><p>em diversos meios além do eletrônico ou em papel.</p><p>Estas definições de segurança da informação</p><p>é</p><p>uma abordagem em fases com três perspectivas:</p><p>• Melhoria contínua.</p><p>• Gerenciamento de programas.</p><p>• Alterar ativação.</p><p>Isaca (2018c) complementa que o guia de implementação do Cobit ® 2019</p><p>enfatiza uma visão corporativa da governança de informação e tecnologia, reconhecendo</p><p>que a informação e tecnologia precisam ser difundidas nas organizações. Além disso,</p><p>reconhece que não é possível e nem é uma boa prática separar as atividades comerciais</p><p>das atividades relacionadas à TI.</p><p>3 COMPORTAMENTO HUMANO E O COBIT</p><p>Você pode se perguntar, o que isso de fato significa na prática? A</p><p>implementação de qualquer mudança habilitada por TI, inclusive na governança de</p><p>TI em si, geralmente exige uma mudança cultural e comportamental significativa</p><p>das organizações e na relação com seus clientes e parceiros comerciais. Isso pode</p><p>causar medo e mal-entendido entre as equipes, de modo que a implementação deve</p><p>ser administrada cuidadosamente a fim de manter o pessoal positivamente engajado.</p><p>A alta direção deverá comunicar claramente os objetivos e ser percebidos</p><p>como apoiando positivamente as mudanças propostas. Treinamento e capacitação</p><p>dos colaboradores são aspectos chave da mudança – especialmente em função da</p><p>natureza de mudança rápida da tecnologia. Pessoas são afetadas pela TI em todos</p><p>os níveis da organização, como as partes interessadas, gestores e usuários, ou</p><p>especialistas que prestam serviços e soluções de TI para a organização.</p><p>Além da organização, a TI afeta clientes e parceiros comerciais e permite cada vez</p><p>mais o autoatendimento em serviços de TI e as transações automatizadas entre organi-</p><p>zações em nível doméstico e internacional. Já os processos de negócios habilitados por</p><p>TI trazem novos benefícios e oportunidades, eles também ampliam os tipos de riscos. O</p><p>interesse das pessoas por questões sobre privacidade e fraudes está aumentando, e estes</p><p>e os demais tipos de riscos devem ser geridos para que as pessoas tenham confiança nos</p><p>sistemas de TI que utilizam. Sistemas de informação também podem afetar drasticamente</p><p>os métodos de trabalho por meio da automação dos procedimentos manuais.</p><p>FONTE: ISACA. Cobit 5 – Modelo Corporativo para Governança e Gestão de TI da Organização.</p><p>Schaumburg: Isaca, 2012, p. 63. Disponível em: http://sti.tjrr.jus.br/arqpdf/governanca/guias/COBIT-5_</p><p>res_Por_0914.pdf. Acesso em: 12 abr. 2020.</p><p>108</p><p>3.1 CULTURA, ÉTICA E COMPORTAMENTO e PESSOAS,</p><p>HABILIDADES E COMPETÊNCIAS</p><p>“Cultura, ética e comportamento das pessoas e da organização são muitas</p><p>vezes subestimados como um fator de sucesso nas atividades de governança e gestão”</p><p>(ISACA, 2012, p. 29). Para Isaca (2012, p. 33), “O comportamento também é um habilitador</p><p>essencial da boa governança e gestão da organização. Ele fica no topo — liderando por</p><p>exemplos — e é, portanto, uma interação importante entre a governança e a gestão”.</p><p>A “Cultura, ética e comportamento determinam a eficiência e eficácia das estruturas</p><p>organizacionais e de suas decisões” (ISACA, 2012, p. 79). Nesse sentido, Isaca (2012, p.</p><p>72) coloca que é necessário que:</p><p>• A composição das estruturas organizacionais seja considerada,</p><p>exigindo um conjunto de habilidades adequadas de seus</p><p>membros.</p><p>• Os princípios de ordem e operação das estruturas organizacionais</p><p>são orientados pelos modelos de políticas adotado.</p><p>Portanto, você precisa conhecer os papéis e quais são as estruturas definidas</p><p>para cada um deles. Para isso, preparamos o Quadro 5 para que você possa conhecer</p><p>essas definições.</p><p>Isaca (2012) ressalta que essas definições servem como base e não</p><p>necessariamente representam os papéis reais desempenhadas nas organizações.</p><p>Lembre-se, elas agregam valor por serem utilizadas em grande parte das organizações.</p><p>QUADRO 5 - PAPÉIS E SUAS ESTRUTURAS ORGANIZACIONAIS</p><p>PAPEL/ESTRUTURA DEFINIÇÃO/DESCRIÇÃO</p><p>Conselho de Administração</p><p>O grupo de executivos mais antigos e/ou</p><p>conselheiros não executivos da organização</p><p>responsáveis pela governança da organização</p><p>e controle geral dos seus recursos.</p><p>Diretor Executivo (Chief Executive</p><p>Officer – CEO)</p><p>Diretor com o maior nível de autoridade, res-</p><p>ponsável pela administração da organização</p><p>como um todo.</p><p>Diretor Financeiro (Chief Financial</p><p>Officer – CFO)</p><p>O diretor mais graduado da organização na</p><p>área, responsável por todos os aspectos da</p><p>administração financeira, inclusive riscos</p><p>e controles financeiros bem como pela</p><p>confiabilidade e exatidão das contas.</p><p>Diretor Operacional (Chief Operation</p><p>Officer – COO)</p><p>O diretor mais graduado da organização na área,</p><p>responsável pela operação da organização.</p><p>109</p><p>Diretor de Riscos</p><p>(Chief Risk Officer – CRO)</p><p>O diretor mais graduado da organização na</p><p>área, responsável por todos os aspectos da</p><p>gestão de risco da organização. A função do</p><p>diretor de risco de TI pode ser criada para</p><p>supervisionar os riscos de TI.</p><p>Diretor de TI</p><p>(Chief Information Officer – CIO)</p><p>O diretor mais graduado da organização na</p><p>área, responsável pelo alinhamento de TI com</p><p>as estratégias de negócios e responsável</p><p>pelo planejamento, mobilização de recursos</p><p>e administração da prestação de serviços</p><p>e soluções de TI em apoio aos objetivos</p><p>corporativos.</p><p>Diretor de Segurança da Informação</p><p>(Chief Information Security Officer –</p><p>CISO)</p><p>O diretor mais graduado da organização</p><p>na área, responsável pela segurança das</p><p>informações da organização em todas as</p><p>suas formas.</p><p>Executivo de Negócios</p><p>O administrador sênior responsável pela</p><p>operação de uma unidade de negócios ou</p><p>subsidiária específica.</p><p>Responsável pelo Processo de</p><p>Negócios</p><p>Pessoa responsável pela execução de um</p><p>processo e consecução de seus objetivos,</p><p>orientação de melhorias no processo e</p><p>aprovação de mudanças no processo.</p><p>Comitê Estratégico (Executivo</p><p>Estratégico de TI)</p><p>Grupo de executivos seniores nomeados pelo</p><p>conselho de administração para garantir que</p><p>o conselho participe e seja informado sobre</p><p>as principais questões e decisões de TI. O</p><p>comitê é responsável pela administração dos</p><p>portfólios de investimentos habilitados pela</p><p>TI, serviços de TI e ativos de TI, garantindo a</p><p>criação de valor e a gestão de riscos. O comitê</p><p>é geralmente presidido por um membro do</p><p>conselho e não pelo Diretor de TI.</p><p>110</p><p>Comitês Diretivos (Projeto e Programa)</p><p>Grupo departes interessadas e especialistas</p><p>responsáveis pela orientação de programas</p><p>e projetos, inclusive monitoramento e</p><p>administração de planos, alocação de</p><p>recursos, realização de benefícios e criação</p><p>de valor bem como a gestão do risco do</p><p>programa e do projeto.</p><p>Conselho de Arquitetura</p><p>Grupo departes interessadas e especialistas</p><p>responsáveis pela orientação dos assuntos e</p><p>decisões sobre a arquitetura corporativa da</p><p>organização e pela definição das políticas e</p><p>padrões arquitetônicos.</p><p>Comitê de Riscos da Organização</p><p>Grupo de executivos da organização</p><p>responsáveis pela colaboração em nível</p><p>organizacional e pelo consenso exigido para</p><p>apoiar as atividades e decisões da governança</p><p>de riscos organizacionais (Enterprise Risk</p><p>Management – ERM). Um conselho de risco</p><p>de TI pode ser criado para considerar os riscos</p><p>de TI de forma mais detalhada e aconselhar o</p><p>comitê de riscos da organização.</p><p>Chefe de RH</p><p>O diretor mais graduado de uma organização</p><p>na área responsável pelo planejamento e</p><p>pelas políticas de recursos humanos daquela</p><p>organização</p><p>Conformidade</p><p>Papel na organização responsável pela</p><p>orientação sobre a conformidade legal,</p><p>regulatória e contratual.</p><p>Auditor</p><p>Papel na organização responsável pela</p><p>realização de auditorias internas.</p><p>Chefe de Arquitetura</p><p>Colaborador mais graduado responsável pelos</p><p>processos de arquitetura da organização.</p><p>Chefe de Desenvolvimento</p><p>Colaborador mais graduado responsável pelos</p><p>processos de desenvolvimento de soluções</p><p>de TI.</p><p>Chefe de Operações de TI</p><p>Colaborador mais graduado responsável pelos</p><p>ambientes operacionais e pela estrutura de TI.</p><p>111</p><p>Chefe de Administração de TI</p><p>Colaborador graduado responsável pelos</p><p>registros de TI e pelos assuntos administrativos</p><p>relacionados à TI.</p><p>Escritório</p><p>de Gerenciamento de</p><p>Projetos</p><p>(Project Management Office –PMO)</p><p>Órgão responsável pelo apoio aos gerentes</p><p>de programa e de projeto, levantamento,</p><p>avaliação e relatório das informações sobre</p><p>a conduta de seus programas e projetos</p><p>constituintes.</p><p>Escritório de Gestão de Valor</p><p>(Value Management Office – VMO)</p><p>Órgão que atua na gestão de portfólios de in-</p><p>vestimentos e serviços, inclusive avaliando e</p><p>aconselhando sobre oportunidades de inves-</p><p>timentos e estudos de caso, recomendando</p><p>métodos e controles de valores de governan-</p><p>ça/gestão e informando sobre o progresso</p><p>na sustentação e criação de valores gerados</p><p>pelos investimentos e serviços.</p><p>Gerente de Serviços</p><p>Pessoa que gerencia o desenvolvimento,</p><p>implementação, avaliação e o controle</p><p>contínuo de produtos e serviços novos e já</p><p>existentes para um cliente específico (usuário)</p><p>ou grupo de clientes (usuários).</p><p>Gerente de Segurança da Informação</p><p>Pessoa que administra, projeta, prevê e/ou</p><p>avalia a segurança da informação de uma</p><p>organização.</p><p>Gerente de Continuidade dos Negócios</p><p>Pessoa que administra, projeta, prevê e/ou</p><p>avalia a capacidade de continuidade dos ne-</p><p>gócios de uma organização para garantir que</p><p>as funções críticas daquela empresa conti-</p><p>nuem a operar após eventos de interrupção.</p><p>Diretor de Privacidade (Chief Privacy</p><p>Officer – CPO)</p><p>Pessoa responsável pelo monitoramento</p><p>dos riscos e impacto nos negócios de leis de</p><p>privacidade, e pela orientação e coordenação</p><p>da implementação de políticas e atividades</p><p>que garantam que as diretrizes de privacidade</p><p>serão cumpridas. Também conhecido como</p><p>diretor de proteção de dados.</p><p>FONTE: Adaptado de Isaca (2012, p. 80-81)</p><p>112</p><p>Em outra vertente, mas ainda relacionado ao tema estão as pessoas, habilidades</p><p>e competências, que para Isaca (2012, p. 33), estão relacionadas com “As atividades</p><p>de governança e gestão requerem conjuntos de habilidades diferentes, mas uma</p><p>habilidade essencial para os membros do órgão de governança e de gestão é entender</p><p>as duas tarefas e como elas se diferenciam”. Assim é importante identificar quais são os</p><p>controles de desempenho.</p><p>Controle de desempenho</p><p>Organizações esperam resultados positivos da aplicação e uso dos</p><p>habilitadores. Para controlar o desempenho dos habilitadores, as perguntas a seguir</p><p>terão de ser monitoradas e posteriormente respondidas — com base em indicadores</p><p>— periodicamente:</p><p>• As necessidades das partes interessadas foram consideradas?</p><p>• As metas do habilitador foram atingidas?</p><p>• O ciclo de vida do habilitador é controlado?</p><p>• Boas práticas foram aplicadas?</p><p>Os dois primeiros pontos tratam do resultado efetivo do habilitador. Os</p><p>indicadores usados para aferir em que medida as metas foram atingidas podem</p><p>ser chamadas de ‘indicadores de resultado. Os dois últimos pontos tratam do</p><p>funcionamento efetivo do próprio habilitador, e estes indicadores podem ser</p><p>chamadas de ‘indicadores de progresso.</p><p>Agora, vamos ilustrar o exemplo adaptado de Isaca (2012, p. 31-32) referente</p><p>aos objetivos, suas interligações e as dimensões, e como usá-los para benefício</p><p>prático. Uma organização nomeou ‘gerentes de processo’ de TI, encarregados de</p><p>definir e operar processos de TI eficientes e eficazes, no contexto da boa governança</p><p>e gerenciamento de TI da organização. Primeiramente, os gerentes de processo se</p><p>concentraram no habilitador do processo, considerando as dimensões do habilitador:</p><p>• Partes interessadas: partes interessadas incluem todos os atores do processo,</p><p>ou seja, todas as partes Responsáveis, Consultadas ou Informadas (RACI) sobre,</p><p>ou durante, as atividades do processo.</p><p>• Metas: cada processo deve definir metas adequadas e indicadores correspondentes.</p><p>Por exemplo, para o processo Gerenciar Relacionamentos (processo APO08)</p><p>pode-se encontrar um conjunto de metas e indicadores de processo tais como:</p><p>(i) Meta: bom entendimento, documentação e aprovação das estratégias, planos</p><p>e requisitos do negócio. Métrica: percentual de programas alinhados com os</p><p>requisitos/prioridades de negócios da organização; (ii) Meta: existência de bons</p><p>relacionamentos entre a organização e a área de TI. Métrica: classificações de</p><p>usuário e pesquisas de satisfação do pessoal de TI.</p><p>113</p><p>• Ciclo de Vida: cada processo tem um ciclo de vida, ou seja, ele deve ser criado,</p><p>executado, monitorado e ajustado conforme necessário. Eventualmente, o</p><p>processo deixa de existir. Neste caso, os gerentes de processo terão de conceber</p><p>e definir o processo primeiro. Eles podem usar vários elementos do Cobit: o</p><p>antigo habilitador de processos para conceber os processos, ou seja, definir</p><p>responsabilidades e desmembrar o processo em práticas e atividades, bem como</p><p>definir os produtos do trabalho do processo (entradas e saídas). Em um segundo</p><p>momento, o processo deverá ser criado de forma mais sólida e eficiente e para</p><p>isso os gerentes de processo podem elevar o nível de capacidade do processo.</p><p>O Modelo de Capacidade de Processo do Cobit inspirado no ISO/IEC 15504 e os</p><p>atributos de capacidade do processo podem ser usados para essa finalidade.</p><p>• Boa prática: o Cobit descreve de forma bastante detalhada as boas práticas</p><p>de processos no Cobit, conforme mencionado no item anterior. Inspiração e</p><p>exemplos de processos podem ser encontrados ali, cobrindo todo o espectro de</p><p>atividades necessárias para a boa governança e gerenciamento corporativo de</p><p>TI. Além de orientação sobre o habilitador de processo, os gerentes de processo</p><p>podem decidir observar diversos outros habilitadores tais como: As tabelas RACI,</p><p>que descrevem as funções e responsabilidades. Outros habilitadores permitem</p><p>aprofundar-se nesta dimensão, tais como: No habilitador competências e</p><p>habilidades, as que são necessárias em cada função podem ser definidas com</p><p>metas apropriadas (ex.: níveis de habilidade técnica e comportamental) e seus</p><p>respectivos indicadores podem ser definidos. A tabela RACI também contém</p><p>diversas estruturas organizacionais. Essas estruturas podem ser mais bem</p><p>elaboradas no habilitador estruturas organizacionais, em que uma descrição</p><p>mais detalhada da estrutura pode ser encontrada, resultados esperados e seus</p><p>respectivos indicadores podem ser definidos (ex.: decisões) e boas práticas</p><p>podem ser definidas (ex.: abrangência do controle, princípios operacionais da</p><p>estrutura, nível de autoridade). Princípios e políticas formalizarão os processos</p><p>e prescreverão porque o processo existe, a quem se aplica e como o processo</p><p>deverá ser usado. Esta é a área de enfoque do habilitador de políticas e princípios.</p><p>FONTE: Adaptado de ISACA. Cobit 5 – Modelo Corporativo para Governança e Gestão de TI da</p><p>Organização. Schaumburg: Isaca, 2012, p. 31-32. Disponível em: http://sti.tjrr.jus.br/arqpdf/governan-</p><p>ca/guias/COBIT-5_res_Por_0914.pdf. Acesso em: 12 abr. 2020.</p><p>Cultura, ética e comportamento</p><p>Cultura, ética e comportamento referem-se ao conjunto de comportamentos</p><p>individuais e coletivos de cada organização. O modelo do habilitador cultura, ética e</p><p>comportamento evidência:</p><p>114</p><p>• Partes interessadas: As partes interessadas referentes à cultura, ética e com-</p><p>portamento podem ser internas e externas à organização. Partes interessadas</p><p>internas incluem toda a organização, partes interessadas externas incluem re-</p><p>guladores, por exemplo, auditores externos ou órgãos de fiscalização. Há dois ti-</p><p>pos de interesses: (i) algumas partes interessadas, por exemplo, representantes</p><p>legais, gerentes de risco, administradores de RH, conselhos e diretores de remu-</p><p>neração, tratam da definição, implementação e execução dos comportamentos</p><p>desejados; (ii) os demais devem alinhar-se às normas e regulamentos definidos.</p><p>• Metas: as metas do habilitador cultura, ética e comportamento se referem:</p><p>ᵒ À ética organizacional, determinada pelos valores que nortearão a existência</p><p>da organização.</p><p>ᵒ À ética individual, determinada pelos valores pessoais de cada colaborador da</p><p>organização e dependente, em uma importante medida, de fatores externos</p><p>como religião, etnia, contexto socioeconômico,</p><p>geografia e experiências</p><p>pessoais.</p><p>ᵒ A comportamentos individuais, que determinam coletivamente a cultura de</p><p>uma organização. Diversos fatores, tais como os fatores externos mencio-</p><p>nados anteriormente, além das relações interpessoais nas organizações,</p><p>objetivos e ambições pessoais, orientam o comportamento. Alguns tipos de</p><p>comportamentos que podem ser significativos neste contexto incluem: (i)</p><p>Comportamento relativo à assunção de riscos, em que medida a organização</p><p>sente que pode absorver riscos e quais riscos ela está disposta a assumir? (ii)</p><p>Comportamento relativo à adoção de políticas, em que medida as pessoas</p><p>adotarão e/ou cumprirão a política? (iii) Comportamento no caso de resul-</p><p>tados negativos, como a organização lida com resultados negativos, ou seja,</p><p>prejuízos ou até mesmo perda de oportunidades? Ela aprende com essas</p><p>perdas e tenta melhorar ou a culpa será atribuída sem tratar da causa raiz?</p><p>• Ciclo de vida: cultura organizacional, postura ética e comportamento individual</p><p>etc., todos possuem seus ciclos de vida. Partindo da cultura existente, uma organi-</p><p>zação pode identificar as mudanças necessárias e trabalhar em sua implementação.</p><p>• Boas práticas: boas práticas para criação, incentivo e manutenção do</p><p>comportamento desejado:</p><p>ᵒ Comunicação para toda a organização dos comportamentos desejados e</p><p>valores corporativos subjacentes.</p><p>ᵒ Conscientização do comportamento desejado, reforçada por um exemplo</p><p>de comportamento exercido pela alta administração e outras lideranças.</p><p>ᵒ Incentivos para encorajar e convencer a adotar o comportamento desejado.</p><p>Há uma conexão clara entre o comportamento individual e o esquema de</p><p>recompensas de RH adotado pela organização.</p><p>ᵒ Regulamentos e normas, que fornecem mais orientação sobre o</p><p>comportamento organizacional desejado. Isso conecta de forma muita clara</p><p>os princípios e políticas adotados pela organização.</p><p>115</p><p>ᵒ Relações com os demais: as interações com outros habilitadores incluem:</p><p>(i) processos podem ser concebidos em um nível de perfeição, mas se as</p><p>partes interessadas do processo não desejarem executar as atividades do</p><p>processo conforme esperado. Por exemplo, se seu comportamento não</p><p>estiver em conformidade, os resultados do processo não serão alcançados.</p><p>Do mesmo modo, estruturas organizacionais podem ser projetadas e criadas</p><p>de acordo com o manual, mas se suas decisões não forem implementadas,</p><p>por motivos de agendas pessoais diferentes, falta de incentivos etc., elas</p><p>não resultarão em uma governança e gerenciamento de TI da organização</p><p>aceitável; (ii) princípios e políticas são um mecanismo de comunicação muito</p><p>importante para os valores corporativos e o comportamento desejado.</p><p>FONTE: ISACA. Cobit 5 – Modelo Corporativo para Governança e Gestão de TI da Organiza-</p><p>ção. Schaumburg: Isaca, 2012, p. 82-83. Disponível em: http://sti.tjrr.jus.br/arqpdf/governanca/guias/</p><p>COBIT-5_res_Por_0914.pdf. Acesso em: 12 abr. 2020.</p><p>Agora, acadêmico, preparamos duas exemplificações para você. O Quadro 6 traz</p><p>um exemplo de melhoria contínua e o Quadro 7 exemplifica o risco de TI.</p><p>QUADRO 6 - EXEMPLO DE MELHORIA CONTÍNUA</p><p>FONTE: Isaca (2018, p. 83)</p><p>Uma organização enfrenta repetidamente sérios problemas de qualidade com</p><p>novos aplicativos. Apesar do fato de uma sólida metodologia de desenvolvimento</p><p>de projeto de software ter sido adotada, muitas vezes os problemas com o software</p><p>geram problemas operacionais no cotidiano da organização. Uma pesquisa mostrou</p><p>que os membros da equipe de desenvolvimento e a administração são avaliados e</p><p>recompensados com base na pontualidade da entrega, dentro do orçamento, de seus</p><p>projetos. Eles não são avaliados por critérios de qualidade ou critérios de benefícios</p><p>para a organização. Consequentemente, eles se concentram diligentemente no prazo</p><p>de entrega e na redução de custos durante o desenvolvimento, por exemplo, tempo</p><p>dos testes. A pesquisa mostrou também que o cumprimento da metodologia e dos</p><p>procedimentos estabelecidos praticamente não existe, uma vez que ela exigiria um</p><p>pouco mais de tempo no desenvolvimento do orçamento (a favor da qualidade).</p><p>Além disso, a estrutura organizacional é de tal forma que o envolvimento da área de</p><p>desenvolvimento cessa uma vez que o desenvolvimento é transferido para a equipe</p><p>de operações. A partir daí o envolvimento com a área de desenvolvimento é somente</p><p>indireto, por meio dos processos criados para controle de incidentes e controle de</p><p>problemas. A lição aprendida é que os melhores incentivos devem ser usados para</p><p>solucionar a administração do desenvolvimento e incentivar as equipes melhorarem a</p><p>qualidade do trabalho.</p><p>116</p><p>QUADRO 7 - EXEMPLO DE RISCO DE TI</p><p>FONTE: Isaca (2018, p. 83)</p><p>Alguns sintomas de uma cultura inadequada ou problemática em relação aos riscos de TI</p><p>incluem: desalinhamento entre a real inclinação ao risco e a sua conversão em políticas.</p><p>Os reais valores da administração em relação aos riscos podem ser razoavelmente</p><p>agressivos e de assunção de riscos, ao passo que as políticas criadas refletem uma atitude</p><p>muito mais conservadora. Por isso, há uma incompatibilidade entre os valores e os meios</p><p>para se compreender esses valores, levando inevitavelmente ao conflito. Conflitos podem</p><p>surgir, por exemplo, entre os incentivos definidos para a administração e a execução de</p><p>políticas desalinhadas. A existência de uma “cultura de culpa”. Este tipo de cultura deve</p><p>ser evitado de todas as formas; ela é o mais eficaz inibidor de comunicação significativa e</p><p>eficaz. Em uma cultura de culpa, as unidades de negócios tendem a apontar o dedo para</p><p>TI quando os projetos não são entregues no prazo ou não atendem às expectativas. Ao</p><p>fazê-lo, elas não conseguem perceber como o envolvimento das unidades de negócios</p><p>no início do projeto afeta o sucesso do processo. Em casos extremos, a unidade de</p><p>negócios pode assumir a culpa por não atender às expectativas que a unidade nunca</p><p>comunicou claramente. O “jogo de culpa” só prejudica a comunicação eficaz entre as</p><p>unidades, fazendo aumentar os atrasos. A liderança executiva deve identificar e controlar</p><p>rapidamente a cultura de culpa se a colaboração for fomentada em toda a organização.</p><p>Pessoas, habilidades e competências</p><p>As especificidades das pessoas, habilidades e competências são comparadas</p><p>com a descrição do habilitador genérico. O modelo de pessoas, habilidades e</p><p>competências destaca:</p><p>• Partes interessadas: as habilidades e competências podem ser encontradas em</p><p>Partes Interessadas internas e externas à organização. Cada interessado assume</p><p>funções participantes, administradores de negócios, administradores de projeto,</p><p>parceiros, concorrentes, recrutadores, instrutores, desenvolvedores, especialistas</p><p>técnicos em TI etc.; e cada papel exige um conjunto de habilidades distintas.</p><p>• Metas: as metas das habilidades e competências estão relacionadas com os níveis de</p><p>educação e qualificação, habilidades técnicas, níveis de experiência, conhecimento e</p><p>habilidades comportamentais necessários para realizar e desenvolver as atividades</p><p>do processo com sucesso, os papéis organizacionais etc. As metas dos colaboradores</p><p>incluem níveis corretos de disponibilidade de pessoal e índice de rotatividade.</p><p>• Ciclo de vida: habilidades e competências têm um ciclo de vida. Uma organização</p><p>tem que saber qual é sua atual base de habilidades e planejar o que ela deve ser. Isto</p><p>é influenciado pela estratégia (entre outras coisas) e pelos objetivos corporativos.</p><p>As habilidades devem ser desenvolvidas (por exemplo, com treinamento) ou</p><p>adquiridas (por exemplo, com recrutamento) e implantadas nos diversos papéis</p><p>117</p><p>da estrutura organizacional. As habilidades devem ser transferidas, por exemplo,</p><p>se uma atividade for automatizada ou terceirizada. Periodicamente, por exemplo,</p><p>anualmente, a organização deve avaliar a base de competências para compreender</p><p>a evolução ocorrida, que será informada no processo de planejamento do próximo</p><p>período. Esta avaliação também pode ser incluída no processo</p><p>de recompensa e</p><p>reconhecimento de recursos humanos.</p><p>• Boas práticas: as boas práticas de habilidades e competências incluem a definição</p><p>de requisitos de qualificação claros e objetivos de cada papel desempenhado</p><p>pelas diversas partes interessadas. Isto pode ser descrito em diferentes níveis de</p><p>habilidades em diversas categorias. Para cada nível de habilidade apropriado em</p><p>cada categoria de habilidade, uma definição da habilidade deverá ser disponibilizada.</p><p>As categorias de habilidade correspondem às atividades de TI assumidas, por</p><p>exemplo, gestão da informação, análise de negócios. Outras boas práticas: Há</p><p>fontes externas de boas práticas, como Skills Framework for the Information Age</p><p>(SFIA), que fornece definições detalhadas de habilidades. Exemplos de potenciais</p><p>categorias de habilidades, mapeados nos domínios de processo do Cobit 5 são</p><p>apresentados no Quadro 8. Conforme vimos anteriormente, essa parte continua</p><p>igual no Cobit ® 2019.</p><p>QUADRO 8 - DOMÍNIO DO PROCESSO E EXEMPLOS DE CATEGORIAS DE HABILIDADES</p><p>DOMÍNIO DO PROCESSO</p><p>EXEMPLOS DE CATEGORIAS DE</p><p>HABILIDADES</p><p>Avaliar, Dirigir e Monitorar (Evaluating</p><p>Direction and Monitoring – EDM)</p><p>• Governança corporativa de TI</p><p>Alinhar, Planejar e Organizar (Align,</p><p>Plan and Organize – APO)</p><p>• Formulação da política de TI</p><p>• Estratégia de TI</p><p>• Arquitetura corporativa</p><p>• Inovação</p><p>• Gestão financeira</p><p>• Gestão de portfólio</p><p>Construir, Adquirir e Implementar</p><p>(Build, Acquire and Implement – BAI)</p><p>• Análise de negócios</p><p>• Gerenciamento de projetos</p><p>• Avaliação de usabilidade</p><p>• Definição e gestão de requisitos</p><p>• Programação</p><p>• Ergonomia do sistema</p><p>• Desativação de software</p><p>• Gestão da capacidade</p><p>118</p><p>Entregar, Serviços e Suporte (Deliver,</p><p>Service and Support – DSS)</p><p>• Gestão da disponibilidade</p><p>• Gestão de problemas</p><p>• Central de Atendimento e gestão de</p><p>incidentes</p><p>• Administração de segurança</p><p>• Operações de TI</p><p>• Administração do banco de dados</p><p>Monitorar, Avaliar e Analisar (Monitor,</p><p>Evaluate and Assess – MEA)</p><p>• Análise de conformidade</p><p>• Monitoramento de desempenho</p><p>• Auditoria de controles</p><p>FONTE: Isaca (2012, p. 91)</p><p>• Relações com outros habilitadores: as interações com outros habilitadores</p><p>incluem:</p><p>ᵒ Habilidades e competências são necessárias para realizar as atividades do</p><p>processo e tomar decisões em estruturas organizacionais. Reciprocamente,</p><p>alguns processos visam apoiar o ciclo de vida das habilidades e competências.</p><p>ᵒ Há ainda uma relação com a cultura, ética e comportamento por meio das</p><p>habilidades comportamentais, que orientam o comportamento do indivíduo e</p><p>são influenciadas pela ética da pessoa e pela ética da organização.</p><p>ᵒ As definições de habilidades também são informações, para as quais boas</p><p>práticas do habilitador de informação devem ser consideradas.</p><p>FONTE: ISACA. Cobit 5 – modelo corporativo para governança e gestão de ti da organização.</p><p>Isaca, 2012, p. 90-91. Disponível em: https://www.isaca.org/bookstore/cobit-5/wcb5b. Acesso em: 12</p><p>abr. 2020.</p><p>3.2 PROCESSOS REFERENTE À CONSCIENTIZAÇÃO</p><p>O processo APO07: “Gerenciar recursos humanos explica como o desempenho</p><p>dos indivíduos deve ser alinhado aos objetivos corporativos, como as habilidades dos</p><p>especialistas em TI devem ser mantidas, e como e responsabilidades devem ser definidas”</p><p>(ISACA, 2012, p. 63). Dessa forma, ele fornece uma abordagem estruturada para garantir</p><p>a estruturação ideal, colocação, direitos de decisão e as habilidades dos recursos</p><p>humanos. Isso inclui a comunicação tanto dos papéis como das responsabilidades</p><p>definidas, planos de aprendizagem e de crescimento, bem como as expectativas de</p><p>desempenho, apoiado por pessoas que se encontram motivadas e são competentes.</p><p>O processo BAI02: “Gerenciar definição de requisitos ajuda a assegurar que o</p><p>projeto dos aplicativos atenda às exigências de uso e operação por pessoas” (ISACA,</p><p>2012, p. 65). Assim, ele identifica soluções e analisa os requisitos anteriormente a</p><p>aquisição ou a criação, assegurando que eles estão em conformidade com os requisitos</p><p>119</p><p>estratégicos corporativos e cobrindo os processos de negócio, aplicações, dados/</p><p>informações, os serviços e a infraestrutura. Esse processo também visa a coordenar</p><p>com as partes interessadas afetadas a revisão de opções viáveis, incluso custos e</p><p>benefícios, análise de risco e aprovação de requisitos e soluções propostas.</p><p>O processo BAI05: “Gerenciar capacidade de mudança organizacional e BAI08</p><p>gerenciar conhecimento estão relacionados com capacitar a mudança” (ISACA, 2012, p.</p><p>65). Segundo ISACA (2012, p. 38-39) capacitar a mudança diz respeito que:</p><p>O sucesso da implementação depende da implantação da mudança</p><p>adequada (dos habilitadores da governança ou gestão apropriados)</p><p>de forma correta. Em muitas organizações, há um foco significativo</p><p>no primeiro aspecto – núcleo de governança ou gestão de TI – mas há</p><p>pouca ênfase na gestão dos aspectos humanos, comportamentais</p><p>e culturais da mudança e motivação das partes interessadas para</p><p>aceitar a mudança. Não se deve pressupor que as várias partes</p><p>interessadas envolvidas com os habilitadores novos ou revisados, ou</p><p>afetados por eles, os aceitarão prontamente e adotarão a mudança.</p><p>A possibilidade de ignorarem e/ou resistirem à mudança deve ser</p><p>tratada por meio de uma abordagem estruturada e proativa. Além</p><p>disso, a conscientização ideal do programa de implementação deve</p><p>ser alcançada por meio de um plano de comunicação eficiente que</p><p>defina o que será comunicado, de que forma e por quem, ao longo</p><p>das várias fases do programa.</p><p>Melhoria sustentável pode ser conseguida obtendo-se o compromisso das partes</p><p>interessadas (investimento na conquista de corações e mentes, do tempo dos líderes, e na</p><p>comunicação e resposta à força de trabalho) ou, se ainda for necessário, aplicando-se em</p><p>conformidade (investimento em processos para administrar, monitorar e executar). Em</p><p>outras palavras, as barreiras humanas, comportamentais e culturais devem ser superadas</p><p>de modo que haja um interesse comum em adotar corretamente a mudança, infundir a</p><p>vontade de adotar a mudança e garantir a capacidade de adotar a mudança.</p><p>O processo BAI005 visa maximizar a probabilidade de implementar com sucesso</p><p>a mudança organizacional sustentável em toda a organização, de maneira rápida e</p><p>reduzindo risco. Além disso, busca cobrir o ciclo de vida completo da mudança e de</p><p>todas as partes interessadas que são afetadas no negócio e a TI. Já o processo BAI08</p><p>mantém a disponibilidade de conhecimento relevante, atual, válida e confiável para</p><p>suportar todas as atividades do processo e facilitar a tomada de decisão.</p><p>120</p><p>RESUMO DO TÓPICO 1</p><p>Neste tópico, você aprendeu:</p><p>• É necessário ter conhecimento da legislação que a organização precisa seguir,</p><p>bem como elicitar os requisitos referentes à conscientização em segurança da</p><p>informação necessários para atendê-la.</p><p>• Ao se saber quais são os requisitos legais é necessário identificar quais são os</p><p>controles apontados pelas normas de segurança.</p><p>• “A partir dos controles identificados, é necessário gerar as políticas, normas e procedi-</p><p>mentos para a implementação dos controles” (COELHO; ARAÚJO; BEZERRA, 2014, p. 8).</p><p>• Existem três fontes principais a serem consideradas no momento de estabelecer os</p><p>requisitos de segurança da informação de uma organização, sendo elas: (i) análise</p><p>e avaliação de riscos; (ii) legislação vigente; (iii) conjunto de princípios.</p><p>• O Control Objectives for Information and related Technology (COBIT) são um conjunto de</p><p>melhores práticas para o gerenciamento de TI, que foi criado pela Information Systems</p><p>Audit and Control Association (ISACA), uma Associação de Auditoria e Controle de</p><p>Sistemas de Informação internacional, e pelo IT Governance Institute (ITGI).</p><p>• A ISACA desenvolve e mantém o framework Cobit, reconhecido internacionalmente,</p><p>ajudando profissionais de TI e líderes empresariais no cumprimento de suas</p><p>responsabilidades de Governança de TI e para que agreguem valor aos negócios.</p><p>• O Cobit ® 2019 é a versão atual do Cobit e que</p><p>Cobit 5 Implementation Guide passa</p><p>a se chamar Cobit ® 2019 Implementation Guide, mantendo-se assim as práticas</p><p>referente ao comportamento humano, ou seja, a conscientização.</p><p>• O framework Cobit fornece aos profissionais de segurança de informação e para as</p><p>partes interessadas da organização, orientações e práticas detalhadas a serem aplicadas</p><p>na segurança da informação, fundamentadas nas melhores práticas acadêmicas.</p><p>• O framework Cobit ® 2019 foi atualizado com novas informações e orientações,</p><p>visando a uma implementação mais fácil e personalizada do Cobit ® 2019.</p><p>• As práticas de conscientização se referem aos habilitadores do Cobit 5 incluem</p><p>pessoas, habilidades e competências, bem como cultura, ética e comportamento e</p><p>os processos APO07, BAI02, BAI05 e BAI08.</p><p>• O processo do APO07 se refere ao gerenciamento de recursos humanos.</p><p>• O processo BAI02 se refere ao gerenciamento na definição de requisitos.</p><p>121</p><p>• O processo BAI05 se refere ao gerenciamento da capacidade de mudança</p><p>organizacional.</p><p>• O processo BAI08 se refere ao gerenciamento do conhecimento.</p><p>• A área de foco (antigos habilitadores) tem como objetivo definir o componente princi-</p><p>pal do seu sistema de Governança, ou seja, se é referente à segurança, ao risco, De-</p><p>vOps, ou mesmo se é sobre uma média ou pequena empresa e assim sucessivamente</p><p>• São seis princípios em um sistema de governança e três princípios do framework de</p><p>governança.</p><p>• Cada organização precisa de um sistema de governança para satisfazer as necessida-</p><p>des das partes interessadas e gerar valor a partir do uso da informação e da tecnologia.</p><p>• Um sistema de governança para informação e tecnologia corporativa é construído</p><p>a partir de vários componentes de diferentes tipos e trabalhando em conjunto de</p><p>maneira holística.</p><p>• Um sistema de governança deve ser dinâmico, ou seja, sempre que um ou mais dos fatores</p><p>de projeto são alterados, o impacto dessas alterações no sistema deve ser considerado.</p><p>• Um sistema de governança deve distinguir de forma clara entre atividades e</p><p>estruturas de governança e gerenciamento.</p><p>• Um sistema de governança deve se adaptar às necessidades da organização,</p><p>utilizando um conjunto de fatores de design como parâmetros para personalizar e</p><p>priorizar os componentes do sistema de governança.</p><p>• Um sistema de governança deve cobrir a atividade fim da organização, concentran-</p><p>do-se não só nas funções desempenhadas pela, mas por toda tecnologia e proces-</p><p>samento de informações que a organização precisa para alcançar seus objetivos.</p><p>• Uma estrutura de governança deve estar fundamentada em um modelo conceitual,</p><p>identificando os principais componentes e as relações existentes entre esses</p><p>componentes, maximizando a consistência e possibilitando a automação.</p><p>• Uma estrutura de governança deve ser aberta e flexível, permitindo adicionar novo</p><p>conteúdo e ter a capacidade de resolver novos problemas da maneira mais flexível,</p><p>mantendo a integridade e a consistência.</p><p>• Uma estrutura de governança deve estar alinhada aos principais padrões, estruturas</p><p>e regulamentos relacionados.</p><p>• Um objetivo de governança ou gestão sempre está relacionado a um processo e a</p><p>uma série de componentes que se relacionam a outros tipos para ajudar a alcançar</p><p>o objetivo.</p><p>122</p><p>• Um objetivo de governança se refere a um processo de governança, enquanto um</p><p>objetivo de gestão se relaciona a um processo de gestão.</p><p>• Os objetivos de tecnologia e informação na cascata do Cobit 5 foram substituídos</p><p>pelos objetivos de alinhamento, dizendo respeito ao alinhamento da tecnologia da</p><p>informação com os objetivos corporativos.</p><p>• Os objetivos dos Habilitadores do Cobit 5 passam a se chamar de Objetivos de</p><p>Governança e Gestão.</p><p>• Semelhante ao Cobit 5, os objetivos de governança e gerenciamento do Cobit ®</p><p>2019 estão agrupados em cinco domínios.</p><p>• O sistema de governança de cada organização é construído a partir de vários</p><p>componentes que podem ser de tipos diferentes, podendo interagir entre si,</p><p>resultando em um sistema holístico de governança para informação e tecnologia;</p><p>e que anteriormente eles eram conhecidos como facilitadores no Cobit 5. Os</p><p>componentes podem ser genéricos ou variações dos componentes genéricos.</p><p>• Os componentes genéricos são descritos no modelo principal do Cobit, sendo</p><p>aplicados em princípio a qualquer situação, contudo, eles são de natureza genérica</p><p>e geralmente precisam de personalização antes de serem implementados.</p><p>• Os componentes variantes são baseados em componentes genéricos, mas adapta-</p><p>dos para um propósito ou contexto específico dentro de uma área de foco (por exem-</p><p>plo, para segurança da informação, DevOps, um regulamento específico e afins).</p><p>• Os componentes de governança relevantes passaram a ser agrupados no Cobit ®</p><p>2019 em Áreas de Foco.</p><p>• Uma Área de Foco descreve um determinado tópico, domínio ou problema de</p><p>governança que pode ser tratado por uma coleção de objetivos de governança e</p><p>gerenciamento e seus componentes.</p><p>• As áreas de foco podem conter uma combinação de componentes e variantes</p><p>genéricas de governança.</p><p>• A abordagem de implementação está baseada em capacitar as partes interessadas</p><p>de negócios e de TI e os participantes para assumir a propriedade das decisões</p><p>e atividades de governança e gerenciamento relacionadas à TI, facilitando e</p><p>possibilitando mudanças.</p><p>• O guia de implementação é uma abordagem em fases com três perspectivas:</p><p>melhoria contínua, gerenciamento de programas e alterar ativação.</p><p>123</p><p>• O guia de implementação do Cobit ® 2019 enfatiza uma visão corporativa da</p><p>governança de informação e tecnologia, reconhecendo que a informação e</p><p>tecnologia precisam ser difundidas nas organizações.</p><p>• A implementação de qualquer mudança habilitada por TI, incluso na governança</p><p>de TI em si, na maioria das vezes exige uma mudança cultural e comportamental</p><p>significativa das organizações e na relação com seus clientes e parceiros comerciais.</p><p>• A alta direção deverá comunicar de forma clara os objetivos e ser percebidos por</p><p>toda organização como apoiando positivamente as mudanças propostas.</p><p>• “Cultura, ética e comportamento das pessoas e da organização são muitas vezes</p><p>subestimados como um fator de sucesso nas atividades de governança e gestão”</p><p>(ISACA, 2012, p. 29).</p><p>• “Cultura, ética e comportamento determinam a eficiência e eficácia das estruturas</p><p>organizacionais e de suas decisões” (ISACA, 2012, p. 79).</p><p>• “As atividades de governança e gestão requerem conjuntos de habilidades diferentes,</p><p>mas uma habilidade essencial para os membros do órgão de governança e de gestão</p><p>é entender as duas tarefas e como elas se diferenciam” (ISACA, 2012, p. 33).</p><p>• O processo APO07 “Gerenciar recursos humanos explica como o desempenho dos</p><p>indivíduos deve ser alinhado aos objetivos corporativos, como as habilidades dos</p><p>especialistas em TI devem ser mantidas, e como e responsabilidades devem ser</p><p>definidas” (ISACA, 2012, p. 63).</p><p>• O processo BAI02 “Gerenciar definição de requisitos ajuda a assegurar que o projeto dos</p><p>aplicativos atenda às exigências de uso e operação por pessoas” (ISACA, 2012, p. 65).</p><p>• O processo BAI05 “Gerenciar capacidade de mudança organizacional e BAI08</p><p>gerenciar conhecimento estão relacionados com capacitar a mudança” (ISACA,</p><p>2012, p. 65).</p><p>• O processo BAI005 visa maximizar a probabilidade de implementar com sucesso a</p><p>mudança organizacional sustentável em toda a organização, de maneira rápida e</p><p>reduzindo risco.</p><p>• O processo BAI08 mantém a disponibilidade de conhecimento relevante, atual,</p><p>válida e confiável para suportar todas as atividades do processo e facilitar a tomada</p><p>de decisão.</p><p>124</p><p>AUTOATIVIDADE</p><p>1 As mudanças tecnológicas fazem parte do dia a dia das organizações e aliadas a elas</p><p>estão os riscos e as vulnerabilidades no cotidiano das organizações. Desta forma, é ne-</p><p>cessário ter conhecimento da legislação que a organização precisa seguir, bem como</p><p>elicitar os requisitos referentes à segurança necessários para atendê-la. Ao se saber</p><p>quais são</p><p>os requisitos legais é necessário identificar quais são os controles apontados</p><p>pelas normas de segurança. Destacamos ainda que são três fontes principais a serem</p><p>consideradas no momento de estabelecer os requisitos de segurança da informação</p><p>de uma organização. Analise as sentenças a seguir, referentes a essas três principais</p><p>fontes, classificando com V as sentenças verdadeiras e com F as falsas.</p><p>( ) Na análise e avaliação de riscos deve ser levado em consideração a probabilidade</p><p>de ocorrência de ameaças e o impacto para o negócio.</p><p>( ) Conjunto de princípios está relacionado às necessidades de cláusulas contratuais,</p><p>regulamentação e estatutos que devem atender à organização, terceirizados e</p><p>fornecedores, bem como seus parceiros.</p><p>( ) Legislação vigente está relacionado à identificação dos objetivos e requisitos de</p><p>negócio para o processamento de dados que a organização deve definir para dar</p><p>suporte às suas operações.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – F – F.</p><p>b) ( ) V – V – F.</p><p>c) ( ) V – V – F.</p><p>d) ( ) F – F – V.</p><p>2 O Control Objectives for Information and related Technology (COBIT) é um conjunto</p><p>de melhores práticas para o gerenciamento de TI, que foi criado pela Information</p><p>Systems Audit and Control Association (ISACA), uma Associação de Auditoria e Con-</p><p>trole de Sistemas de Informação internacional, e pelo IT Governance Institute (ITGI).</p><p>A versão anterior do Cobit ® 2019 era o Cobit 5. Com relação às principais mudanças</p><p>dessas duas versões, analise as sentenças a seguir, classificando com V as sentenças</p><p>verdadeiras e com F as falsas:</p><p>( ) Introdução e Metodologia trazem o detalhamento dos princípios de governança,</p><p>oferecendo conceitos e a exemplificação básica, bem como lança a construção da</p><p>estrutura de maneira geral, incluso o Cobit Core Model.</p><p>( ) Objetivos de gestão e governança fornecem a descrição de maneira detalhada do</p><p>Cobit Core Model, bem como os seus 40 objetivos de gestão/governança.</p><p>125</p><p>( ) Guia de design traz a forma de implementar e otimizar uma solução de governança</p><p>de informação e tecnologia, provendo um roteiro para a contínua melhoria da</p><p>governança.</p><p>( ) Guia de implementação traz o desenho de uma solução de governança de</p><p>informação e tecnologia, provendo informação referente de como se faz para</p><p>desenhar um sistema de governança de forma específica para as organizações.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – F – V – F.</p><p>b) ( ) F – V – V – F.</p><p>c) ( ) F – F – V – V.</p><p>d) ( ) V – V – F – F.</p><p>3 O Cobit traz boas práticas de conscientização e orientações sobre as exigências</p><p>relativas ao comportamento humano. Essas práticas incluem pessoas, habilidades</p><p>e competências, bem como cultura, ética e comportamento. Além disso, Cobit traz</p><p>processos que tratam de orientações a serem utilizadas referente à conscientização.</p><p>Analise as sentenças referente a esses processos, classificando com V as sentenças</p><p>verdadeiras e com F as falsas.</p><p>( ) O processo Cobit BAI08 se refere ao gerenciamento na definição de requisitos.</p><p>( ) O processo do Cobit APO07 se refere ao gerenciamento de recursos humanos.</p><p>( ) O processo Cobit BAI05 se refere ao gerenciamento da capacidade de mudança</p><p>organizacional.</p><p>( ) O processo do Cobit BAI02 se refere ao gerenciamento do conhecimento.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – F – F.</p><p>b) ( ) V – F – V – F.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) F – F – V – V.</p><p>4 A eficiência e eficácia das estruturas organizacionais e de suas decisões são</p><p>determinadas pela cultura, ética e comportamento das pessoas envolvidas na</p><p>organização. Nesse sentido, é necessário que a composição das estruturas</p><p>organizacionais seja considerada, exigindo um conjunto de habilidades adequadas</p><p>de cada uma das pessoas; e os princípios de ordem e operação das estruturas</p><p>organizacionais são regidos pelos modelos de políticas adotado. Assim, é necessário</p><p>que você conheça os papéis e as estruturas definidas. Com relação a esses papéis</p><p>e suas estruturas, analise as sentenças a seguir, classificando com V as sentenças</p><p>verdadeiras e com F as falsas:</p><p>126</p><p>( ) O diretor financeiro é responsável por todos os aspectos da administração financeira,</p><p>inclusive riscos e controles financeiros, bem como pela confiabilidade e exatidão</p><p>das contas.</p><p>( ) O diretor de TI é responsável por todos os aspectos da gestão de risco da organização</p><p>( ) O diretor de riscos é responsável pelo alinhamento de TI com as estratégias de</p><p>negócios e responsável pelo planejamento, mobilização de recursos e administração</p><p>da prestação de serviços e soluções de TI em apoio aos objetivos corporativos.</p><p>( ) O diretor executivo é responsável pela administração da organização como um todo.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – F – F.</p><p>b) ( ) V – F – F – V.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) F – F – V – V.</p><p>5 O Cobit traz orientações relevantes referentes à cultura, à ética e ao comportamento.</p><p>Eles formam um conjunto de comportamentos tanto individuais como coletivos de</p><p>cada. Os comportamentos das partes interessadas internas incluem toda a organização</p><p>e nas partes interessadas externas incluem as questões de reguladores. Podemos</p><p>citar como exemplos, auditores externos ou órgãos de fiscalização. Ainda existem</p><p>dois tipos de interesses: representantes legais, gerentes de risco, administradores</p><p>de RH, conselhos e diretores de remuneração e os demais interessados. Referente a</p><p>esses dois tipos de interesse, analise as sentenças a seguir, classificando com V as</p><p>sentenças verdadeiras e com F as sentenças falsas:</p><p>( ) Representantes legais, gerentes de risco, administradores de RH, conselhos e</p><p>diretores de remuneração, tratam da definição, implementação e execução dos</p><p>comportamentos desejados.</p><p>( ) As demais partes interessadas devem se alinhar às normas e regulamentos</p><p>definidos.</p><p>( ) Representantes legais, gerentes de risco, administradores de RH, conselhos e</p><p>diretores de remuneração devem se alinhar as normas e regulamentos definidos.</p><p>( ) As demais partes interessadas tratam da definição, implementação e execução</p><p>dos comportamentos desejados.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – F – F.</p><p>b) ( ) V – F – V – F.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) F – F – V – V.</p><p>127</p><p>PRINCIPAIS NORMAS EM SEGURANÇA DA</p><p>INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E</p><p>ABNT NBR ISO/IEC 27002:2013</p><p>1 INTRODUÇÃO</p><p>A International Organization for Standardization (ISO) homologou pela</p><p>Associação Brasileira de Normas Técnicas (ABNT) a Norma Brasileira (NBR) no ano</p><p>de 2000 e a publicou como ABNT NBR ISO/IEC 17799:2000. Destacamos, que alguns</p><p>padrões da International Electrotechnical Commission (IEC) são desenvolvidos em</p><p>conjunto com a ISO. Desta forma, no ano de 2005, a ISO atualizou ABNT NBR ISO/IEC</p><p>17799:2000 como ABNT NBR ISO/IEC 17799:2005 e no ano de 2006 publicou a norma</p><p>BS7799-3:2006, de acordo com a ABNT NBR ISO/IEC 27001. No ano de 2007, criou a</p><p>família ABNT NBR ISO/IEC 27000 e a ABNT NBR ISO/IEC 17799 passa a ser chamada de</p><p>ABNT NBR ISO/IEC 27002 (OLIVEIRA et al., 2015).</p><p>Agora, acadêmico, veja as quatro UNI-DICA que preparamos para você!</p><p>UNIDADE 2 TÓPICO 2 -</p><p>A International Organization for Standardization (ISO) é uma organização</p><p>com sede em Genebra, na Suíça, que foi fundada no ano de 1946. A ISO</p><p>tem como objetivo desenvolver e promover normas que possam ser</p><p>usadas da mesma forma em todos os países do mundo.</p><p>A International Electrotechnical Commission (IEC) é uma organização</p><p>internacional de padronização de tecnologias elétricas, eletrônicas e afins.</p><p>Desta forma, a IEC em conjunto com a ISO desenvolve alguns de seus</p><p>padrões.</p><p>NOTA</p><p>NOTA</p><p>128</p><p>A Associação Brasileira de Normas Técnicas (ABNT) é uma entidade sem fins</p><p>lucrativos, que representa a ISO. Ela ajuda a promover o desenvolvimento</p><p>tecnológico do nosso país com a padronização de documentos e de</p><p>processos produtivos, por meio do estabelecimento das NBR.</p><p>As</p><p>Normas Brasileiras (BNR) objetivam aumentar o processo produtivo</p><p>das organizações, bem como entregar o produto de maior qualidade e</p><p>aumentar a competitividade destes produtos.</p><p>NOTA</p><p>NOTA</p><p>A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento</p><p>de Segurança da Informação (SGSI) e os termos e definições comumente utilizados</p><p>na família de padrões SGSI. A ABNT NBR ISO/IEC 27001:2013 e a ABNT NBR ISO/IEC</p><p>27002: 2013 fazem parte da família ABNT NBR ISO/IEC 27000, que abrangem a gestão</p><p>da segurança da informação (ISO/IEC 27000, 2018).</p><p>Além da família ABNT NBR ISO/IEC 27000, o National Institute of Standards</p><p>and Technology (NIST) traz normas referente à cultura de segurança da informação. A</p><p>norma NIST 800-50 traz orientações quanto à construção e manutenção de um plano</p><p>de conscientização e treinamento e a norma NIST 800-16 traz um framework conceitual</p><p>referente ao treinamento em segurança (OLIVEIRA et al., 2015). Portando, o objetivo a</p><p>partir daqui é entendermos as normas ABNT NBR ISO/IEC 27001:2013 e a ABNT NBR</p><p>ISO/IEC 27002: 2013, que fazem parte da família ABNT NBR ISO/IEC 27000:2018.</p><p>2 ABNT NBR ISO/IEC 27001:2013</p><p>A ABNT NBR ISO/IEC 27001 específica formalmente um Sistema de Gerenciamento</p><p>de Segurança da Informação (SGSI), contendo um conjunto de atividades relacionadas</p><p>ao gerenciamento de riscos de informações, chamado dentro da norma de riscos à</p><p>segurança da informação. O SGSI é uma estrutura de gerenciamento abrangente, por</p><p>meio da qual a organização identifica, analisa e aborda seus riscos de informações.</p><p>O SGSI garante que os arranjos de segurança sejam ajustados para acompanhar as</p><p>mudanças nas ameaças à segurança, vulnerabilidades e impactos nos negócios (ISO/</p><p>IEC 27000, 2018).</p><p>129</p><p>Desta forma, a norma foi elaborada com o objetivo de especificar “[...] os</p><p>requisitos para estabelecer, implementar, manter e melhorar continuamente um</p><p>sistema de gestão da segurança da informação dentro do contexto da organização”</p><p>(ABNT NBR ISO/IEC 27001, 2013, p. 1). Cabe destacar ainda, que a “[...] Norma também</p><p>inclui requisitos para a avaliação e tratamento de riscos de segurança da informação</p><p>voltados para as necessidades da organização” (ABNT NBR ISO/IEC 27001, 2013, p. 1).</p><p>A norma ISO 27001 faz referência ao modelo conhecido como Plan-Do-Check-</p><p>Act (PDCA), apesar de não obrigar. O modelo PDCA é aplicado para estruturar todos os</p><p>processos do SGSI. A Figura 14 traz este modelo, que é composto por um conjunto de</p><p>ações de forma sequencial e é estabelecido pelas letras pertencentes a sigla: “P (Plan:</p><p>planejar), D (Do: fazer, executar), C (Check: verificar, controlar) e finalmente o A (Act: agir,</p><p>atuar corretivamente)” (COELHO; ARAÚJO; BEZERRA, 2014, p. 54).</p><p>FIGURA 14 - MODELO PDCA</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 54)</p><p>Para Coelho, Araújo e Bezerra (2014, p. 54) “É esperado que a implementação</p><p>de um SGSI seja escalada conforme as necessidades da organização; por exemplo, uma</p><p>situação simples requer uma solução de um SGSI simples”, devido seu processo ser</p><p>estruturado para tratar a segurança da informação nos diversos setores.</p><p>Portanto, esta norma abrange todos os tipos de organizações. Por exemplo,</p><p>empresas comerciais, agências governamentais, organizações sem fins lucrativos.</p><p>Cabe destacar ainda, que a ABNT NBR ISO/IEC 27001 não exige formalmente</p><p>controles específicos de segurança da informação, uma vez que os controles necessários</p><p>variam de acordo com o tipo da organização. As organizações que adotam a ABNT</p><p>130</p><p>NBR ISO/IEC 27001 são livres para escolher os controles específicos de segurança da</p><p>informação aplicáveis a seus riscos específicos, baseando-se nos controles existentes.</p><p>Esses controles podem ser complementados com outras opções, conhecidas</p><p>como conjuntos de controle estendidos. Nesta norma, assim como na norma ABNT NBR</p><p>ISO/IEC 27002, a chave para selecionar os controles aplicáveis é realizar uma avaliação</p><p>abrangente dos riscos de informações da organização, que é uma parte vital do SGSI</p><p>(ISO/IEC 27000, 2018).</p><p>Agora, tire uns minutos para ver o UNI-DICA e o UNI-IMPORTANTE que</p><p>preparamos especialmente para você!</p><p>“Os controles da norma são apresentados como boas práticas para que</p><p>a organização adote uma postura preventiva e proativa diante das suas</p><p>necessidades e requisitos de segurança da informação” (COELHO; ARAÚJO;</p><p>BEZERRA, 2014, p. 20).</p><p>A ABNT NBR ISO/IEC 27001 tem na sua estrutura as seções de 0 a 10, o anexo</p><p>A — que lista 114 controles — e a bibliografia. Não podemos listar todos eles</p><p>porque estaríamos violando os direitos de propriedade intelectual, mas deixe-</p><p>nos somente colocar como brevemente os controles estão estruturados</p><p>dentro da norma e para que servem as 14 seções do Anexo A.</p><p>IMPORTANTE</p><p>ATENÇÃO</p><p>2.1 ESTRUTURA DA ABNT NBR ISO/IEC 27001:2013</p><p>A ABNT NBR ISO/IEC 27001 tem na sua estrutura as seções de 0 a 10, o anexo A e</p><p>as bibliografias (Figura 15). Na seção 0 Introdução é descrito um processo para gerenciar</p><p>sistematicamente os riscos à informação; no 1 Escopo é especificado os requisitos</p><p>genéricos do SGSI adequados para organizações de qualquer tipo, tamanho ou natureza;</p><p>em 2 Referências normativas, apenas a ABNT NBR ISO/IEC 27000 é considerada</p><p>essencial para os usuários da 27001, sendo as demais normas ISO27k opcionais; e na</p><p>Seção 3 Termos e definições são colocadas as definições que devem ser utilizadas; e da</p><p>quarta cláusula em diante se busca de maneira objetiva e de forma genérica apresentar</p><p>os requisitos que são aplicáveis a todas as organizações, independentemente do tipo,</p><p>tamanho ou natureza da organização (SEC AWARE, 2020a).</p><p>131</p><p>FIGURA 15 - ESTRUTURA DA NORMA</p><p>FONTE: A Autora</p><p>Agora vamos ver as seções referente à gestão de um Sistema de Gestão da</p><p>Segurança da Informação (SGSI).</p><p>Seção 4 – Contexto da organização</p><p>A Seção 4 se refere a compreender o contexto organizacional, as necessidades</p><p>e expectativas das partes interessadas, que definem o escopo do SGSI; trazendo na</p><p>sua seção 4.4 que a organização deve estabelecer, implementar, manter e ter melhoria</p><p>contínua no SGSI (SEC AWARE, 2020a), conforme as etapas apresentadas na Figura 16.</p><p>Aqui é abordada “[...] a necessidade de entender todo o contexto da organização, ou seja,</p><p>interpretar ou analisar toda a organização para determinar as questões internas e externas</p><p>que possam afetar a capacidade do sistema de gestão da segurança da informação”</p><p>(COELHO; ARAÚJO; BEZERRA, 2014, p. 56).</p><p>132</p><p>FIGURA 16 - ETAPAS DA SEÇÃO CONTEXTO DA ORGANIZAÇÃO</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 56)</p><p>Ao se iniciar um projeto do SGSI, geralmente, é preciso a aprovação pela direção</p><p>da organização. Desta forma, segundo Coelho, Araújo e Bezerra (2014, p. 56), “[...] é</p><p>importante que a primeira atividade a ser desempenhada seja coletar informações</p><p>relevantes que demonstrem o valor de um SGSI para a organização, esclarecendo por</p><p>que é necessária a implantação de um SGSI”. Outra consideração mais, diz respeito à</p><p>organização determinar as partes interessadas importantes para SGSI e os requisitos</p><p>demandados de segurança de informação por estas partes interessadas.</p><p>Seção 5 – Liderança</p><p>A Seção 5 está relacionada à alta gerência demonstrar liderança e compromisso</p><p>com o SGSI, determinando políticas e atribuindo funções, responsabilidades e</p><p>autoridades responsáveis pela segurança da informação (SEC AWARE, 2020a). Para</p><p>isso, está seção possui as etapas apresentadas na Figura 17.</p><p>FIGURA 17 - ETAPAS DA SEÇÃO LIDERANÇA</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 57)</p><p>É necessário o envolvimento da alta direção da organização, por meio do seu</p><p>comprometimento e da sua liderança, que devem ser demonstrados durante todo</p><p>o processo do SGSI. Segundo Coelho, Araújo e Bezerra (2014, p. 57), “Essa liderança</p><p>inicia-se pelo estabelecimento da política de segurança e os objetivos de segurança</p><p>da informação compatíveis com a direção estratégica da organização. A política deve</p><p>ser formalizada e comunicada, e ainda ser apropriada ao propósito</p><p>da organização [...]”.</p><p>133</p><p>Seção 6 – Planejamento</p><p>A Seção 6 descreve o processo de identificação, análise e planejamento de como os</p><p>riscos às informações devem ser tratados e esclarece os objetivos de segurança das informa-</p><p>ções (SEC AWARE, 2020a). Para isso, está seção possui as etapas apresentadas na Figura 18.</p><p>FIGURA 18 - ETAPAS DA SEÇÃO PLANEJAMENTO</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 57)</p><p>A avaliação da segurança da informação é a atividade para identificar o</p><p>nível existente de segurança da informação (ou seja, os atuais proce-</p><p>dimentos organizacionais de tratamento da proteção da informação).</p><p>O objetivo fundamental da avaliação de segurança da informação é</p><p>fornecer informações de apoio necessárias para a descrição do siste-</p><p>ma de gestão sob a forma de políticas e diretrizes. O desempenho de</p><p>uma análise/avaliação de riscos de segurança dentro do contexto de</p><p>negócios apoiado pelo escopo do SGSI é essencial para a conformida-</p><p>de e a implementação bem-sucedida do SGSI, de acordo com a ABNT</p><p>NBR ISO/IEC 27001:2013 (COELHO; ARAÚJO; BEZERRA, 2014, p. 58).</p><p>Seção 7 – Apoio</p><p>A Seção 7 se refere à adequação dos recursos e às competências a serem</p><p>atribuídas, bem como a realização da conscientização, a documentação e o controle</p><p>(SEC AWARE, 2020a). Para isso, esta seção possui as etapas apresentadas na Figura</p><p>19. Ou seja, esta seção diz respeito a todos os recursos que são necessários para</p><p>estabelecer, implementar, manter e para melhoria contínua do SGSI.</p><p>FIGURA 19 - ETAPAS DA SEÇÃO APOIO</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 58)</p><p>134</p><p>A Etapa 7.3 Conscientização trata especificamente da conscientização</p><p>como seu próprio nome diz.</p><p>IMPORTANTE</p><p>Coelho, Araújo e Bezerra (2014) colocam que a definição das competências</p><p>necessárias das pessoas é uma característica relevante. Desta forma, apresentamos</p><p>uma lista exemplificada de papéis e responsabilidades pela segurança informação</p><p>(Quadro 9) e a lista completa consta no Anexo B (informativo) Papéis e responsabilidades</p><p>pela Segurança da Informação, da norma ABNT NBR ISO/IEC 27003:2011.</p><p>QUADRO 9 – LISTA RESUMIDA DE PAPÉIS E RESPONSABILIDADE</p><p>PAPEL BREVE DESCRIÇÃO DA RESPONSABILIDADE</p><p>Alta administração (exemplo: COO,</p><p>CEO, CSO e CFO)</p><p>É o responsável pela visão, decisões estratégicas</p><p>e pela coordenação de atividades para dirigir e</p><p>controlar a organização.</p><p>Gerentes de linha (isto é, o último</p><p>nível de comando na escala</p><p>hierárquica</p><p>Tem a responsabilidade final pelas funções</p><p>organizacionais.</p><p>Diretor-executivo de Segurança da</p><p>Informação</p><p>Tem a responsabilidade e a governança</p><p>globais em relação à segurança da informação,</p><p>garantindo o correto tratamento dos ativos de</p><p>informação.</p><p>Comitê de Segurança da</p><p>Informação (membro do comitê)</p><p>É responsável por tratar ativos de informação</p><p>e tem um papel de liderança no SGSI da</p><p>organização.</p><p>Equipe de Planejamento da</p><p>Segurança da Informação</p><p>(membro da equipe)</p><p>É responsável durante as operações,</p><p>enquanto o SGSI está sendo implantado. A</p><p>Equipe de Planejamento trabalha em diversos</p><p>departamentos e resolve conflitos até que a</p><p>implantação do SGSI seja concluída.</p><p>135</p><p>Parte interessada</p><p>No contexto das outras descrições de papéis</p><p>relativos à segurança da informação, a parte in-</p><p>teressada é aqui definida primariamente como</p><p>pessoas e/ou órgãos que estão fora das opera-</p><p>ções normais – como o conselho e os proprietá-</p><p>rios (tanto proprietários da organização, se esta</p><p>for parte de um grupo de empresas ou se for go-</p><p>vernamental, quanto proprietários diretos, como</p><p>acionistas de uma organização privada). Outros</p><p>exemplos de partes interessadas podem ser</p><p>companhias associadas, clientes, fornecedores</p><p>e demais organizações públicas, como agências</p><p>governamentais de regulação financeira ou bolsa</p><p>de valores, se a organização não estiver listada.</p><p>Administrador de sistema</p><p>O administrador de sistema é responsável por um</p><p>sistema de TI.</p><p>Gerente de TI</p><p>É o gerente de todos os recursos de TI. Por</p><p>exemplo, o Gerente do Departamento de TI.</p><p>Segurança Física</p><p>A pessoa responsável pela segurança física,</p><p>por exemplo, construções etc., normalmente</p><p>chamado de Gerente de instalações.</p><p>Gerência de Risco</p><p>As pessoas que são responsáveis pela estrutura</p><p>de gerenciamento de risco da organização,</p><p>incluindo avaliação de risco, tratamento de risco</p><p>e monitoramento de risco.</p><p>Consultor Jurídico</p><p>Muitos riscos de segurança da informação têm</p><p>aspectos legais, e o consultor jurídico é respon-</p><p>sável por levar esses riscos em consideração.</p><p>Recursos Humanos</p><p>São pessoas com responsabilidade global pelos</p><p>colaboradores.</p><p>Arquivo</p><p>Todo tipo de organização tem arquivos contendo</p><p>informações vitais e que precisam ser armaze-</p><p>nadas por longo tempo. As informações podem</p><p>estar localizadas em vários tipos de mídia, e con-</p><p>vém que uma pessoa específica seja responsável</p><p>pela segurança desse armazenamento.</p><p>136</p><p>Dados Pessoais</p><p>Se for exigência legal, pode haver uma pessoa</p><p>responsável por ser o contato com um conselho</p><p>de inspeção de dados ou organização oficial</p><p>similar que supervisione a integridade pessoal e</p><p>questões de privacidade.</p><p>Desenvolvedor de Sistema</p><p>Se uma organização desenvolve seus próprios</p><p>sistemas de informação, alguém tem a respon-</p><p>sabilidade por esse desenvolvimento.</p><p>Especialista/Expert</p><p>Convém que seja feita referência a especialistas e</p><p>experts, responsáveis por determinadas operações</p><p>em uma organização quanto ao interesse destes</p><p>nos assuntos pertinentes ao uso do SGSI nas suas</p><p>áreas específicas de atuação.</p><p>Consultor Externo</p><p>Consultores externos podem emitir opiniões com</p><p>base em seus pontos de vista macroscópicos</p><p>da organização e em suas experiências na</p><p>indústria. Contudo, pode ser que os consultores</p><p>não tenham conhecimento aprofundado da</p><p>organização e suas operações.</p><p>Empregado/Funcionário/</p><p>Colaborador/Usuário</p><p>Cada colaborador é igualmente responsável pela</p><p>manutenção da segurança da informação no seu</p><p>local de trabalho e em seu ambiente.</p><p>Auditor O auditor é responsável por avaliar o SGSI.</p><p>Instrutor</p><p>O instrutor ministra treinamentos e executa</p><p>programas de conscientização.</p><p>Responsável pela TI ou pelos</p><p>Sistemas de Informação (SI) locais</p><p>Em uma organização maior, há geralmente</p><p>alguém na organização local que é responsável</p><p>pelos assuntos de TI, e provavelmente também</p><p>pela segurança da informação.</p><p>Defensor (pessoa influente)</p><p>Esse não é, em si, um papel de responsabilida-</p><p>de propriamente dito, mas, em uma organização</p><p>maior, pode ser muito útil durante o estágio de</p><p>implementação contar com pessoas que tenham</p><p>conhecimento aprofundado sobre a implementa-</p><p>ção do SGSI e que possam apoiar o entendimento</p><p>sobre a implementação e as razões que estiverem</p><p>por trás dela. Essas pessoas podem influenciar</p><p>positivamente a opinião das outras e podem tam-</p><p>bém ser chamadas de “Embaixadoras”.</p><p>FONTE: Adaptado de Coelho, Araújo e Bezerra (2014, p. 59-60)</p><p>137</p><p>A comunicação e as atividades de conscientização são etapas importantes para</p><p>o sucesso de um SGSI.</p><p>A organização deve implementar um programa de conscientização, treinamento</p><p>e educação em segurança da informação para que toda a organização entenda seus</p><p>papéis e suas competências para executarem as operações necessárias ao SGSI.</p><p>A documentação dentro de um SGSI é um importante fator de sucesso,</p><p>pois demonstrará a relação dos controles implementados com os</p><p>resultados esperados. A documentação muitas vezes será a evidência</p><p>necessária para averiguar que um SGSI está implementado de forma</p><p>correta e eficiente, permitindo que as ações possam ser rastreáveis e</p><p>passíveis de reprodução (COOELHO; ARAÚJO, BEZERRA, 2014, p. 63).</p><p>Seção 8 – Operação</p><p>A Seção 8 traz de forma um pouco mais detalhadamente sobre como avaliar e tratar</p><p>riscos de informações, gerenciar mudanças e realizar a documentação (SEC AWARE, 2020a).</p><p>Para isso, está seção possui as etapas apresentadas na FIGURA 20.</p><p>FIGURA 20 - ETAPAS DA SEÇÃO OPERAÇÃO</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 62)</p><p>Seção 9 – Avaliação do desempenho</p><p>A Seção 9 se refere a monitorar,</p><p>medir, analisar e avaliar/auditar/analisar os</p><p>controles, processos do SGSI, melhorando sistematicamente as coisas sempre que</p><p>necessário (SEC AWARE, 2020a). Para isso, está seção possui as etapas apresentadas</p><p>na Figura 21.</p><p>138</p><p>FIGURA 21 - ETAPAS DA SEÇÃO AVALIAÇÃO DO DESEMPENHO</p><p>FIGURA 22 – FLUXO DO PROCESSO DE MONITORAMENTO</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 62)</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 62)</p><p>A norma ainda destaca a importância do monitoramento para verificar a eficácia</p><p>do SGSI, por meio da determinação tanto do que deve ser monitorado como do medido. A</p><p>Figura 22 traz o Fluxo do processo de Monitoramento segundo a norma ABNT NBR ISO/</p><p>IEC 27003 – Diretrizes para implantação de um SGSI (COELHO; ARAÚJO; BEZERRA, 2014).</p><p>Seção 10 – Melhoria</p><p>A Seção 10 aborda as conclusões de auditorias e revisões, por exemplo, não</p><p>conformidades e ações corretivas, tratando de fazer aprimoramentos contínuos no SGSI</p><p>(SEC AWARE, 2020a). Para isso, está seção possui as etapas apresentadas na Figura 23.</p><p>139</p><p>FIGURA 23 - ETAPAS DA SEÇÃO MELHORIA</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 63)</p><p>Anexo A</p><p>O Anexo A traz os objetivos e controles de referência, apresentando uma lista</p><p>de títulos das seções de controle na ABNT NBR ISO/IEC 27002 e o detalhamento dos</p><p>controles, incluindo as orientações de como realizar a implementação fazem parte da</p><p>ABNT NBR ISO/IEC 27002 para obter mais detalhes úteis sobre os controles, incluindo</p><p>orientações de implementação. Segundo Coelho, Araújo e Bezerra (2014, p. 63):</p><p>O Anexo A da norma ABNT NBR ISO/IEC 27001:2013 lista os</p><p>controles que, de acordo com a norma, devem ser implementados</p><p>na implementação de um SGSI. Os controles são semelhantes aos</p><p>existentes na ABNT NBR ISO/IEC 27002:2013, com a diferença de</p><p>que contém o verbo “dever”, que apresenta circunstâncias que são</p><p>externas ao participante envolvido numa situação de segurança, mas</p><p>que a tornam necessária, com um sentido de “dever”, “ter de”. Assim,</p><p>os controlem “devem” ser implementados para que seja possível que</p><p>se tenha um SGSI.</p><p>Bibliografia</p><p>A bibliografia aponta os cinco padrões relacionados, mais a parte 1 das diretivas da</p><p>ISO/IEC. Além disso, a família ABNT NBR ISO/IEC 27000 é identificada no corpo da norma</p><p>como uma norma normativa e existem referências à ISO 31000 na gestão de riscos.</p><p>2.2 VISÃO GERAL DO ANEXO A DA ABNT NBR ISO/IEC</p><p>27001:2013</p><p>O Anexo A da ABNT NBR ISO/IEC 27001:2013 apresenta uma visão geral de quais</p><p>controles podemos aplicar, de maneira a não esquecermos algum controle que poderia</p><p>passar desapercebido. É importante que você também tenha em mente a flexibilidade</p><p>existente, fazendo com que você escolha somente aqueles controles que identificar</p><p>como aplicáveis a sua organização, de maneira a não desperdiçar recursos em controles</p><p>que não sejam importantes para você (KOSUTIC, 2020, p. 1).</p><p>De acordo com Kosutic (2020, p. 1), “A melhor forma de entender o Anexo A é</p><p>pensar nele como um catálogo de controles de segurança que você pode selecionar</p><p>– dos 114 controles que estão listados no Anexo A, você pode escolher aqueles que</p><p>140</p><p>são aplicáveis a sua organização”. Esses 114 controles estão dispostos em quatorze</p><p>seções do Anexo A da ABNT NBR ISO/IEC 27001:2013. O Quadro 10 traz as 14 seções e o</p><p>propósito correspondente a cada uma delas.</p><p>QUADRO 10 – 14 SEÇÕES DO ANEXO A DA ABNT NBR ISO/IEC 27001:2013</p><p>SEÇÃO PROPÓSITO</p><p>A.5 Políticas de segurança da</p><p>informação</p><p>Controles referente como as políticas são escritas</p><p>e revisadas.</p><p>A.6 Organização da segurança</p><p>da informação</p><p>Controles referentes como as responsabilidades</p><p>são designadas; bem como inclui os controles para</p><p>dispositivos móveis e realização de trabalho remoto.</p><p>A.7 Segurança em recursos</p><p>humanos</p><p>Controles para antes de se realizar uma contratação,</p><p>durante e após a contratação.</p><p>A.8 Gestão de ativos</p><p>Controles referente ao inventário de ativos e</p><p>utilização aceitável, bem como para a classificação</p><p>de informação e manuseio de mídias.</p><p>A.9 Controle de acesso</p><p>Controles para criar a política de controle de acesso,</p><p>gestão de acesso de usuários, controle de acesso a</p><p>sistemas e aplicações, e as responsabilidades dos</p><p>usuários.</p><p>A.10 Criptografia</p><p>Controles referentes a gestão de chaves</p><p>criptográficas.</p><p>A.11 Segurança física e do</p><p>ambiente</p><p>Controles para definição de áreas seguras, controles</p><p>de entrada, proteção contra ameaças, segurança de</p><p>equipamentos, descarte seguro, política de mesa</p><p>limpa e tela limpa e afins.</p><p>A.12 Segurança nas operações</p><p>Controles diversos referentes a gestão da</p><p>produção de Tecnologia de Informação (TI): gestão</p><p>de mudança, gestão de capacidade, software</p><p>malicioso, cópia de segurança, registro de eventos,</p><p>monitoramento, instalação, vulnerabilidades e afins.</p><p>A.13 Segurança nas</p><p>comunicações</p><p>Controles referentes a segurança em rede,</p><p>segregação, serviços de rede, transferência de</p><p>informação, mensageria e afins.</p><p>A.14 Aquisição, desenvolvimento</p><p>e manutenção de sistemas</p><p>Controles definindo requisitos de segurança e segu-</p><p>rança em processos de desenvolvimento e suporte.</p><p>A.15 Relacionamento na cadeia</p><p>de suprimento</p><p>Controles relacionados o que incluir em acordos e</p><p>como realizar a monitoração dos fornecedores.</p><p>141</p><p>FONTE: Adaptado de Kosutic (2020)</p><p>A.16 Gestão de incidentes de</p><p>segurança da informação</p><p>Controles para relatar os eventos e as fraquezas,</p><p>definindo responsabilidades, procedimentos de</p><p>resposta e coleta de evidências.</p><p>A.17 Aspectos da segurança</p><p>da informação na gestão da</p><p>continuidade do negócio</p><p>Controles requisitando o planejamento da continui-</p><p>dade do negócio, procedimentos, verificação e revi-</p><p>são e as redundâncias da TI.</p><p>A.18 Conformidade</p><p>Controles requisitando a identificação de leis</p><p>e regulamentações aplicáveis, proteção da</p><p>propriedade intelectual, proteção de dados pessoais</p><p>e revisões da segurança da informação.</p><p>Agora, acadêmico, tire uns minutos para ver o UNI IMPORTANTE que preparamos</p><p>para você!</p><p>Como falamos anteriormente, que nem todos estes 114 controles são</p><p>de fato obrigatórios. A organização que vai determinar quais controles ela</p><p>identifica como sendo aplicáveis em seu plano e então deve implementá-los.</p><p>De acordo com Kosutic (2020), o principal critério utilizado para selecionar</p><p>os controles deve ser referente ao uso do levantamento de riscos, o qual</p><p>é definido nas seções de 6 e 8 da parte principal da ABNT NBR ISO/IEC</p><p>27001:2013.</p><p>Cabe destacar ainda, que a Seção 5 da parte principal da ABNT NBR ISO/IEC</p><p>27001:2013 coloca a definição das responsabilidades para a gestão referente</p><p>aos controles, e a Seção 9 está relacionado a medir se os controles estão</p><p>cumprindo o seu propósito. Por fim, a Seção 10 requer que você repare</p><p>qualquer coisa que esteja errada com estes controles, assegurando que você</p><p>consiga atingir os objetivos de segurança da informação com estes controles.</p><p>IMPORTANTE</p><p>3 ABNT NBR ISO/IEC 27002:2013</p><p>A ABNT NBR ISO/IEC 27002:2013 fornece uma lista de objetivos de controles</p><p>comumente aceitos e de melhores práticas como forma de orientar a implementação</p><p>de controles na obtenção da segurança da informação (ISO/IEC 27000, 2018). Cabe</p><p>destacar, que a norma ABNT NBR ISO/IEC 27002:2013 “[...] foi preparada para servir</p><p>como um guia prático para o desenvolvimento e a implementação de procedimentos</p><p>e controles de segurança da informação em uma organização” (COELHO; ARAÚJO;</p><p>BEZERRA, 2014, p. 19).</p><p>142</p><p>Acadêmico, visando a sua atualização constante, preparamos o UNI-DICA</p><p>referente aos avanços tecnológicos que afetam diretamente a forma de conscientização.</p><p>Verifique!</p><p>Atualmente, o padrão está sendo revisado para contemplar coisas como</p><p>Bring Your Own Device (BYOD), trazer seu próprio dispositivo, computação em</p><p>nuvem, virtualização, redes sociais, pocket Information and Communication</p><p>Technology (ICT) e Internet of Things (IoT). O padrão será renomeado como</p><p>"Controles de segurança da informação" e terá a estrutura apresentada</p><p>na Figura 24 e terceira edição deve ser publicada no final do ano de 2021</p><p>(SEC AWARE, 2020b).</p><p>ATENÇÃO</p><p>FIGURA 24 - ESTRUTURA DO NOVO PADRÃO</p><p>FONTE: SEC AWARE (2020b, p. 1)</p><p>3.1 ESTRUTURA DA ABNT NBR ISO/IEC 27002:20131</p><p>A norma ABNT NBR ISO/IEC 27002:2013 é estruturada de maneira que forneça</p><p>um código de boas práticas para que se possa gerir a segurança. Segundo Coelho, Araújo</p><p>e Bezerra (2014, p. 19), “[...] a norma é organizada em capítulos de 0 a 18. Os capítulos</p><p>de 0 a 4 apresentam os temas de introdução (0), Escopo (1), Referência normativa (2),</p><p>Termos e definições (3) e Estrutura desta norma (4). A partir do Capítulo 5, a norma</p><p>passa a chamar cada capítulo de seção”.</p><p>143</p><p>FIGURA 25 – SEQUÊNCIA ESTRUTURAL DA NORMA</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 20)</p><p>A Figura 25, acadêmico, traz a sequência estrutural da norma, trazendo as “[...]</p><p>catorze seções específicas apresentando os códigos de práticas da gestão da segurança.</p><p>Cada seção define um ou mais objetivos de controle. As catorze seções formam o total</p><p>de 35 objetivos de controle. A Seção 4 da norma apresenta sua estrutura” (COELHO;</p><p>ARAÚJO; BEZERRA, 2014, p. 19).</p><p>De forma específica, as seções 5 a 18 fornecem conselhos e orientações de</p><p>implementação específicos sobre as melhores práticas de suporte aos controles</p><p>especificados na ABNT NBR ISO/IEC 27001: 2013, A.5 a A.18.</p><p>Seção 5 – Políticas de segurança da informação</p><p>Esta seção da norma trata da política de segurança da informação e seus</p><p>requisitos. O objetivo da categoria de controle é prover orientação e apoio da direção</p><p>para a segurança da informação, por meio do estabelecimento de uma política objetiva e</p><p>clara, de acordo com os objetivos de negócio da organização. Nesta seção é apresentado</p><p>como deve ser desenvolvido, mantido e atualizado o documento referente a política</p><p>de segurança da informação da organização (COELHO; ARAÚJO; BEZERRA, 2014). Para</p><p>isso, a seção da política de segurança da informação possui uma categoria principal,</p><p>conforme Figura 26 e esta categoria por sua vez, traz dois controles.</p><p>144</p><p>FIGURA 26 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 21)</p><p>O controle 5.1.1 traz nas “Diretrizes para implementação”, o que convém que o</p><p>documento da política contenha e a importância de que ela seja comunicada a todos. Além</p><p>disso, coloca exemplos de políticas específicas para apoiarem as políticas de segurança da</p><p>informação. Já O controle 5.1.2 apresenta como convém que seja realizada a análise crítica</p><p>pela direção da organização a intervalos planejados ou quando mudanças importantes</p><p>ocorrerem (COELHO; ARAÚJO; BEZERRA, 2014).</p><p>Seção 6 – Organização da segurança da informação</p><p>Esta seção da norma objetiva trazer os controles referentes à organização ter a</p><p>estrutura necessária para realizar o gerenciamento da segurança da informação tanto de</p><p>dentro da organização assim como os controles para manter a segurança dos recursos de</p><p>processamento da informação, quando forem disponibilizados por meio de trabalho remoto</p><p>ou de dispositivos móveis (COELHO; ARAÚJO; BEZERRA, 2014).</p><p>Portanto, a seção da organização da segurança da informação traz os controles</p><p>referentes à estrutura funcional em duas categorias principais, conforme apresentadas</p><p>na Figura 27, que possui cinco controles na categoria 6.1 e dois controles na categoria</p><p>6.2. Além disso, a referida figura traz o objetivo de cada categoria e os seus respectivos</p><p>controles.</p><p>145</p><p>FIGURA 27 - CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO ORGANIZAÇÃO DA SEGURANÇA DA</p><p>INFORMAÇÃO</p><p>FONTE: Adaptado de Coelho, Araújo e Bezerra (2014, p. 22)</p><p>Seção 7 – Segurança em recursos humanos</p><p>Esta seção da norma trata dos controles referente a segurança da informação</p><p>no decorrer do ciclo de vida que o profissional na organização irá prestar um serviço</p><p>(COELHO; ARAÚJO; BEZERRA, 2014). Para isso, a seção em recursos humanos possui três</p><p>categorias, conforme Figura 28, que se referem à fase antes de realizar a contratação,</p><p>durante essa contração e no encerramento e mudança da contratação. A referida figura</p><p>ainda traz os objetivos de cada categoria e os seus respectivos controles.</p><p>146</p><p>FIGURA 28 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA EM RECURSOS HUMANOS</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 24)</p><p>Os controles em cada categoria são organizados dentro das necessidades</p><p>mínimas de segurança a serem observadas em cada uma delas. Desta forma, a categoria</p><p>7.1 traz o processo de seleção e as condições dos contratos de recursos humanos;</p><p>a categoria 7.2 apresenta os controles de responsabilidades, de capacitação dos</p><p>recursos humanos em segurança da informação e do processo disciplinar, caso ocorra</p><p>uma violação da segurança da informação; e por fim, a categoria 7.3 traz os controles</p><p>referentes à mudança de área, de cargo, promoção, entre outras, destacando-se os</p><p>controles de devolução de ativos e retirada de direitos de acesso (COELHO; ARAÚJO;</p><p>BEZERRA, 2014).</p><p>Veja o UNI IMPORTANTE que preparamos para você!</p><p>O controle 7.2.2 trata especificamente da conscientização, educação e</p><p>treinamento em segurança da informação.</p><p>IMPORTANTE</p><p>147</p><p>FIGURA 29 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO GESTÃO DE ATIVOS</p><p>Seção 8 – Gestão de Ativos</p><p>Esta seção da norma trata dos controles de segurança de informação nas</p><p>categorias 8.1 e 8.2 e traz os controles referentes a proteção dos ativos da organização</p><p>na categoria 8.3. A Figura 29 traz cada uma dessas categorias, o objetivo e os controles</p><p>de cada categoria.</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 26)</p><p>Seção 9 – Controle de acesso</p><p>Esta seção da norma trata dos controles de acesso lógico, que são tratados</p><p>aspectos referentes a privilégios de acesso, acesso à rede, senhas e afins. A Figura 29</p><p>traz as quatro categorias desta seção, o objetivo e os controles de cada categoria.</p><p>148</p><p>FIGURA 30 - CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO CONTROLE DE ACESSO</p><p>FONTE: Adaptado de Coelho, Araújo e Bezerra (2014, p. 28-29)</p><p>Seção 10 – Criptografia</p><p>Esta seção da norma tem como objetivo assegurar tanto o uso efetivo da</p><p>criptografia quanto ela ser adequada. Para isso, a seção criptografia possui uma categoria</p><p>principal, contendo os dois controles apresentados na FIGURA 31, assim como objetivo</p><p>da categoria ali colocado.</p><p>149</p><p>FIGURA 31 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO CRIPTOGRAFIA</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 30)</p><p>FIGURA 32 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA FÍSICA E DO AMBIENTE</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 32)</p><p>Seção 11 – Segurança física e de ambiente</p><p>Esta seção da norma trata da segurança física e de ambiente. Para isso, a seção</p><p>foi estruturada em duas categorias: uma, referente às áreas seguras e outra, referente</p><p>aos equipamentos. A Figura 32 traz o objetivo de cada uma dessas categorias, bem</p><p>como expõe os respectivos controles.</p><p>150</p><p>Seção 12 – Segurança nas operações</p><p>Esta seção da norma trata das operações dos serviços tecnológicos da</p><p>organização. Para isso, a seção possui sete categorias, que apresentam controles que</p><p>convêm serem aplicados no dia a dia das operações e comunicações da organização.</p><p>Cada umas dessas categorias, seus objetivos e os controles correspondentes estão</p><p>contidos na Figura 33. De acordo com Coelho, Araújo e Bezerra (2014, p. 33), “É a seção</p><p>que apresenta os controles de segurança que atendem à maioria das vulnerabilidades</p><p>relativas a aspectos operacionais do cotidiano da área de TIC”.</p><p>FIGURA 33 - CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA NAS OPERAÇÕES</p><p>FONTE: Adaptado de Coelho, Araújo e Bezerra (2014, p. 34-36)</p><p>151</p><p>FIGURA 34 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA NAS COMUNICAÇÕES</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 38)</p><p>Veja agora, o UNI IMPORTANTE que preparamos para você!</p><p>O controle 12.2.1 - controles contra malware se refere aos controles de</p><p>detecção e prevenção para que a organização se proteja de malware</p><p>aliado ao programa de conscientização do usuário que a organização deve</p><p>realizar.</p><p>IMPORTANTE</p><p>Seção 13 –</p><p>trazem os três pilares ou</p><p>três princípios básicos da segurança da informação, que são a Confidencialidade, a</p><p>Integridade e a Disponibilidade (CID).</p><p>De acordo com Machado Júnior (2018, p. 56), “Este conjunto é conhecido como</p><p>o tripé da segurança da informação, internacionalmente denominado “CIA-triad”, em</p><p>referência aos termos Confidentiality, Integrity e Avalability.</p><p>Ao longo dos anos, a CIA-triad foi consolidada e evolui, servindo como pilares de</p><p>sustentação”. Machado Júnior (2018) demonstra visualmente essa evolução da tríade</p><p>CID por meio da Figura 1.</p><p>5</p><p>FONTE: Machado Júnior (2018, p. 61)</p><p>FIGURA 1 - EVOLUÇÃO DAS CARACTERÍSTICAS DE SEGURANÇA DA TRÍADE CID</p><p>6</p><p>• Confidencialidade se refere a certificar que somente os usuários autoriza-</p><p>dos tenham acesso à informação, dizendo respeito à ameaça de liberar infor-</p><p>mação não autorizada. De acordo com Machado Júnior (2018, p. 60),</p><p>“Esse requisito busca garantir o acesso somente com autorização, ou seja,</p><p>para que uma informação seja considerada segura é essencial que haja uma</p><p>forma de garantir esta seja disponibilizada somente mediante autorização”.</p><p>• Integridade se refere à informação não ser adulterada. Portanto, a informação</p><p>precisa ser mantida no estado em que ela foi disponibilizada pelo dono da</p><p>informação (o proprietário), objetivando proteger a informação de qualquer</p><p>tipo de alteração (acidental, intencional ou indevida). “Este requisito busca</p><p>garantir que a informação não sofra alterações indevidas” (MACHADO</p><p>JÚNIOR, 2018, p. 62).</p><p>• Disponibilidade se refere à informação estar disponível, independente do</p><p>seu desígnio. Portanto, é necessário certificar de que a informação e os seus</p><p>ativos se encontrem acessíveis para os usuários autorizados (legítimos) de</p><p>maneira devida (MACHADO JÚNIOR, 2018).</p><p>NOTA</p><p>A confidencialidade necessita que exista algum tipo de barreira para impedir o</p><p>acesso direto. Ambientes que são controlados e acessíveis somente por algum tipo de</p><p>chave de acesso como conta de e-mail, uma área específica de uma organização, um</p><p>servidor de banco de dados, um cofre e afins são exemplos de confidencialidade. Esse</p><p>mecanismo de barreira, segundo Machado Júnior (2018), pode ser aprimorado por meio</p><p>de recursos de criptografia.</p><p>O pilar da integridade é referente à ameaça da informação ser modificada sem</p><p>autorização. Para Machado Júnior (2018, p. 62), “A quebra da integridade é fator crítico</p><p>e pode ter consequências catastróficas. São exemplos de uso da integridade qualquer</p><p>ambiente controlado em que o sucesso das operações depende da qualidade íntegra dos</p><p>dados fornecidos”. Por fim, o pilar da disponibilidade diz respeito à ameaça de negação</p><p>não autorizada de utilização. Esse pilar tem como objetivo “[...] garantir a propriedade da</p><p>informação estar disponível quando solicitada” (MACHADO JÚNIOR, 2018, p. 62).</p><p>Machado Júnior (2018) ainda coloca que o pilar da disponibilidade seria a</p><p>maneira mais eficiente de um ataque ser iniciado. Devido que ao se quebrar o pilar da</p><p>disponibilidade, possivelmente, na sequência se comprometeria a integridade por meio</p><p>de substituição ou de alteração de dados e por último a confidencialidade também seria</p><p>comprometida. Desta forma, ter um plano de segurança no qual todos os colaboradores</p><p>estejam cientes da sua importância é fundamental para os três pilares.</p><p>Ao longo dos anos, outros modelos sugiram baseados na tríade CID e outras</p><p>propriedades de segurança da informação foram acrescentadas a esses três princípios</p><p>básicos da segurança da informação. Alguns deles estão contidos no Quadro 1. Além deles,</p><p>também iremos ver na Unidade 2, de estudo, os requisitos de controle pela versão ativa da</p><p>ABNT ISO/IEC 27002:2013, que define o objetivo da política da segurança da informação.</p><p>7</p><p>QUADRO 1 – PROPRIEDADES DA INFORMAÇÃO</p><p>FONTE: A autora</p><p>PROPRIEDADE DESCRIÇÃO</p><p>Autenticidade</p><p>A autenticidade visa garantir a verdadeira autoria, ou</p><p>seja, visa atestar que a informação é de fato oriunda de</p><p>determinada fonte, garantindo que a informação foi criada,</p><p>expedida, alterada, removida por determinado órgão,</p><p>sistemas ou entidade.</p><p>Irretratabilidade ou</p><p>não repúdio</p><p>A irretratabilidade visa garantir a autoria da informação for-</p><p>necida, para que uma pessoa ou entidade não negue algu-</p><p>ma atividade ou ação, como por exemplo: assinar ou mesmo</p><p>criar um documento ou arquivo. Segundo Machado Júnior</p><p>(2018, p. 70), o não repúdio é a “[...] capacidade do sistema</p><p>para provar legalmente uma ocorrência/não ocorrência de</p><p>um evento ou participação/não participação [...]” dele.</p><p>Responsabilidade</p><p>A responsabilidade visa garantir que a pessoa responda por</p><p>seus atos, incluso diante da lei, ou seja, esse princípio se</p><p>refere a ser responsável pelas ações realizada no manuseio</p><p>das informações.</p><p>Confiabilidade</p><p>A confiabilidade visa garantir que a informação é</p><p>proveniente de uma fonte autêntica, expressando uma</p><p>mensagem fidedigna, ou seja, que a informação é confiável.</p><p>De acordo com Machado Júnior (2018, p. 70), “O objetivo da</p><p>confiabilidade refere-se à necessidade de autorização para</p><p>que determinada informação ou dado seja disponibilizado</p><p>e a privacidade refere-se à possibilidade de controle das</p><p>informações ou dados por parte do próprio usuário”.</p><p>Auditabilidade</p><p>Segundo Machado Júnior (2018, p. 70), “[...] capacidade</p><p>de conduzir monitoramento persistente de todas ações</p><p>realizadas por seres humanos e máquinas no ambiente”.</p><p>Privacidade</p><p>Para Machado Júnior (2018, p. 70), “[...] um sistema deve</p><p>obedecer à legislação (em termos de privacidade) e deve</p><p>permitir aos indivíduos controlar, sempre que possível, as</p><p>suas informações pessoais”.</p><p>De acordo com Dantas (2011, p. 15):</p><p>A autenticidade e confiabilidade estão interligadas. A primeira diz</p><p>respeito à idoneidade da fonte, isto é, digna de fé e confiança, e a se-</p><p>gunda ao seu conteúdo. A avaliação da fonte para a sua autenticida-</p><p>de pode ser feita com relação à sua idoneidade, como, por exemplo:</p><p>completamente idônea, regularmente idônea, inidônea e cuja idonei-</p><p>Highlight</p><p>8</p><p>dade não se pode avaliar. E a avaliação da confiabilidade pode ser</p><p>feita com relação ao seu conteúdo, como, por exemplo: confirmação</p><p>por outras fontes, por ser verdadeira, duvidosa ou improvável.</p><p>Dessa forma, a autenticidade do emissor é a garantia de que quem se</p><p>apresenta como remetente é realmente quem diz ser. A confiabilidade</p><p>é a garantia de que a informação está completa e igual à sua forma</p><p>original quando do envio pelo remetente, e expressa uma verdade.</p><p>O não repúdio é a garantia de que o emissor ou receptor não tem</p><p>como alegar que a comunicação não ocorreu, e a responsabilidade</p><p>diz respeito aos deveres e proibições entre remetente e destinatário.</p><p>Portanto, para conseguirmos alcançar a segurança da informação é necessário</p><p>utilizar um conjunto de práticas e atividades, incluindo: a definição e elaboração de</p><p>processos, procedimentos, conscientização e treinamento de colaboradores, uso de</p><p>ferramentas de monitoramento e controle, Políticas de Segurança da Informação (PSI),</p><p>Plano de Conscientização em Segurança da Informação (PCSI) e afins (TORRES, 2015).</p><p>O que precisamos proteger? Devemos proteger tudo que tiver algum valor</p><p>para o negócio da organização, ou seja, os ativos da informação.</p><p>ATENÇÃO</p><p>2.1 ATIVOS DE INFORMAÇÃO</p><p>A informação é um próprio ativo, sendo encontrada nas documentações dos</p><p>sistemas, em manuais de utilização, nas bases de dados (relacionais e não relacionais),</p><p>contratos e acordos, planos de contingência, de continuidade e assim por diante. Torres</p><p>(2015) também coloca outros ativos, como: pessoas e suas qualificações/experiências;</p><p>os ativos de software, como o caso de ferramentas, sistemas, aplicativos etc.; ativos</p><p>físicos, como o caso de equipamentos de comunicação e computacionais, mídias</p><p>removíveis etc.; serviços de forma geral como refrigeração, eletricidade, iluminação etc.;</p><p>e os ativos intangíveis como a reputação da organização. Torres (2015, p. 12) coloca que:</p><p>Um dos fatores críticos de sucesso para a garantia</p><p>Segurança nas comunicações</p><p>Esta seção da norma trata dos controles que são necessários para existir</p><p>segurança nas comunicações, distribuídos em duas categorias Cada umas dessas</p><p>categorias, seus objetivos e os controles correspondentes das categoria estão contidos</p><p>na Figura 34.</p><p>Seção 14 – Aquisição, desenvolvimento e manutenção de sistemas</p><p>Esta seção da norma trata os controles referentes às atividades de aquisição,</p><p>desenvolvimento e manutenção de sistemas, tendo como objetivo desenvolver a</p><p>segurança da informação nos aplicativos existentes da organização. Desta forma, ela</p><p>possui seis categorias principais. Cada umas dessas categorias, seus objetivos e os</p><p>controles correspondentes da categoria estão contidos na Figura 35.</p><p>152</p><p>FIGURA 35 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO AQUISIÇÃO, DESENVOLVIMENTO E</p><p>MANUTENÇÃO DE SISTEMAS</p><p>FONTE: Adaptado de Coelho, Araújo e Bezerra (2014, p. 40-42)</p><p>Seção 15 – Relacionamento na cadeia de suprimento</p><p>Esta seção da norma se refere ao processo de segurança na relação com os</p><p>fornecedores. Desta forma, ela possui duas categorias principais. Cada umas dessas</p><p>categorias, seus objetivos e os controles correspondentes da categoria estão contidos</p><p>na Figura 36.</p><p>153</p><p>FIGURA 36 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO RELACIONAMENTO NA CADEIA DE</p><p>SUPRIMENTOS</p><p>FIGURA 37 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO GESTÃO DE INCIDENTES DE SEGURANÇA DA</p><p>INFORMAÇÃO</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 43)</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 44)</p><p>Seção 16 – Gestão de incidentes de segurança da informação</p><p>Esta seção da norma trata de como ocorre a notificação de eventos relacionados</p><p>à segurança, as responsabilidades e a coleta de evidências. Desta forma, ela possui</p><p>uma categoria principal e seis controles. A categoria, seu objetivo e os controles</p><p>correspondentes da categoria estão contidos na Figura 37.</p><p>154</p><p>Seção 17– Aspectos da segurança da informação na gestão da</p><p>continuidade do negócio</p><p>Esta seção da norma se refere às questões de continuidade do negócio se</p><p>ocorrer algum desastre. Desta forma, ela possui duas categorias principais. Cada umas</p><p>dessas categorias, seus objetivos e os controles correspondentes da categoria estão</p><p>contidos na Figura 38.</p><p>FIGURA 38 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO ASPECTOS DA SEGURANÇA DA</p><p>INFORMAÇÃO NA GESTÃO DA CONTINUIDADE DO NEGÓCIO</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 46)</p><p>Seção 18 – Conformidade</p><p>A Figura 39 traz a categoria, os objetivos e os controles da Seção 18 –</p><p>conformidade.</p><p>155</p><p>FIGURA 39 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO CONFORMIDADE</p><p>FONTE: Coelho, Araújo e Bezerra (2014, p. 47)</p><p>Esta é a última seção da norma e ela trata de estabelecer que os requisitos de</p><p>segurança da informação estejam em conformidade com qualquer tipo de legalidade</p><p>(legislação), como as de estatutos, regulamentações ou obrigações contratuais. Desta</p><p>forma, ela possui duas categorias principais. Por fim, trouxemos na Figura 39 cada umas</p><p>dessas categorias, seus objetivos e os controles correspondentes.</p><p>156</p><p>RESUMO DO TÓPICO 2</p><p>Neste tópico, você aprendeu:</p><p>• A International Organization for Standardization (ISO) é uma organização com sede</p><p>em Genebra, na Suíça, que foi fundada no ano de 1946.</p><p>• A ISO tem como objetivo desenvolver e promover normas que possam ser usadas da</p><p>mesma forma em todos os países do mundo.</p><p>• A Associação Brasileira de Normas Técnicas (ABNT) é uma entidade sem fins</p><p>lucrativos, que representa a ISO.</p><p>• As Normas Brasileiras (BNR) objetivam aumentar o processo produtivo das</p><p>organizações, bem como entregar o produto de maior qualidade e aumentar a</p><p>competitividade destes produtos.</p><p>• A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento</p><p>de Segurança da Informação (SGSI) e os termos e definições comumente utilizados</p><p>na família de padrões SGSI.</p><p>• A ABNT NBR ISO/IEC 27001:2013 e a ABNT NBR ISO/IEC 27002: 2013 fazem parte</p><p>da família ABNT NBR ISO/IEC 27000, que abrangem a gestão da segurança da</p><p>informação.</p><p>• A ABNT NBR ISO/IEC 27001 específica formalmente um Sistema de Gerenciamento de</p><p>Segurança da Informação (SGSI), contendo um conjunto de atividades relacionadas</p><p>ao gerenciamento de riscos de informações, chamado dentro da norma de riscos à</p><p>segurança da informação.</p><p>• O SGSI é uma estrutura de gerenciamento abrangente, por meio da qual a</p><p>organização identifica, analisa e aborda seus riscos de informações.</p><p>• O SGSI garante que os arranjos de segurança sejam ajustados para acompanhar as</p><p>mudanças nas ameaças à segurança, vulnerabilidades e impactos nos negócios.</p><p>• A “[...] Norma também inclui requisitos para a avaliação e tratamento de riscos de</p><p>segurança da informação voltados para as necessidades da organização” (ABNT</p><p>NBR ISO/IEC 27001, 2013, p. 1).</p><p>• A ABNT NBR ISO/IEC 27001 não exige formalmente controles específicos de</p><p>segurança da informação, uma vez que os controles necessários variam de acordo</p><p>com o tipo da organização.</p><p>157</p><p>• As organizações que adotam a ABNT NBR ISO/IEC 27001 são livres para escolher</p><p>os controles específicos de segurança da informação aplicáveis a seus riscos</p><p>específicos, baseando-se nos controles existentes.</p><p>• “Os controles da norma são apresentados como boas práticas para que a organização</p><p>adote uma postura preventiva e pró ativa diante das suas necessidades e requisitos</p><p>de segurança da informação” (COELHO; ARAÚJO; BEZERRA, 2014, p. 20).</p><p>• A ABNT NBR ISO/IEC 27001 tem na sua estrutura as seções de 0 a 10, o anexo A e</p><p>as bibliografias.</p><p>• Na Introdução (0) da ABNT NBR ISO/IEC 27001 é descrito um processo para gerenciar</p><p>sistematicamente os riscos à informação.</p><p>• No Escopo (1) da ABNT NBR ISO/IEC 27001 é especificado os requisitos genéricos do</p><p>SGSI adequados para organizações de qualquer tipo, tamanho ou natureza.</p><p>• Nas Referências normativas (2) da ABNT NBR ISO/IEC 27001, apenas a ABNT NBR</p><p>ISO/IEC 27000 é considerada essencial para os usuários da 27001, sendo as demais</p><p>normas ISO27k opcionais.</p><p>• Nos Termos e definições (3) da ABNT NBR ISO/IEC 27001 são colocadas as definições</p><p>que devem ser utilizadas.</p><p>• Da quarta cláusula em diante da ABNT NBR ISO/IEC 27001 se busca de maneira</p><p>objetiva e de forma genérica apresentar os requisitos que são aplicáveis a todas as</p><p>organizações, independentemente do tipo, tamanho ou natureza da organização.</p><p>• A Seção 4 da ABNT NBR ISO/IEC 27001 se refere a compreender o contexto</p><p>organizacional, as necessidades e expectativas das partes interessadas, que</p><p>definem o escopo do SGSI e a etapa 4.4 desta secção traz o que a organização deve</p><p>estabelecer, implementar, manter e ter melhoria contínua no SGSI.</p><p>• A Seção 5 da ABNT NBR ISO/IEC 27001 está relacionada a alta gerência demonstrar</p><p>liderança e compromisso com o SGSI, determinando políticas e atribuindo funções,</p><p>responsabilidades e autoridades responsáveis pela segurança da informação.</p><p>• A Seção 6 da ABNT NBR ISO/IEC 27001 descreve o processo de identificação, análise</p><p>e planejamento de como os riscos às informações devem ser tratados e esclarece</p><p>os objetivos de segurança das informações.</p><p>• A Seção 7 da ABNT NBR ISO/IEC 27001 se refere a adequação dos recursos e as</p><p>competências a serem atribuídas, bem como a realização da conscientização, a</p><p>documentação e o controle.</p><p>158</p><p>• A Etapa 7.3 Conscientização da seção 7 da ABNT NBR ISO/IEC 27001 trata</p><p>especificamente da conscientização como seu próprio nome diz.</p><p>• A Seção 8 da ABNT NBR ISO/IEC 27001 traz de forma um pouco mais detalhadamente</p><p>sobre como avaliar e tratar riscos de informações, gerenciar mudanças e realizar a</p><p>documentação.</p><p>• A Seção 9 da ABNT NBR ISO/IEC 27001 se refere a monitorar, medir, analisar e avaliar/</p><p>auditar/analisar os controles, processos do SGSI, melhorando sistematicamente as</p><p>coisas sempre que necessário.</p><p>• A Seção 10 da ABNT NBR ISO/IEC 27001 aborda as conclusões de auditorias e</p><p>revisões, como por exemplo, não-conformidades e ações corretivas, tratando de</p><p>fazer aprimoramentos contínuos no SGSI.</p><p>• O Anexo A</p><p>da ABNT NBR ISO/IEC 27001:2013 apresenta uma visão geral de quais</p><p>controles podemos aplicar, de maneira a não esquecermos algum controle que</p><p>poderia passar desapercebido.</p><p>• O Anexo A da ABNT NBR ISO/IEC 27001 traz os objetivos e controles de referência,</p><p>apresentando uma lista de títulos das seções de controle na ABNT NBR ISO/IEC</p><p>27002 e o detalhamento dos controles, incluindo as orientações de como realizar a</p><p>implementação fazem parte da ABNT NBR ISO/IEC 27002 para obter mais detalhes</p><p>úteis sobre os controles, incluindo orientações de implementação.</p><p>• A ABNT NBR ISO/IEC 27002:2013 fornece uma lista de objetivos de controles</p><p>comumente aceitos e de melhores práticas como forma de orientar a implementação</p><p>de controles na obtenção da segurança da informação</p><p>• A norma ABNT NBR ISO/IEC 27002:2013 é estruturada de maneira que forneça um</p><p>código de boas práticas para que se possa gerir a segurança.</p><p>• “[...] a norma é organizada em capítulos de 0 a 18. Os capítulos de 0 a 4 apresentam</p><p>os temas de introdução (0), Escopo (1), Referência normativa (2), Termos e definições</p><p>(3) e Estrutura desta norma (4). A partir do capítulo 5, a norma passa a chamar cada</p><p>capítulo de seção” (COELHO; ARAÚJO; BEZERRA, 2014, p. 19).</p><p>• As Seções 5 a 18 da ABNT NBR ISO/IEC 27002:2013 fornecem conselhos e</p><p>orientações de implementação específicos sobre as melhores práticas de suporte</p><p>aos controles especificados na ABNT NBR ISO/IEC 27001: 2013, A.5 a A.18.</p><p>• A Seção 5 da ABNT NBR ISO/IEC 27002:2013 trata da política de segurança da</p><p>informação e seus requisitos. O objetivo da categoria de controle é prover orientação</p><p>e apoio da direção para a segurança da informação, por meio do estabelecimento de</p><p>uma política objetiva e clara, de acordo com os objetivos de negócio da organização.</p><p>159</p><p>• A Seção 6 da ABNT NBR ISO/IEC 27002:2013 objetiva trazer os controles referentes</p><p>à organização ter a estrutura necessária para realizar o gerenciamento da segurança</p><p>da informação tanto de dentro da organização assim como os controles para</p><p>manter a segurança dos recursos de processamento da informação, quando forem</p><p>disponibilizados por meio de trabalho remoto ou de dispositivos móveis.</p><p>• A Seção 7 da ABNT NBR ISO/IEC 27002:2013 trata dos controles referentes à</p><p>segurança da informação no decorrer do ciclo de vida que o profissional na</p><p>organização irá prestar um serviço.</p><p>• A Seção 8 da ABNT NBR ISO/IEC 27002:2013 trata dos controles de segurança de</p><p>informação nas categorias 8.1 e 8.2 e traz os controles referentes a proteção dos</p><p>ativos da organização na categoria 8.3.</p><p>• A Seção 9 da ABNT NBR ISO/IEC 27002:2013 trata dos controles de acesso lógico, que</p><p>são tratados aspectos referentes a privilégios de acesso, acesso à rede, senhas e afins.</p><p>• A Seção 10 da ABNT NBR ISO/IEC 27002:2013 tem como objetivo assegurar tanto</p><p>o uso efetivo da criptografia quanto ela ser adequada e adequado da criptografia.</p><p>• A Seção 11 da ABNT NBR ISO/IEC 27002:2013 trata da segurança física e de</p><p>ambiente. Para isso, a seção foi estruturada em duas categorias, uma, referente às</p><p>áreas seguras e outra, referente aos equipamentos.</p><p>• A Seção 12 da ABNT NBR ISO/IEC 27002:2013 trata das operações dos serviços</p><p>tecnológicos da organização.</p><p>• A Seção 13 da ABNT NBR ISO/IEC 27002:2013 trata dos controles que são necessários</p><p>para existir segurança nas comunicações, distribuídos em duas categorias.</p><p>• A Seção 14 da ABNT NBR ISO/IEC 27002:2013 trata os controles referentes às</p><p>atividades de aquisição, desenvolvimento e manutenção de sistemas.</p><p>• A Seção 15 da ABNT NBR ISO/IEC 27002:2013 se refere ao processo de segurança</p><p>na relação com os fornecedores.</p><p>• A Seção 16 da ABNT NBR ISO/IEC 27002:2013 trata de como ocorre a notificação de</p><p>eventos relacionados à segurança, às responsabilidades e à coleta de evidências.</p><p>• A Seção 17 da ABNT NBR ISO/IEC 27002:2013 se refere às questões de continuidade</p><p>do negócio se ocorrer algum desastre.</p><p>• A Seção 18 da ABNT NBR ISO/IEC 27002:2013 trata de estabelecer que os requisitos de</p><p>segurança da informação estejam em conformidade com qualquer tipo de legalidade</p><p>(legislação), como as de estatutos, regulamentações ou obrigações contratuais.</p><p>160</p><p>AUTOATIVIDADE</p><p>1 A International Organization for Standardization (ISO) é uma organização com sede</p><p>em Genebra, na Suíça, que foi fundada no ano de 1946. A ISO tem como objetivo</p><p>desenvolver e promover normas que possam ser usadas da mesma forma em</p><p>todos os países do mundo. Já a Associação Brasileira de Normas Técnicas (ABNT)</p><p>é uma entidade sem fins lucrativos, que representa a ISO. Ela ajuda a promover o</p><p>desenvolvimento tecnológico do nosso país com a padronização de documentos</p><p>e de processos produtivos, por meio do estabelecimento das Normas Brasileiras</p><p>(NBR). Qual sigla tem em sua definição o objetivo de aumentar o processo produtivo</p><p>das organizações brasileiras, bem como entregar o produto de maior qualidade e</p><p>aumentar a competitividade destes produtos?</p><p>a) ( ) NBRs.</p><p>b) ( ) ISO.</p><p>c) ( ) ABNT.</p><p>d) ( ) NIST.</p><p>2 A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento</p><p>de Segurança da Informação (SGSI) e os termos e definições comumente utilizados</p><p>na família de padrões SGSI. A ABNT NBR ISO/IEC 27001:2013 e a ABNT NBR ISO/IEC</p><p>27002: 2013 fazem parte da família ABNT NBR ISO/IEC 27000, que abrangem a gestão</p><p>da segurança da informação. Referente à ABNT NBR ISO/IEC 27001:2013, analise as</p><p>sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas:</p><p>( ) A ABNT NBR ISO/IEC 27001 específica formalmente um Sistema de Gerenciamento</p><p>de Segurança da Informação (SGSI).</p><p>( ) A ABNT NBR ISO/IEC 27001 contém um conjunto de atividades relacionadas ao</p><p>gerenciamento de riscos de informações, chamado dentro da norma de riscos à</p><p>segurança da informação.</p><p>( ) A ABNT NBR ISO/IEC 27001 adota o modelo conhecido como Plan-Do-Check-Act</p><p>(PDCA).</p><p>( ) A ABNT NBR ISO/IEC 27001 é aplicada para estruturar todas as políticas da</p><p>organização.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V– V– F.</p><p>b) ( ) V – F – V – F.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) F – F – V – V.</p><p>161</p><p>3 A norma ISO 27001 adota o modelo conhecido como Plan-Do-Check-Act (PDCA). O</p><p>modelo PDCA é aplicado para estruturar todos os processos do SGSI. Este modelo</p><p>é composto por um conjunto de ações de forma sequencial e é estabelecido pelas</p><p>letras pertencentes a sigla. Referente ao modelo, analise as sentenças a seguir,</p><p>classificando com V as sentenças verdadeiras e com F as sentenças falsas:</p><p>( ) O P se refere ao Plan, de planejar.</p><p>( ) O D se refere ao Do, de verificar.</p><p>( ) O C se refere ao Check, de controlar.</p><p>( ) O A se refere ao Act, de agir, atuar corretivamente.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) V – V – F – F.</p><p>b) ( ) V – F – V – F.</p><p>c) ( ) V– F – V – V.</p><p>d) ( ) F – F – V – V.</p><p>4 A ABNT NBR ISO/IEC 27001 não exige formalmente controles específicos de segurança</p><p>da informação, uma vez que os controles necessários variam de acordo com o tipo da</p><p>organização. As organizações que adotam a ABNT NBR ISO/IEC 27001 são livres para</p><p>escolher os controles específicos de segurança da informação aplicáveis a seus riscos</p><p>específicos, baseando-se nos controles existentes. Referente a esses controles,</p><p>analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F</p><p>as sentenças falsas:</p><p>( ) Os controles da norma são apresentados como boas práticas para que a organização</p><p>adote uma postura preventiva diante das necessidades e requisitos de segurança</p><p>da informação.</p><p>( ) Os controles da norma são apresentados como boas práticas para que a organização</p><p>adote uma postura proativa diante das necessidades e requisitos de segurança da</p><p>informação.</p><p>( ) O controle P se refere ao planejamento.</p><p>( ) O controle D se refere ao fazer, executar.</p><p>Assinale a alternativa com a sequência CORRETA:</p><p>a) ( ) F – F – F – F.</p><p>b) ( ) V – V– V – V.</p><p>c) ( ) F – V – V – F.</p><p>d) ( ) V – V – F – F.</p><p>162</p><p>5 A ABNT NBR ISO/IEC 27001 tem na sua estrutura as seções de 0 a 10, o anexo A</p><p>e as bibliografias. Na Seção 0 Introdução é descrito um processo para gerenciar</p><p>sistematicamente os riscos à informação; no 1 Escopo são especificados os</p><p>requisitos genéricos do SGSI adequados para organizações de qualquer tipo,</p><p>tamanho ou natureza; em 2 Referências normativas, apenas a ABNT NBR ISO/IEC</p><p>27000 é considerada essencial para os usuários da 27001, sendo as demais normas</p><p>ISO27k opcionais; e na seção 3 Termos e definições são colocadas as definições que</p><p>devem ser utilizadas. Quais das seções a seguir se refere a compreender o contexto</p><p>organizacional, as necessidades e expectativas das partes interessadas, que definem</p><p>o escopo do SGSI?</p><p>a) ( ) Seção 4 – Contexto da organização.</p><p>b) ( ) Seção 5 – Liderança.</p><p>c) ( ) Seção 6 – Planejamento.</p><p>d) ( ) Seção 7 – Apoio.</p><p>163</p><p>TÓPICO 3 -</p><p>CICLO DE VIDA DO PLANO DO PROGRAMA</p><p>DE CONSCIENTIZAÇÃO E TREINAMENTO</p><p>ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO</p><p>NATIONAL INSTITUTE OF STANDARDS AND</p><p>TECHNOLOGY (NIST)</p><p>1 INTRODUÇÃO</p><p>Wilson e Hash (2003) identificaram quatro etapas críticas no ciclo de vida do</p><p>plano em conscientização e treinamento em segurança da informação. Agora, tire uns</p><p>minutos para analisar o Quadro 11, pois ele traz uma breve descrição de cada uma destas</p><p>etapas para sua melhor compreensão.</p><p>UNIDADE 2</p><p>QUADRO 11 – QUATRO ETAPAS CRÍTICAS DO CICLO DE VIDA</p><p>ETAPA DESCRIÇÃO</p><p>Projeto de conscientização e</p><p>treinamento</p><p>Nesta etapa é realizada uma avaliação das</p><p>necessidades da organização e uma estratégia</p><p>de treinamento é desenvolvida e aprovada.</p><p>Esse documento de planejamento estratégico</p><p>identifica as tarefas de implementação a serem</p><p>executadas em apoio às metas estabelecidas de</p><p>treinamento em segurança da organização.</p><p>Conscientização e</p><p>desenvolvimento de materiais de</p><p>treinamento</p><p>Esta etapa se concentra nas fontes de</p><p>treinamento disponíveis, escopo, conteúdo e</p><p>desenvolvimento de material de treinamento,</p><p>incluso solicitação de assistência do contratado</p><p>nos casos que se fizer necessário.</p><p>Implementação do programa</p><p>Esta etapa aborda tanto a comunicação</p><p>eficaz quanto a implementação do plano de</p><p>conscientização e treinamento. Além disso,</p><p>aborda as opções para a entrega de material de</p><p>conscientização e treinamento, baseado na Web,</p><p>ensino a distância, vídeo, no local etc.</p><p>164</p><p>Pós-implementação</p><p>Esta etapa fornece orientação para manter o</p><p>plano atualizado e métodos de feedback eficazes</p><p>são descritos em pesquisas, grupos focais,</p><p>benchmarking etc.</p><p>FONTE: Adaptado de Wilson e Hash (2003)</p><p>Agora, vamos avançar em cada uma das etapas do ciclo do programa de</p><p>conscientização e treinamento de segurança de TI, que foi adaptado especialmente</p><p>para você, da edição especial 800-50 do NIST, versão ativa (WILSON; HASH, 2003).</p><p>2 ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E</p><p>TREINAMENTO</p><p>A postura de segurança de TI e a vigilância dentro de uma organização melhora</p><p>consideravelmente quando existe algum tipo de conscientização e treinamento em</p><p>segurança de TI. Vamos iniciar esta etapa, começando pela primeira etapa do plano, que</p><p>é projetar o programa. Para isso, os programas de conscientização e treinamento devem</p><p>ser projetados com a missão da organização em mente. É importante que o programa de</p><p>conscientização e treinamento ofereça suporte às necessidades de negócio da organização</p><p>e seja relevante tanto para a cultura quanto para a arquitetura de TI da organização. Os</p><p>programas mais bem-sucedidos são aqueles que os usuários consideram relevantes os</p><p>assuntos e os problemas que são apresentados.</p><p>A criação de um programa de conscientização e treinamento em segurança de TI</p><p>responde à pergunta: Qual é o nosso plano para desenvolver e implementar oportunidades</p><p>de conscientização e treinamento em conformidade com as diretivas existentes?</p><p>Nesta etapa do plano, as necessidades de conscientização e treinamento da</p><p>organização precisam ser identificadas, para que um plano eficaz seja desenvolvido.</p><p>Além disso, você deve ter em mente, que se deve buscar a adesão da organização e</p><p>posteriormente estabelecer quais são as prioridades do programa.</p><p>Nesta fase é descrito:</p><p>• Como estruturar a atividade de conscientização e treinamento.</p><p>• Como (e por que) realizar uma avaliação de necessidades.</p><p>• Como desenvolver um plano de conscientização e treinamento.</p><p>• Como estabelecer prioridades.</p><p>• Como definir o nível de complexidade do objeto adequadamente.</p><p>• Como financiar o programa de conscientização e treinamento.</p><p>ATENÇÃO</p><p>165</p><p>2.1 ESTRUTURANDO O PROGRAMA</p><p>Um programa de conscientização e treinamento pode ser projetado, desenvolvido</p><p>e implementado de diferentes maneiras. Queremos destacar para você, que são três as</p><p>abordagens ou modelos comumente aceitos, sendo eles:</p><p>• Modelo 1: Política, estratégia e implementação centralizada.</p><p>• Modelo 2: Política e estratégia centralizada, implementação distribuída.</p><p>• Modelo 3: Política centralizada, estratégia distribuída e implementação.</p><p>Sugerimos a leitura das páginas 12-16 da Publicação Especial NIST 800-55,</p><p>disponível no link https://csrc.nist.gov/publications/detail/sp/800-55/rev-1/</p><p>final), para o detalhamento de cada um destes três modelos.</p><p>DICAS</p><p>Você deve se perguntar, do que depende a escolha do modelo a ser adotado? A</p><p>escolha do modelo adotado e estabelecido para supervisionar a atividade do programa</p><p>de conscientização e treinamento dependem: (i) do tamanho e a dispersão geográfica</p><p>da organização; (ii) das funções e das responsabilidades organizacionais definidas; (iii)</p><p>das alocações e autorizações do orçamento.</p><p>2.2 AVALIANDO AS NECESSIDADES</p><p>A avaliação das necessidades pode ser utilizada para determinar as necessidades</p><p>de conscientização e do treinamento de uma organização. Os resultados obtidos nesta</p><p>avaliação podem trazer justificativas relevantes, para que você convença a gerência</p><p>na alocação dos recursos adequados e atenda às necessidades de conscientização e</p><p>treinamento que foram identificadas. Desta forma, é importante que você tenha em</p><p>mente, que para conduzir uma avaliação de necessidades, é importante que o pessoal-</p><p>chave esteja todo envolvido e das funções mínimas que precisam ser realizadas. Agora,</p><p>tire uns minutos para analisar o Quadro 12 que contém essas funções.</p><p>166</p><p>QUADRO 12 – FUNÇÕES NECESSÁRIAS</p><p>FONTE: Adaptado de Wilson e Hash (2003)</p><p>FUNÇÃO DESCRIÇÃO</p><p>Gerente executivo</p><p>Os líderes organizacionais precisam entender</p><p>completamente as diretrizes e leis que formam a</p><p>base do programa de segurança. Eles também</p><p>precisam compreender suas funções de liderança</p><p>para garantir a total conformidade dos usuários em</p><p>suas unidades.</p><p>Pessoal de segurança</p><p>(gerentes de programas de</p><p>segurança e agentes de</p><p>segurança)</p><p>Essas pessoas atuam como consultoras</p><p>especializadas para sua organização e, portanto,</p><p>devem ser bem informadas sobre a política de</p><p>segurança e as melhores práticas aceitas.</p><p>Proprietários do sistemas</p><p>Os proprietários devem ter um amplo entendimento</p><p>da política de segurança e um grau alto de</p><p>entendimento sobre os controles e requisitos de</p><p>segurança aplicáveis aos sistemas que gerenciam.</p><p>Administradores de sistema e</p><p>pessoal de suporte de TI</p><p>Colaboradores que possuem um grau alto de auto-</p><p>ridade sobre as operações de suporte críticas para</p><p>um programa de segurança bem-sucedido, essas</p><p>pessoas precisam ter conhecimento técnico em</p><p>práticas e implementação de segurança eficazes.</p><p>Gerentes operacionais e</p><p>usuários do sistema</p><p>Esses colaboradores precisam de um grau</p><p>elevado de conscientização e treinamento em</p><p>segurança sobre controles de segurança e regras</p><p>de comportamento para os sistemas que eles usam</p><p>para conduzir operações comerciais.</p><p>As necessidades de conscientização e treinamento em segurança de TI podem</p><p>ser levantadas de diversas fontes de informações da organização e elas podem ser</p><p>coletadas de diferentes maneiras. Algumas das técnicas que podem ser utilizadas para</p><p>coletar as informações são:</p><p>• Entrevistas com todos os principais grupos</p><p>e organizações identificados.</p><p>• Pesquisas organizacionais.</p><p>• Revisão e avaliação do material disponível, como material atual de conscientização</p><p>e treinamento, cronogramas de treinamento e listas de participantes.</p><p>167</p><p>• Análise de métricas relacionadas à conscientização e treinamento. Por exemplo,</p><p>porcentagem de usuários que completam a sessão ou exposição de conscientização</p><p>necessária, porcentagem de usuários com responsabilidades significativas de</p><p>segurança que foram treinadas em material específico da função.</p><p>• Revisão dos planos de segurança para sistemas gerais de suporte e aplicativos</p><p>principais para identificar proprietários de sistemas e aplicativos e representantes</p><p>de segurança nomeados.</p><p>• Revisão dos bancos de dados de identificação do usuário do inventário do sistema</p><p>e do aplicativo para determinar todos os que têm acesso.</p><p>• Revisão de todas as descobertas e/ou recomendações dos órgãos de supervisão,</p><p>como por exemplo, inquérito do Congresso, inspetor geral, programa de revisão/</p><p>auditoria interna e controles internos ou análises de programas sobre o programa</p><p>de segurança de TI.</p><p>• Conversas e entrevistas com a gerência, proprietários de suporte geral sistemas</p><p>e aplicativos principais e outra equipe da organização cujas funções comerciais</p><p>dependem de TI.</p><p>• A análise de eventos, como ataques de negação de serviço, alterações no site,</p><p>sequestro de sistemas usados em ataques subsequentes, ataques de vírus bem-</p><p>sucedidos. Estes podem indicar a necessidade de treinamento (ou treinamento</p><p>adicional) de grupos específicos de pessoas.</p><p>• Revisão de quando são realizadas as alterações técnicas ou de infraestrutura.</p><p>• O estudo das tendências identificadas pela primeira vez em publicações da indústria,</p><p>acadêmicas ou governamentais ou por organizações de treinamento/educação. O</p><p>uso desses "sistemas de alerta precoce" pode fornecer informações referente um</p><p>problema dentro da organização que ainda não foi visto como um problema.</p><p>Você deve se perguntar se existe alguma forma de identificar as necessidades</p><p>de conscientização e treinamento de uma maneira eficaz? Sim, existe. As métricas são</p><p>uma ferramenta importante e eficaz que pode ser utilizada nesta atividade. As métricas</p><p>servem para monitorar se as metas e os objetivos do plano foram atingidos. Cabe lembrar</p><p>que elas também quantificam o nível da eficácia e da eficiência, analisando a adequação</p><p>dos esforços de conscientização e treinamento e identificando possíveis melhorias.</p><p>Para uma discussão completa sobre métricas, consulte a Publicação</p><p>Especial NIST 800-55, disponível no link https://csrc.nist.gov/publications/</p><p>detail/sp/800-55/rev-1/final, Guia de Métricas de Segurança para Sistemas</p><p>de Tecnologia da Informação.</p><p>DICAS</p><p>168</p><p>A análise das informações coletadas deve fornecer respostas para as</p><p>principais perguntas:</p><p>• Que tipo de conscientização, treinamento e/ou educação são</p><p>necessários?</p><p>• O que está sendo realizado atualmente para atender a essas</p><p>necessidades?</p><p>• Qual é o status atual em relação a como essas necessidades estão sendo</p><p>atendidas (ou seja, quão bem os esforços atuais estão funcionando)?</p><p>• Onde estão as lacunas entre as necessidades e o que está sendo feito</p><p>(ou seja, o que mais precisa ser feito)?</p><p>• Quais necessidades são mais críticas?</p><p>IMPORTANTE</p><p>Cabe destacar, ainda, que um aspecto importante da avaliação é avaliar a</p><p>existência dos recursos necessários para que o programa seja realizado. Por exemplo,</p><p>se o material elaborado no plano fizer uso de abordagens apoiadas pela tecnologia</p><p>é necessário que se realize na avaliação técnica referente às plataformas que serão</p><p>utilizadas no programa, tais como: rede, estações de trabalho, placas de vídeo, alto-</p><p>falantes etc. Isso é necessário para determinar se existe ambiente na organização para</p><p>que o programa de conscientização seja implementado.</p><p>Da mesma forma, se a organização planeja fornecer treinamento em sala de</p><p>aula, a avaliação das necessidades deve identificar se existe espaço adequado para</p><p>um ambiente de ensino aprendizagem. As questões de recursos humanos, incluindo</p><p>colaboradores com alguma necessidade especial, devem ser avaliadas, assim como</p><p>questões sindicais inexistentes que podem surgir a partir desse momento.</p><p>Após a conclusão da avaliação das necessidades, as informações necessárias</p><p>para desenvolver um plano de conscientização e treinamento estarão disponíveis. O</p><p>plano deve abranger toda a organização e incorporar as prioridades identificadas pela</p><p>avaliação de necessidades.</p><p>2.3 DESENVOLVENDO A ESTRATÉGIA E O PLANO DE</p><p>CONSCIENTIZAÇÃO E TREINAMENTO</p><p>A conclusão da avaliação de necessidades permite que uma organização externa</p><p>ou órgão regulamentado desenvolva uma estratégia para desenvolver, implementar e</p><p>manter seu programa de conscientização e treinamento em segurança de TI. O plano</p><p>do programa é o documento de trabalho que contém os elementos que compõem essa</p><p>estratégia. Portanto, é fundamental que você se atente para os seguintes elementos</p><p>que devem ser discutidos no plano do programa:</p><p>169</p><p>• Política nacional e local existente que requer a conscientização e o treinamento a</p><p>serem realizados.</p><p>• Escopo do programa de conscientização e treinamento.</p><p>• Funções e responsabilidades do pessoal da organização que deve projetar,</p><p>desenvolver, implementar e manter o material de conscientização e treinamento</p><p>e que deve garantir que os usuários apropriados atendam ou visualizem o material</p><p>aplicável.</p><p>• Metas a serem alcançadas para cada aspecto do programa, como por exemplo,</p><p>conscientização, treinamento, educação, desenvolvimento profissional (certificação).</p><p>• Público-alvo para cada aspecto do programa.</p><p>• Cursos ou materiais obrigatórios (e se aplicável, opcionais) para cada público-alvo.</p><p>• Objetivos de aprendizagem para cada aspecto do programa.</p><p>• Tópicos a serem abordados em cada sessão ou curso.</p><p>• Métodos de implantação a serem usados para cada aspecto do programa.</p><p>• Documentação, feedback e evidência de aprendizado para cada aspecto do</p><p>programa.</p><p>• Avaliação e atualização de material para cada aspecto do programa.</p><p>• Frequência em que cada público-alvo deve ser exposto ao material.</p><p>2.4 ESTABELECENDO PRIORIDADES</p><p>Depois que a estratégia e o plano do programa de conscientização e</p><p>treinamento em segurança forem finalizados, deve ser estabelecido um cronograma</p><p>de implementação. Às vezes é necessário que a implementação ocorra em fases. Por</p><p>exemplo, você precisa analisar se existem restrições orçamentárias e disponibilidade de</p><p>recursos. Dessa forma, é importante decidir quais fatores serão usados para determinar</p><p>as prioridades e a sequência em que elas acontecem. Agora, tire uns minutos para</p><p>analisar o Quadro 13, que contém os principais fatores a serem analisados.</p><p>QUADRO 13 – PRINCIPAIS FATORES A SEREM CONSIDERADOS</p><p>DESCRIÇÃO</p><p>Disponibilidade de</p><p>material e recursos</p><p>Se o material de conscientização e treinamento e os</p><p>recursos necessários estiverem prontamente disponíveis, as</p><p>principais iniciativas do plano poderão ser agendadas com</p><p>antecedência. No entanto, se o material do curso deve ser</p><p>desenvolvido e/ou os instrutores precisam ser identificados</p><p>e programados, esses requisitos devem ser considerados na</p><p>definição de prioridades.</p><p>170</p><p>Papel e impacto</p><p>organizacional</p><p>É muito comum abordar a prioridade em termos de função</p><p>e risco organizacional. As iniciativas de conscientização de</p><p>base ampla que atendem ao mandato amplo da empresa</p><p>podem receber alta prioridade porque as regras de boas</p><p>práticas de segurança podem ser entregues rapidamente à</p><p>força de trabalho. Além disso, é comum observar posições</p><p>de alta confiança/alto impacto. Por exemplo, gerentes de</p><p>programas de segurança de TI, agentes de segurança,</p><p>administradores de sistema e administradores de segurança,</p><p>cujas posições na organização foram determinadas como</p><p>tendo uma sensibilidade mais alta. Outro ponto, é garantir que</p><p>elas recebam alta prioridade na estratégia de lançamento.</p><p>Esses tipos de posições geralmente são proporcionais</p><p>ao</p><p>tipo de acesso e a qual sistema, esses usuários possuem.</p><p>Estado atual de</p><p>conformidade</p><p>Envolve examinar as principais lacunas no programa de</p><p>conscientização e treinamento (por exemplo, análise de</p><p>lacunas) e direcionar áreas deficientes para a implantação</p><p>antecipada.</p><p>Dependências</p><p>críticas do projeto</p><p>Se houver projetos dependentes de um segmento de</p><p>treinamento de segurança para preparar os requisitos</p><p>necessários para o sistema envolvido. Por exemplo, novo</p><p>sistema operacional, firewalls, redes virtuais privadas.</p><p>Portanto, é importante que o cronograma de treinamento</p><p>estabelecido garanta que o treinamento ocorre dentro do</p><p>prazo estipulado. Dessa forma, é necessário lidar com as</p><p>dependências existentes</p><p>FONTE: Adaptado de Wilson e Hash (2003)</p><p>2.5 ESTABELECENDO O PADRÃO</p><p>Estabelecer o padrão ou estabelecer o parâmetro significa que uma decisão</p><p>deve ser tomada quanto à complexidade do material que será desenvolvido. Dessa</p><p>forma, você precisa pensar que a complexidade na elaboração é proporcional ao papel</p><p>exercido pela pessoa que terá o esforço do aprendizado e deve ser desenvolvido</p><p>com base em dois critérios importantes: (i) a posição do participante alvo dentro da</p><p>organização; e (ii) o conhecimento das habilidades de segurança necessárias para a</p><p>posição exercida por esse participante.</p><p>Destacamos ainda que essa complexidade do material deve ser determinada</p><p>antes do início do desenvolvimento.</p><p>171</p><p>Estabelecer o padrão significa que deve ser tomada uma decisão quanto à</p><p>complexidade do material que será desenvolvido e deve ser aplicado aos</p><p>três tipos de aprendizado: conscientização, treinamento e educação.</p><p>O item 5 traz a 4ª etapa do plano, a etapa de pós-implementação, nela</p><p>discutiremos o aumento do padrão que foi estabelecido.</p><p>O padrão estabelecido pode ser aumentado à medida que o programa</p><p>de conscientização amadurece e a maioria dos usuários é exposta ao</p><p>material inicial.</p><p>IMPORTANTE</p><p>ATENÇÃO</p><p>IMPORTANTE</p><p>Ao estabelecer o padrão de esforço do programa, o foco deve estar nas regras de</p><p>comportamento esperadas para o uso dos sistemas. Essas regras devem vir diretamente</p><p>da política da organização e elas devem ser aplicadas a todos da organização. Para</p><p>isso, é necessário que elas sejam explicadas de forma clara, não deixando margem para</p><p>erros, desculpas ou mal-entendidos.</p><p>Queremos ainda destacar para você, que definir o padrão corretamente é ainda mais</p><p>importante ao desenvolver o material de treinamento, devido que o objetivo do treinamento</p><p>é produzir as habilidades e as competências relevantes necessárias. Portanto, é crucial que</p><p>a avaliação das necessidades identifique os indivíduos com responsabilidades significativas</p><p>de segurança de TI, avalie suas funções e identifique quais são as reais necessidades de</p><p>conscientização e treinamento.</p><p>Desta forma, o material a ser desenvolvido precisa fornecer o conjunto de</p><p>habilidades necessárias para que os participantes cumpram as responsabilidades de</p><p>segurança associadas à sua função. O material de treinamento de segurança de TI pode ser</p><p>desenvolvido em um nível inicial para uma pessoa que está apenas aprendendo a disciplina,</p><p>por exemplo, para o administrador do sistema, administrador de servidor Web ou de e-mail,</p><p>um auditor etc. Assim como o material pode ser desenvolvido em um nível intermediário,</p><p>172</p><p>ou seja, para alguém que tem mais experiência e, portanto, mais responsabilidade, em</p><p>uma disciplina. É possível desenvolver material avançado para os “centros de excelência”</p><p>ou especialistas no assunto da organização, cujos trabalhos incorporam o mais alto nível</p><p>de confiança e consequentemente, um alto nível de responsabilidade de segurança de TI.</p><p>O Capítulo 4 da publicação especial NIST 800-16, disponível no link https://</p><p>csrc.nist.gov/publications/detail/sp/800-16/final, fornece orientação sobre</p><p>o desenvolvimento de material de treinamento para esses três níveis de</p><p>complexidade, incluindo objetivos de aprendizado em cada um dos três níveis.</p><p>DICAS</p><p>Depois que as necessidades educacionais são identificadas dentro de uma</p><p>organização, geralmente, as organizações buscam alguma empresa especializada para</p><p>realizar o programa.</p><p>2.6 FINANCIAMENTO DO PROGRAMA DE CONSCIENTIZAÇÃO</p><p>E TREINAMENTO EM SEGURANÇA</p><p>Uma vez que a estratégia de conscientização e treinamento tenha sido acordada</p><p>e as prioridades tenham sido estabelecidas, você deve se atentar que os requisitos de</p><p>financiamento devem ser adicionados ao plano. Uma determinação deve ser feita em</p><p>relação à qual será a extensão do financiamento e o suporte necessário a ser alocado</p><p>com base nos modelos de implementação discutidos em nosso item 2.1. Dessa forma,</p><p>o diretor de informática da organização deve enviar uma mensagem clara sobre as</p><p>expectativas de conformidade nessa área. As abordagens usadas para determinar as</p><p>fontes de financiamento devem ser analisadas com base no orçamento existente ou</p><p>previsto em alguma prioridade da organização.</p><p>O plano deve ser visto como um conjunto de requisitos mínimos a serem</p><p>atendidos, e esses requisitos devem ser compatíveis com uma perspectiva contratual</p><p>ou orçamental. Os requisitos contratuais devem ser especificados na documentação</p><p>vinculada, como de memorando, contratos etc. As abordagens usadas para expressar o</p><p>requisito de financiamento podem incluir:</p><p>• Percentual do orçamento geral de treinamento.</p><p>• A alocação por usuário por função. Um exemplo disso, seria o treinamento dos</p><p>principais colaboradores de segurança e administradores de sistema será mais</p><p>caro que o treinamento geral de segurança para aqueles na organização que não</p><p>executam funções específicas de segurança.</p><p>173</p><p>• Porcentagem do orçamento geral de TI.</p><p>• Alocações explícitas por componente, com base nos custos gerais de implementação.</p><p>Os problemas na implementação do plano de conscientização e treinamento</p><p>em segurança podem ocorrer quando as iniciativas de conscientização e treinamento</p><p>em segurança são consideradas com prioridade mais baixa do que outras iniciativas</p><p>da organização. É de responsabilidade do diretor de informática avaliar as prioridades</p><p>concorrentes e desenvolver uma estratégia para solucionar qualquer déficit de</p><p>financiamento que possa afetar a capacidade da organização de cumprir os requisitos</p><p>de treinamento em segurança existentes.</p><p>Isso pode significar ajustar a estratégia de conscientização e treinamento para</p><p>estar mais alinhada com o orçamento disponível, fazer lobby por financiamento adicional</p><p>ou direcionar a realocação dos recursos atuais. Também pode significar que o plano de</p><p>implementação pode ser implementado em etapas durante um período predefinido à</p><p>medida que o financiamento se torna disponível.</p><p>3 ETAPA 2: DESENVOLVIMENTO DE MATERIAIS DE</p><p>CONSCIENTIZAÇÃO E DE TREINAMENTO</p><p>Uma vez elaborado o programa de conscientização e treinamento, é possível</p><p>desenvolver material de apoio. Mas o que devemos incluir no material? O material deve</p><p>ser desenvolvido tendo o seguinte em mente:</p><p>• Que comportamento queremos reforçar? (Consciência).</p><p>• Qual habilidade ou habilidades queremos que o público aprenda e aplique?</p><p>(Treinamento).</p><p>Nos dois casos, o foco deve estar no material específico que os participantes</p><p>devem incorporar nas atividades exercidas no trabalho. Os participantes prestarão</p><p>atenção e incorporarão o que veem ou ouvem em uma sessão, se sentirem que o material</p><p>foi desenvolvido especificamente para eles. A apresentação não pode ser “engessada”,</p><p>ou mesmo impessoal ou para um público em geral, para que ela não seja lembrada</p><p>como mais uma das sessões anuais de "estamos aqui porque precisamos estar aqui".</p><p>Um programa de conscientização e treinamento pode ser eficaz, somente, se o material</p><p>for interessante e atual.</p><p>Em algum momento, se você for o responsável pela elaboração do material,</p><p>você fará a seguinte pergunta: Estou desenvolvendo material de conscientização ou</p><p>treinamento? Geralmente, como o objetivo do material de conscientização é simplesmente</p><p>focar a atenção nas boas práticas</p><p>de segurança, a mensagem que o esforço de</p><p>conscientização envia deve ser curta e simples. A mensagem pode abordar um tópico ou</p><p>vários tópicos sobre os quais o público-alvo deve estar ciente.</p><p>174</p><p>O público-alvo da conscientização deve incluir todos os usuários em uma</p><p>organização. A mensagem a ser divulgada por meio de um programa ou</p><p>campanha de conscientização deve conscientizar todos os indivíduos sobre</p><p>suas responsabilidades de segurança de TI comumente compartilhada. Já por</p><p>outro lado, a mensagem em uma aula de treinamento é direcionada a um</p><p>público específico. A mensagem no material de treinamento deve incluir tudo</p><p>relacionado à segurança que os participantes precisam saber para realizar</p><p>seu trabalho. O material de treinamento geralmente é muito mais profundo</p><p>do que o material usado em uma sessão ou campanha de conscientização.</p><p>IMPORTANTE</p><p>3.1 DESENVOLVENDO MATERIAL DE CONSCIENTIZAÇÃO</p><p>A pergunta a ser respondida ao começar a desenvolver material para um progra-</p><p>ma ou campanha de conscientização da organização é: Quais assuntos queremos que</p><p>todas as pessoas da organização estejam cientes sobre segurança de TI? O plano de</p><p>conscientização e treinamento deve conter uma lista de tópicos. Destacamos algumas</p><p>fontes de ideias e materiais como: avisos por e-mail, sites de notícias diárias sobre segu-</p><p>rança de TI on-line e periódicos. A política da organização, revisões de programas, audito-</p><p>rias internas, revisões de programas de controles internos, autoavaliações e verificações</p><p>pontuais também podem identificar tópicos adicionais a serem abordados no programa.</p><p>Agora, queremos destacar dois pontos: (i) os tópicos que podem ser discutidos,</p><p>de forma breve, em qualquer sessão ou campanha de conscientização; e (ii) as fontes</p><p>dos tópicos que serão utilizadas. Destacamos ainda, que podem existir várias fontes</p><p>de material a serem incorporadas no programa. O material pode tratar de uma questão</p><p>específica ou, em alguns casos, pode descrever como iniciar o desenvolvimento de um</p><p>programa, sessão ou campanha de conscientização.</p><p>Agora, tire uns minutos para aprender pelo Quadro 14 quais são alguns desses</p><p>tópicos e algumas das fontes que você pode utilizar. Ao analisar os tópicos a serem vistos</p><p>na conscientização, você verá que alguns deles já tínhamos identificado na Unidade 1 do</p><p>nosso livro didático.</p><p>QUADRO 14 – TÓPICOS E FONTES A SEREM VISTOS EM CONSCIENTIZAÇÃO</p><p>TÓPICOS</p><p>• Uso e gerenciamento de senhas, incluindo criação, frequência</p><p>de alterações e proteção.</p><p>• Proteção contra vírus, worms, cavalos de Tróia e outros</p><p>códigos maliciosos, varredura, atualização de definições.</p><p>• Política e as implicações do não cumprimento.</p><p>• E-mail e anexos desconhecidos.</p><p>175</p><p>• Uso da Web, permitido versus proibido e o monitoramento da</p><p>atividade do usuário.</p><p>• Spam.</p><p>• Backup e armazenamento de dados, abordagem centralizada</p><p>ou descentralizada.</p><p>• Engenharia social.</p><p>• Resposta a incidentes, entre em contato com quem? O que</p><p>eu faço?</p><p>• Alterações no ambiente do sistema, aumento dos riscos</p><p>para os sistemas e dados (por exemplo, água, fogo, poeira ou</p><p>sujeira, acesso físico).</p><p>• Inventário e transferência de propriedade, identifique a</p><p>organização responsável e as responsabilidades do usuário</p><p>(por exemplo, higienização da mídia).</p><p>• Problemas de uso pessoal e de ganho, sistemas no trabalho</p><p>e em casa.</p><p>• Problemas de segurança de dispositivos móveis, resolva</p><p>problemas de segurança física e sem fio.</p><p>• Uso de criptografia e transmissão de informações confidenciais/</p><p>confidenciais pela Internet, diretiva, procedimentos e contato</p><p>técnico da organização de endereços, para obter assistência.</p><p>• Segurança do laptop durante a viagem, resolva problemas</p><p>físicos e de segurança da informação.</p><p>• Sistemas e software de propriedade pessoal no trabalho,</p><p>indique se é permitido ou não (por exemplo, direitos autorais).</p><p>• Aplicação oportuna de correções do sistema, parte do</p><p>gerenciamento de configuração.</p><p>• Problemas de restrição de licença de software, endereço</p><p>quando as cópias são permitidas e não permitidas.</p><p>• Software suportado, permitido nos sistemas da organização,</p><p>parte do gerenciamento de configuração.</p><p>• Problemas de controle de acesso, abordam os níveis de</p><p>privilégios e a separação de tarefas.</p><p>• Responsabilização individual, explique o que isso significa na</p><p>organização.</p><p>• Uso de declarações de reconhecimento – senhas, acesso a</p><p>sistemas e dados, uso pessoal e ganhos.</p><p>• Controle do visitante e acesso físico a espaços, discuta</p><p>políticas e procedimentos de segurança física aplicáveis, por</p><p>exemplo, desafie estranhos, relate atividades incomuns.</p><p>176</p><p>• Segurança da área de trabalho, discuta o uso de protetores de</p><p>tela, restringindo a exibição de informações dos visitantes na</p><p>tela (impedindo/limitando o espiar), dispositivos de backup</p><p>de bateria, acesso permitido aos sistemas.</p><p>• Proteger as informações sujeitas a preocupações de confi-</p><p>dencialidade, em sistemas, arquivados, em mídia de backup,</p><p>em formato de cópia impressa e até serem destruídos.</p><p>• Etiqueta da lista de e-mail, arquivos anexados e outras regras.</p><p>FONTES</p><p>• Avisos por e-mail emitidos por grupos de notícias hospedados</p><p>pelo setor, instituições acadêmicas ou pelo escritório de</p><p>segurança de TI da organização.</p><p>• Organizações e fornecedores profissionais.</p><p>• Sites de notícias diárias sobre segurança de TI on-line.</p><p>• Periódicos.</p><p>• Conferências, seminários e cursos.</p><p>FONTE: Adaptado de Wilson e Hash (2003)</p><p>3.2 DESENVOLVENDO MATERIAL DE TREINAMENTO</p><p>A pergunta a ser respondida ao iniciar o desenvolvimento do material para</p><p>um curso de treinamento específico é: Qual habilidade ou habilidades queremos que</p><p>o público-alvo aprenda? O plano de treinamento deve identificar um público-alvo,</p><p>ou vários públicos-alvo e cada um deles deve receber treinamento personalizado, os</p><p>possibilitando a lidar com suas responsabilidades de segurança de TI.</p><p>4 ETAPA 3: IMPLEMENTAÇÃO DO PROGRAMA</p><p>A terceira etapa do programa se refere a como o programa será implementado.</p><p>Contudo, você precisa estar ciente que o programa só pode ser implementado após: (i)</p><p>a avaliação de necessidades ter sido realizada; (ii) a estratégia ter sido desenvolvida;</p><p>(iii) o plano de programa de conscientização e treinamento para implementar essa</p><p>estratégia ter sido concluído; (iv) o material de conscientização e de treinamento ter</p><p>sido desenvolvido.</p><p>Agora sim, podemos iniciar a implementação!</p><p>177</p><p>4.1 COMUNICAÇÃO DO PLANO</p><p>A implementação do programa deve ser totalmente explicada à organização</p><p>para obter suporte para sua implementação e comprometimento dos recursos</p><p>necessários. Essa explicação inclui as expectativas da gerência da organização e do</p><p>suporte da equipe, bem como os resultados esperados do programa e os benefícios que</p><p>o programa trará a organização.</p><p>Destacamos ainda para você, que as questões de financiamento também devem</p><p>ser abordadas. Por exemplo, os gerentes devem saber se o custo para implementar o pro-</p><p>grama de conscientização e treinamento será totalmente financiado pelo orçamento do</p><p>programa de segurança de TI ou diretor de informática ou se seus orçamentos serão impac-</p><p>tados para cobrir sua parcela das despesas com a implementação do programa. É essencial</p><p>que todos os envolvidos na implementação do programa compreendam seus papéis e as</p><p>suas responsabilidades. Além disso, os cronogramas e os requisitos de conclusão devem</p><p>ser comunicados. A comunicação do plano pode ser mapeada para os três modelos de im-</p><p>plementação discutidos no item 2.1 deste tópico. Seguem os cenários típicos.</p><p>4.2 TÉCNICAS PARA CRIAR MATERIAL DE CONSCIENTIZAÇÃO</p><p>Existem algumas técnicas que podem ser utilizadas para transmitir a mensagem</p><p>de conscientização. Você precisa ter em mente, que as técnicas escolhidas dependem</p><p>dos recursos e da complexidade da mensagem que você quer passar. Listamos algumas</p><p>dessas técnicas:</p><p>• Mensagens sobre ferramentas de conscientização: podem ser utilizadas, canetas,</p><p>porta-chaves, notas post-it, blocos de notas, kits de primeiros</p><p>socorros, kits de</p><p>limpeza, pen drive com uma mensagem, marcadores de páginas, Frisbees, relógios,</p><p>cartões e afins.</p><p>• Cartazes, listas do que fazer e não fazer ou listas de verificação.</p><p>• Protetores de tela e banners/mensagens de aviso.</p><p>• Boletins.</p><p>• Alertas de escrivaninha para mesa: como um boletim de uma página, em papel,</p><p>colorido e brilhante, um por mesa ou roteado por um escritório, que é distribuído</p><p>pelo sistema de correio da organização.</p><p>• Mensagens de e-mail.</p><p>• Vídeos.</p><p>• Sessões baseadas na Web.</p><p>• Sessões baseadas em computador.</p><p>• Sessões de teleconferência.</p><p>• Sessões presenciais, conduzidas por instrutor.</p><p>• Dias de segurança de TI ou eventos similares.</p><p>178</p><p>• Seminários.</p><p>• Calendário pop-up com informações de contato de segurança, dicas mensais de</p><p>segurança etc.</p><p>• Mascotes.</p><p>• Palavras cruzadas.</p><p>• Programa de prêmios por meio de placas, canecas, cartas de agradecimento.</p><p>Queremos destacar que algumas dessas técnicas servem para passar que uma</p><p>única mensagem, como as utilizadas em: pôsteres, listas de acesso, protetores de tela e</p><p>banners de aviso, alertas de mesa em mesa, e-mails, seminários e programas de prêmios.</p><p>Já as técnicas que conseguem passar várias mensagens são aquelas como: “Faça e não</p><p>faça”, boletins, fitas de vídeo, sessões baseadas na Web, sessões baseadas em computador,</p><p>sessões de teleconferência, sessões presenciais com instrutores e seminários.</p><p>As técnicas que podem ser razoavelmente baratas de implementar incluem</p><p>mensagens em ferramentas de conscientização, pôsteres, listas de acesso, listas de</p><p>“Faça e não faça”, listas de verificação, protetores de tela e banners de aviso, alertas de</p><p>mesa em mesa, mensagens de e-mail, sessões conduzidas por instrutor, seminários</p><p>sobre malas marrons e programas de recompensas.</p><p>As técnicas que podem exigir mais recursos incluem boletins, fitas de</p><p>vídeo, sessões baseadas na Web, sessões baseadas em computador e sessões de</p><p>teleconferência. Além de tornar o material de conscientização interessante e atual,</p><p>repetir uma mensagem de conscientização e usar várias maneiras de apresentá-la, pode</p><p>aumentar muito a retenção de lições ou problemas de conscientização dos usuários.</p><p>Por exemplo, a discussão em uma sessão conduzida por instrutor sobre como</p><p>evitar ser vítima de um ataque de engenharia social pode ser reforçada com pôsteres,</p><p>mensagens de e-mail periódicas em toda a organização e mensagens sobre ferramentas</p><p>de conscientização que são distribuídas aos usuários.</p><p>4.3 TÉCNICAS PARA CRIAR MATERIAL DE TREINAMENTO</p><p>As técnicas para se obter um material mais efetivo de treinamento são aquelas</p><p>que fazem uso da tecnologia e suportam os seguintes recursos:</p><p>• Facilidade de uso: fácil acesso e fácil atualização/manutenção.</p><p>• Escalabilidade: pode ser usada para vários tamanhos de público e em vários locais.</p><p>• Responsabilização: capturar e usar estatísticas sobre o grau de conclusão).</p><p>• Ampla base de suporte do setor: número adequado de fornecedores em potencial,</p><p>maior chance de encontrar suporte subsequente.</p><p>179</p><p>Acadêmico, as organizações podem fazer várias técnicas, destacamos as mais</p><p>comumente utilizadas pelas organizações para você, sendo elas:</p><p>• Treinamento em Vídeo Interativo (TVI): é uma das várias técnicas de ensino à</p><p>distância disponíveis para a entrega de material de treinamento. Esta tecnologia suporta</p><p>instruções interativas de áudio e vídeo bidirecionais. O recurso interativo torna a técnica</p><p>mais eficaz do que as técnicas não interativas, mas é mais cara.</p><p>• Treinamento baseado na Web: é uma técnica popular para ambientes</p><p>distribuídos. Os "participantes" de uma sessão baseada na Web podem estudar</p><p>de forma independente e aprender no seu próprio ritmo. Os recursos de teste e</p><p>responsabilidade podem ser incorporados para avaliar o desempenho.</p><p>Algumas técnicas ainda permitem uma interação entre o instrutor e o aluno,</p><p>como:</p><p>• Treinamento não Web e baseado em computador: essa técnica continua</p><p>popular mesmo com a disponibilidade da Web. Ainda pode ser um método eficaz</p><p>para a distribuição de material de treinamento, especialmente se o acesso a material</p><p>baseado na Web não for viável. Como o treinamento baseado na Web, essa técnica</p><p>não permite a interação entre o instrutor e os alunos ou entre os alunos.</p><p>• Treinamento ministrado por instrutor no local (incluindo apresentações e</p><p>mentoria de colegas): essa é uma das técnicas mais antigas, mas uma das mais</p><p>populares, para fornecer material de treinamento para o público. A maior vantagem</p><p>da técnica é a natureza interativa da instrução. Essa técnica, no entanto, tem várias</p><p>desvantagens em potencial. Em uma organização grande, pode haver dificuldade</p><p>em agendar aulas suficientes para que todo o público-alvo possa participar. Em</p><p>uma organização que possui uma força de trabalho amplamente distribuída, pode</p><p>haver custos de viagem significativos para instrutores e estudantes. Embora</p><p>existam desafios para ambientes distribuídos, alguns alunos preferem esse método</p><p>tradicional a outros métodos.</p><p>A combinação de várias técnicas em uma sessão pode ser uma maneira eficaz</p><p>tanto do material a ser apresentado como fazer que o público preste atenção. Por</p><p>exemplo, se você usar a técnica de exibir vídeos durante a sessão conduzida por instrutor,</p><p>isto permite que o público se concentre em uma fonte de informação diferente. O vídeo</p><p>também pode reforçar o que o instrutor tem apresentado. A TVI, o treinamento baseado</p><p>na Web e o treinamento não baseado na Web também podem ser utilizados como parte</p><p>de uma sessão de treinamento liderada por instrutor.</p><p>5 ETAPA 4: PÓS-IMPLEMENTAÇÃO</p><p>O programa de conscientização e treinamento em segurança de TI de uma</p><p>organização pode rapidamente se tornar obsoleto se não for dada atenção suficiente</p><p>aos avanços tecnológicos, a infraestrutura de TI e as mudanças organizacionais, além</p><p>180</p><p>de mudanças na missão e nas prioridades organizacionais. Os diretores de informática</p><p>e os gerentes do programa de segurança de TI precisam conhecer esse problema em</p><p>potencial e incorporar mecanismos em sua estratégia para garantir que o programa</p><p>continue relevante e compatível com os objetivos gerais.</p><p>A melhoria contínua deve sempre ser o tema das iniciativas de conscientização</p><p>e treinamento em segurança, pois essa é uma área em que “você nunca pode</p><p>fazer o suficiente”.</p><p>IMPORTANTE</p><p>5.1 MONITORANDO A CONFORMIDADE</p><p>Uma vez implementado o programa, é necessário implementar processos para</p><p>monitorar a conformidade e a eficácia. Um sistema de rastreamento automatizado deve</p><p>ser projetado para capturar informações importantes sobre a atividade do programa</p><p>(por exemplo, cursos, datas, público, custos, fontes). O sistema de rastreamento deve</p><p>capturar esses dados no nível da organização, para que possam ser usados para</p><p>fornecer análises e relatórios de toda a empresa sobre iniciativas de conscientização,</p><p>treinamento e educação. Os requisitos para o banco de dados devem incorporar as</p><p>necessidades de todos os usuários pretendidos. Os usuários típicos desse banco de</p><p>dados estão descritos no Quadro 15.</p><p>QUADRO 15 – USUÁRIOS</p><p>USUÁRIO DESCRIÇÃO</p><p>Diretores de</p><p>informática</p><p>Podem usar o banco de dados para apoiar o planejamento</p><p>estratégico, informar o chefe da organização e outros</p><p>colaboradores da alta gerência sobre a saúde do programa</p><p>de conscientização e treinamento em segurança de TI,</p><p>identificar a capacidade interna e as necessidades críticas</p><p>da força de trabalho de segurança, executar análises de</p><p>programas, identificar atividades em toda a empresa, auxiliar</p><p>na segurança e no orçamento de TI, identificar a necessidade</p><p>de aprimoramento do programa e avaliar a conformidade.</p><p>181</p><p>FONTE: Adaptado de Wilson e Hash (2003)</p><p>Gerentes de</p><p>programas de</p><p>segurança de TI</p><p>Podem usar o banco de dados para dar suporte ao</p><p>planejamento de segurança, fornece relatórios de status ao</p><p>diretor de informática e a outras equipes de gerenciamento</p><p>e segurança, justificar solicitações de financiamento,</p><p>demonstrar conformidade com as metas e objetivos</p><p>estabelecidos pela organização, identificar fornecedores</p><p>e outras fontes de treinamento, responder a perguntas</p><p>relacionadas à segurança, identificar a cobertura atual e</p><p>fazer ajustes para omissões críticas.</p><p>Departamentos de</p><p>Recursos Humanos</p><p>Podem usar o banco de dados para garantir a existência</p><p>de um mecanismo eficaz para capturar todo o treinamento</p><p>relacionado à segurança, identificar os custos relacionados</p><p>ao treinamento em segurança de TI, auxiliar no</p><p>estabelecimento de descrições de cargos, dar suporte ao</p><p>relatório de status, responder a consultas de treinamento e</p><p>auxiliar desenvolvimento profissional.</p><p>Departamentos de</p><p>treinamento</p><p>Podem usar o banco de dados para ajudar no desenvolvimento</p><p>da estratégia geral de treinamento da organização,</p><p>estabelecer requisitos de banco de dados de treinamento</p><p>vinculados às diretrizes de segurança, identificar possíveis</p><p>fontes de treinamento, dar suporte a solicitações de</p><p>treinamento, identificar a relevância e popularidade do curso,</p><p>apoiar a atividade orçamentária e responder a perguntas.</p><p>Gerentes funcionais</p><p>Podem usar o banco de dados para monitorar o progresso do</p><p>treinamento do usuário e ajustar os planos de treinamento</p><p>do usuário, conforme necessário, obter relatórios de status</p><p>e responder a perguntas sobre o treinamento de segurança</p><p>em seus componentes e identificar fontes e custos de</p><p>treinamento para ajudar com solicitações e propostas de</p><p>orçamento.</p><p>Auditores</p><p>Podem usar as informações do banco de dados para</p><p>monitorar a conformidade com as diretivas de segurança e a</p><p>política da organização.</p><p>Diretores Financeiros</p><p>Pode usar as informações do banco de dados para responder</p><p>a perguntas sobre orçamento, auxiliar no planejamento</p><p>financeiro e fornece relatórios ao chefe da organização e aos</p><p>gerentes seniores sobre as atividades de financiamento do</p><p>treinamento em segurança.</p><p>182</p><p>O rastreamento da conformidade envolve a avaliação do status do programa,</p><p>conforme indicado pelas informações do banco de dados, e o mapeamento para os</p><p>padrões estabelecidos pela organização.</p><p>Portanto, tenha em mente que, os relatórios podem ser gerados e usados</p><p>para identificar lacunas ou problemas. Além disso, é necessário que se tenham ações</p><p>corretivas e os devidos acompanhamento caso elas se façam necessárias. Você</p><p>pode utilizar isso, em forma de lembretes formais para a gerência; ofertas adicionais</p><p>de conscientização, treinamento ou educação; e/ou ainda estabelecer um programa</p><p>corretivo com datas de conclusão programadas.</p><p>5.2 AVALIAÇÃO E FEEDBACK</p><p>Os mecanismos formais de avaliação e de feedback são componentes críticos de</p><p>qualquer programa de conscientização, treinamento e educação sobre segurança. A me-</p><p>lhoria contínua não pode ocorrer sem um bom senso de como o programa existente está</p><p>funcionando. Além disso, o mecanismo de feedback deve ser projetado para atender aos</p><p>objetivos inicialmente estabelecidos para o programa. Uma vez solidificados os requisitos</p><p>da linha de base, uma estratégia de feedback pode ser projetada e implementada.</p><p>Uma estratégia de feedback precisa incorporar elementos que abordem a</p><p>qualidade, o escopo, o método de implantação (por exemplo, baseado na</p><p>Web, no local, externo), nível de dificuldade, facilidade de uso, duração da</p><p>sessão, relevância, moeda, e sugestões para modificação.</p><p>IMPORTANTE</p><p>Os métodos mais comumente utilizados na obtenção de feedback são</p><p>apresentados no Quadro 16.</p><p>QUADRO 16 – MÉTODOS PARA OBTER FEEDBACK</p><p>MÉTODO DESCRIÇÃO</p><p>Formulários</p><p>de avaliação</p><p>(questionários)</p><p>É possível usar uma variedade de formatos. Os melhores designs</p><p>eliminam a necessidade de muita escrita por parte da pessoa que</p><p>os conclui. A chave é projetar os formulários para serem o mais</p><p>"amigáveis" possível. Trabalhe com especialistas internos que</p><p>estejam familiarizados com as melhores técnicas para projetar</p><p>esses instrumentos de avaliação ou busque a assistência de</p><p>especialistas externos.</p><p>183</p><p>FONTE: Adaptado de Wilson e Hash (2003)</p><p>Grupos focais</p><p>Reúna os participantes do treinamento em fóruns abertos</p><p>para discutir suas perspectivas sobre a eficácia do programa</p><p>de treinamento em segurança de TI e solicitar suas ideias para</p><p>aprimoramento.</p><p>Entrevista</p><p>seletiva</p><p>Essa abordagem primeiro identifica os grupos-alvo do treinamento</p><p>com base no impacto, prioridade ou outros critérios estabelecidos</p><p>e identifica áreas específicas para feedback. Normalmente</p><p>conduzida usando entrevistas individuais ou em pequenos grupos</p><p>homogêneos (geralmente dez ou menos), essa abordagem é mais</p><p>personalizada e privada do que a abordagem do grupo focal e</p><p>pode incentivar os participantes a serem mais em sua crítica ao</p><p>programa.</p><p>Observação</p><p>(análise</p><p>independente)</p><p>Outra abordagem para solicitar feedback é incorporar uma revisão</p><p>do programa de conscientização e treinamento em segurança de</p><p>TI como uma tarefa a um contratado externo ou a terceiros como</p><p>parte de uma auditoria iniciada pela organização. A organização</p><p>faz isto além da atividade normal de supervisão para obter uma</p><p>opinião imparcial sobre a eficácia do programa.</p><p>Relatórios</p><p>formais de</p><p>status</p><p>Uma boa maneira de manter o foco na conscientização de</p><p>segurança e nos requisitos de treinamento em toda a organização</p><p>é implementar um requisito para relatórios regulares de status</p><p>pelos gerentes funcionais.</p><p>Benchmarking</p><p>do Programa</p><p>de Segurança</p><p>(Visão Externa)</p><p>Muitas organizações incorporam o benchmarking do “Programa de</p><p>Segurança” como parte de sua estratégia de melhoria contínua e busca</p><p>pela excelência. Esse tipo de benchmarking está focado na pergunta:</p><p>como faço para classificar meus colegas? A forma de benchmarking</p><p>de segurança com foco externo compara o desempenho de uma</p><p>organização com várias outras organizações e fornece um relatório</p><p>à organização sobre onde elas caem com base nas linhas de base</p><p>observadas em todas as organizações com os dados disponíveis</p><p>no momento. Um componente desse tipo de benchmarking deve</p><p>incluir conscientização e treinamento sobre segurança. Esse tipo</p><p>de benchmarking é normalmente realizado por especialistas em</p><p>técnicas de benchmarking que possuem informações (dados)</p><p>abrangentes em uma ampla gama de organizações por uma duração</p><p>bastante longa (cinco anos ou mais).</p><p>184</p><p>5.3 GERENCIANDO MUDANÇAS</p><p>Será necessário garantir que o programa, conforme estruturado, continue</p><p>sendo atualizado à medida que novas tecnologias e problemas de segurança associados</p><p>surgirem. As necessidades de treinamento mudarão à medida que novas habilidades e</p><p>capacidades forem necessárias para responder a essas novas mudanças arquiteturais e</p><p>tecnológicas. Uma mudança na missão e/ou nos objetivos organizacionais também pode</p><p>influenciar ideias sobre a melhor forma de projetar locais e conteúdo de treinamento.</p><p>Questões emergentes, como a defesa da pátria, também afetarão a natureza e</p><p>extensão das atividades de conscientização de segurança necessárias para manter os</p><p>usuários informados (instruídos) sobre as mais recentes explorações e contramedidas.</p><p>Novas leis e decisões judiciais também podem afetar a política organização que, por sua</p><p>vez, pode afetar o desenvolvimento e/ou implementação de material de conscientização</p><p>e treinamento. Por fim, à medida que as diretrizes de segurança mudam ou são</p><p>atualizadas, o material de conscientização e treinamento deve refletir essas mudanças.</p><p>O gerenciamento da mudança é o componente do programa projetado para</p><p>garantir que as implantações de treinamento, conscientização e educação</p><p>não fiquem estagnadas e, portanto, irrelevantes para os problemas reais</p><p>emergentes enfrentados pela organização. Ele também foi projetado para</p><p>lidar com mudanças em política e procedimentos de segurança refletidos na</p><p>cultura da organização.</p><p>DICAS</p><p>5.4 MELHORIA CONTÍNUA (ELEVANDO O PADRÃO</p><p>ESTABELECIDO)</p><p>Esta etapa do programa está focada na criação de um nível de conscientização</p><p>e excelência em segurança que alcance uma presença generalizada de segurança na</p><p>organização. Os processos que proporcionam conscientização,</p><p>treinamento e educação</p><p>à força de trabalho devem ser totalmente integrados à estratégia geral de negócios.</p><p>Um programa maduro de conscientização e treinamento em segurança define</p><p>um conjunto de métricas para essa área. Assim, é necessário que sistemas automatizados</p><p>devem estar em vigor para apoiar a captura de dados quantitativos e para entrega de</p><p>informações de gerenciamento a partes responsáveis em um ciclo regular e predefinido.</p><p>185</p><p>Os procedimentos de monitoramento, acompanhamento e correção são bem</p><p>definidos e contínuos. Por fim, nesse estágio, as organizações costumam incorporar ao</p><p>seu programa de conscientização mecanismos formais da melhoria contínua em áreas</p><p>de avanço tecnológico, boas práticas e oportunidades de benchmarking.</p><p>5.5 INDICADORES DE SUCESSO</p><p>Os diretores de informática, colaboradores e gerentes do programa de</p><p>segurança de TI devem ser os principais defensores da melhoria contínua e do apoio ao</p><p>programa de conscientização, treinamento e educação de segurança da organização.</p><p>É fundamental que todos estejam aptos e dispostos a desempenhar suas funções de</p><p>segurança atribuídas na organização. Em segurança, a frase "Apenas tão forte quanto</p><p>o elo mais fraco" é verdadeira. Proteger as informações e a infraestrutura de uma</p><p>organização é um esforço de equipe. Alguns indicadores-chave para avaliar o apoio e a</p><p>aceitação do programa são:</p><p>• Financiamento suficiente para implementar a estratégia acordada.</p><p>• Posicionamento organizacional adequado para permitir que pessoas com</p><p>responsabilidades importantes (diretor de informática, colaboradores do programa</p><p>e gerente do programa de segurança de TI) implementem efetivamente a estratégia.</p><p>• Suporte para ampla distribuição (por exemplo, Web, e-mail, TV) e postagem de itens</p><p>de reconhecimento de segurança.</p><p>• Mensagens de nível executivo e sênior para a equipe em relação à segurança. Por</p><p>exemplo, reuniões da equipe, transmissões para todos os usuários pelo chefe da</p><p>organização.</p><p>• O uso de métricas. Por exemplo, para indicar um declínio nos incidentes ou violações</p><p>de segurança, 22 indica que a diferença entre a conscientização existente e a</p><p>cobertura de treinamento e as necessidades identificadas está diminuindo, a</p><p>porcentagem de usuários expostos ao material de conscientização estão aumentando,</p><p>e a porcentagem de usuários com responsabilidades significativas de segurança</p><p>treinadas adequadamente está aumentando.</p><p>• Os gerentes não usam seu status na organização para evitar controles de segurança</p><p>que são consistentemente respeitados pela classificação e arquivo.</p><p>• Nível de participação em fóruns/instruções de segurança obrigatórios.</p><p>• Reconhecimento de contribuições de segurança. Por exemplo, prêmios, concursos.</p><p>• Motivação demonstrada por aqueles que desempenham papéis-chave no</p><p>gerenciamento/coordenação do programa de segurança (WILSON; HASH, 2003).</p><p>186</p><p>CARTILHA DE SEGURANÇA PARA INTERNET, VERSÃO 4.0</p><p>Equipe CERT.br</p><p>Contas e senhas</p><p>Uma conta de usuário, também chamada de “nome de usuário”, “nome de login” e</p><p>username, corresponde a identificação única de um usuário em um computador ou serviço.</p><p>Por meio das contas de usuário é possível que um mesmo computador ou serviço seja</p><p>compartilhado por diversas pessoas, pois permite, por exemplo, identificar unicamente cada</p><p>usuário, separar as configurações específica de cada um e controlar as permissões de acesso.</p><p>A sua conta de usuário é de conhecimento geral e é o que permite a sua</p><p>identificação. Ela é muitas vezes, derivada do seu próprio nome, mas pode ser qualquer</p><p>sequência de caracteres que permita que você seja identificado unicamente, como o</p><p>seu endereço de e-mail. Para garantir que ela seja usada apenas por você, e por mais</p><p>ninguém, é que existem os mecanismos de autenticação.</p><p>Existem três grupos básicos de mecanismos de autenticação, que se utilizam de:</p><p>(i) aquilo que você é (informações biométricas, como a sua impressão digital, a palma da</p><p>sua mão, a sua voz e o seu olho), (ii) aquilo que apenas você possui (como seu cartão de</p><p>senhas bancárias e um token gerador de senhas) e (iii) finalmente, aquilo que apenas você</p><p>sabe (como perguntas de segurança e suas senhas).</p><p>Uma senha, ou password, serve para autenticar uma conta, ou seja, e usada no</p><p>processo de verificação da sua identidade, assegurando que você é realmente quem diz ser</p><p>e que possui o direito de acessar o recurso em questão. E um dos principais mecanismos</p><p>de autenticação usados na Internet devido, principalmente, a simplicidade que possui.</p><p>Se uma outra pessoa souber a sua conta de usuário e tiver acesso à sua senha ela</p><p>poder a usá-las para se passar por você na Internet e realizar ações em seu nome, como:</p><p>• acessar a sua conta de correio eletrônico e ler seus e-mails, enviar mensagens de</p><p>spam e/ou contendo phishing e códigos maliciosos, furtar sua lista de contatos e</p><p>pedir o reenvio de senhas de outras contas para este endereço de e-mail (e assim</p><p>conseguir acesso a elas);</p><p>• acessar o seu computador e obter informações sensíveis nele armazenadas, como</p><p>senhas e números de cartões de crédito;</p><p>• utilizar o seu computador para esconder a real identidade desta pessoa (o invasor)</p><p>e, então, desferir ataques contra computadores de terceiros;</p><p>• acessar sites e alterar as configurações feitas por você e, de forma a tornar públicas</p><p>informações que deveriam ser privadas;</p><p>LEITURA</p><p>COMPLEMENTAR</p><p>187</p><p>• acessar a sua rede social e usar a confiança que as pessoas da sua rede de</p><p>relacionamento depositam em você para obter informações sensíveis ou para o</p><p>envio de boatos, mensagens de spam e/ou códigos maliciosos.</p><p>Uso seguro de contas e senhas</p><p>Algumas das formas como a sua senha pode ser descoberta são:</p><p>• ao ser usada em computadores infectados. Muitos códigos maliciosos, ao infectar</p><p>um computador, armazenam as teclas digitadas (inclusive senhas), espionam o</p><p>teclado pelo Webcam (caso você possua uma e ela esteja apontada para o teclado)</p><p>e gravam a posição da tela na qual o mouse foi clicado;</p><p>• ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que</p><p>está no site verdadeiro, um atacante pode armazená-la e, posteriormente, usá-la</p><p>para acessar o site verdadeiro e realizar operações em seu nome;</p><p>• por meio de tentativas de adivinhação;</p><p>• ao ser capturada enquanto trafega na rede, sem estar criptografada;</p><p>• por meio do acesso ao arquivo na qual a senha foi armazenada caso ela não tenha</p><p>sido gravada de forma criptografada;</p><p>• com o uso de técnicas de engenharia social, como forma a persuadi-lo a entregá-la</p><p>voluntariamente;</p><p>• pela observação da movimentação dos seus dedos no teclado ou dos cliques do</p><p>mouse em teclados virtuais.</p><p>Cuidados a serem tomados ao usar suas contas e senhas:</p><p>• certifique-se de não ser observado ao digitar as suas senhas;</p><p>• não forneça as suas senhas para outra pessoa, em hipótese alguma;</p><p>• certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de</p><p>senhas. Use a opção de sair (logout), pois isto evita que suas informações sejam</p><p>mantidas no navegador;</p><p>• elabore boas senhas;</p><p>• altere as suas senhas sempre que julgar necessário;</p><p>• não use a mesma senha para todos os serviços que acessa;</p><p>• ao usar perguntas de segurança para facilitar a recuperação de senhas, evite</p><p>escolher questões cujas respostas possam ser facilmente adivinhadas;</p><p>• certifique-se de utilizar serviços criptografados quando o acesso a um site envolver</p><p>o fornecimento de senha;</p><p>• procure manter sua privacidade, reduzindo a quantidade de informações que</p><p>possam ser coletadas sobre você, pois elas podem ser usadas para adivinhar a sua</p><p>senha, caso você e não tenha sido cuidadoso ao elaborá-la;</p><p>• mantenha a segurança do seu computador;</p><p>• seja cuidadoso ao usar a sua senha em computadores potencialmente infectados</p><p>ou comprometidos. Procure, sempre que possível, utilizar opções de navegação</p><p>anônima.</p><p>188</p><p>Elaboração de senhas</p><p>Uma senha boa, bem elaborada, e aquela que é difícil de ser descoberta (forte)</p><p>e fácil de ser lembrada. Não</p><p>convém que você é crie uma senha forte se, quando for</p><p>usá-la não conseguir recordá-la. Também não convém em que você crie uma senha</p><p>fácil de ser lembrada se ela puder ser facilmente descoberta por um atacante. Alguns</p><p>elementos que você não deve usar na elaboração de suas senhas são:</p><p>• Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usuário,</p><p>números de documentos, placas de carros, números de telefones e datas.</p><p>• Sequencias de teclado: evite senhas associadas a proximidade entre os caracteres</p><p>no teclado, como “1qaz2wsx” e “QwerTAsdfG”, pois são bastante conhecidas e</p><p>podem ser facilmente observadas ao serem digitadas.</p><p>• Palavras que façam parte de listas: evite palavras presentes em listas publicamente</p><p>conhecidas, como nomes de músicas, times de futebol, personagens de filmes,</p><p>dicionários de diferentes idiomas etc. Existem programas que tentam descobrir</p><p>senhas combinando e testando estas palavras e que, portanto, não devem ser usadas.</p><p>Alguns elementos que você deve usar na elaboração de suas senhas são:</p><p>• Números aleatórios: quanto mais ao acaso forem os números usados melhor,</p><p>principalmente em sistemas que aceitem exclusivamente caracteres numéricos.</p><p>• Grande quantidade de caracteres: quanto mais longa for a senha mais difícil</p><p>será descobri-la. Apesar de senhas longas parecerem, a princípio, difíceis de serem</p><p>digitadas, com o uso frequente elas acabam sendo digitadas facilmente.</p><p>• Diferentes tipos de caracteres: quanto mais “bagunçada” for a senha mais difícil</p><p>será descobri-la. Procure misturar caracteres, como números, sinais de pontuação e</p><p>letras maiúsculas e minúsculas. O uso de sinais de pontuação pode dificultar bastante</p><p>que a senha seja descoberta, sem necessariamente torná-la difícil de ser lembrada.</p><p>Algumas dicas práticas que você pode usar na elaboração de boas senhas são:</p><p>• Selecione caracteres de uma frase: baseie-se em uma frase e selecione a</p><p>primeira, a segunda ou a última letra de cada palavra. Exemplo: com a frase “O Cravo</p><p>brigou com a Rosa debaixo de uma sacada” você pode gerar a senha “?OCbcaRddus”</p><p>(o sinal de interrogação foi colocado no início para acrescentar um símbolo a senha).</p><p>• Utilize uma frase longa: escolha uma frase longa, que faça sentido para você,</p><p>que seja fácil de ser memorizada e que, se possível, tenha diferentes tipos de</p><p>caracteres. Evite citações comuns (como ditados populares) e frases que possam</p><p>ser diretamente ligadas a você (como o refrão de sua música preferida). Exemplo:</p><p>se quando criança você sonhava em ser astronauta, pode usar como senha “1 dia</p><p>ainda verei os anéis de Saturno!!!”.</p><p>• Faça substituições de caracteres: invente um padrão de substituição baseado,</p><p>por exemplo, na semelhança visual (“w” e “vv”) ou de fonética (“ca” e “k”) entre os</p><p>caracteres. Crie o seu próprio padrão pois algumas trocas são bastante óbvias.</p><p>189</p><p>Existem serviços que permitem que você teste a complexidade de uma senha</p><p>e que, de acordo com critérios, podem classificá-la como sendo, por exemplo, “muito</p><p>fraca”, “fraca”, “forte” ou “muito forte”. Ao usar estes serviços e importante ter em mente</p><p>que, mesmo que uma senha tenha sido classificada como “muito forte”, pode ser que ela</p><p>não seja uma boa senha caso contenha dados pessoais que não são de conhecimento</p><p>do serviço, mas que podem ser de conhecimento de um atacante. Apenas você é capaz</p><p>de definir se a senha elaborada é realmente boa!</p><p>Alteração de senhas</p><p>Você deve alterar a sua senha imediatamente sempre que desconfiar que ela pode</p><p>ter sido descoberta ou que o computador no qual você a utilizou pode ter sido invadido ou</p><p>infectado. Algumas situações nas quais você deve alterar rapidamente a sua senha são:</p><p>• se um computador na qual a senha esteja armazenada tenha sido furtado ou</p><p>perdido;</p><p>• se usar um padrão para a formação de senhas e desconfiar que uma delas tenha</p><p>sido descoberta. Neste caso, tanto o padrão como todas as senhas elaboradas com</p><p>ele devem ser trocadas pois, com base na senha descoberta, um atacante pode</p><p>conseguir inferir as demais;</p><p>• se utilizar uma mesma senha em mais de um lugar e desconfiar que ela tenha sido</p><p>descoberta em algum deles. Neste caso, esta senha deve ser alterada em todos os</p><p>lugares nos quais e usada;</p><p>• ao adquirir equipamentos acessíveis via rede, como roteadores Wi-Fi, dispositivos</p><p>bluetooth e modems Asymmetric Digital Subscriber Line (ADSL). Muitos destes</p><p>equipamentos são configurados de fábrica com senha padrão, facilmente obtida</p><p>em listas na Internet, e por isto, sempre que possível, deve ser alterada.</p><p>Nos demais casos e importante que a sua senha seja alterada regularmente,</p><p>como forma de assegurar a confidencialidade. Não há como definir, entretanto, um</p><p>período ideal para que a troca seja feita, pois depende diretamente de quão boa ela é</p><p>e de quanto você a expõe (você a usa em computadores de terceiros? Você a usa para</p><p>acessar outros sites? Elas mantêm seu computador atualizado?).</p><p>Não convêm que você troque a senha em períodos muito curtos (menos de um</p><p>mês, por exemplo) se, para conseguir se recordar, precisara elaborar uma senha fraca</p><p>ou anotá-la em um papel e colocá-lo no monitor do seu computador. Períodos muito</p><p>longos (mais de um ano, por exemplo) também não são desejáveis pois, caso ela tenha</p><p>sido descoberta, os danos causados podem ser muito grandes.</p><p>190</p><p>Gerenciamento de contas e senhas</p><p>Você já pensou em quantas contas e senhas diferentes precisa memorizar</p><p>e combinar para acessar todos os serviços que utiliza e que exigem autenticação?</p><p>Atualmente, confiar apenas na memorização pode ser algo bastante arriscado.</p><p>Para resolver este problema muitos usuários acabam usando técnicas que podem ser</p><p>bastante perigosas e que, sempre que possível, devem ser evitadas. Algumas destas técnicas</p><p>e os cuidados que você deve tomar caso, mesmo ciente dos riscos, opte por usá-las são:</p><p>Reutilizar as senhas: usar a mesma senha para acessar diferentes contas</p><p>pode ser bastante arriscado, pois basta ao atacante conseguir a senha de uma conta</p><p>para conseguir acessar as demais contas quais esta mesma senha foi usada.</p><p>• procure não usar a mesma senha para assuntos pessoais e profissionais;</p><p>• jamais reutilize senhas que envolvam o acesso a dados sensíveis, como as usadas</p><p>em Internet Banking ou e-mail.</p><p>Usar opções como “lembre-se de mim” e “continuar conectado”: o uso</p><p>destas opções faz com que informações da sua conta de usuário sejam salvas em</p><p>cookies que podem ser indevidamente coletados e permitam que outras pessoas se</p><p>autentiquem como você.</p><p>• use estas opções somente nos sites nos quais o risco envolvido e bastante baixo;</p><p>• jamais as utilize em computadores de terceiros.</p><p>Salvar as senhas no navegador Web: esta prática é bastante arriscada, pois</p><p>caso as senhas não estejam criptografadas com uma chave mestra, elas podem ser</p><p>acessadas por códigos maliciosos, atacantes ou outras pessoas que venham a ter</p><p>acesso ao computador.</p><p>• assegure-se de configurar uma chave mestra;</p><p>• seja bastante cuidadoso ao elaborar sua chave mestra, pois a segurança das demais</p><p>senhas depende diretamente da segurança dela;</p><p>• não esqueça sua chave mestra.</p><p>Para não ter que recorrer a estas técnicas ou correr o risco de esquecer suas</p><p>contas/senhas ou, pior ainda, ter que apelar para o uso de senhas fracas, você pode</p><p>buscar o auxílio de algumas das formas de gerenciamento disponíveis.</p><p>Uma forma bastante simples de gerenciamento e listar suas contas/senhas em</p><p>um papel e guardá-lo em um local seguro (como uma gaveta trancada). Neste caso,</p><p>a segurança depende diretamente da dificuldade de acesso ao local escolhido para</p><p>guardar este papel (de nada adianta colá-lo no monitor, deixá-lo embaixo do teclado</p><p>ou sobre a mesa). Veja que é preferível usar este método a optar pelo uso de senhas</p><p>191</p><p>fracas pois, geralmente, é mais fácil garantir que ninguém terá acesso físico ao local</p><p>em que o papel está guardado do que evitar que uma senha fraca seja descoberta na</p><p>Internet. Caso você considere este método pouco prático,</p><p>da segurança da</p><p>informação é a correta identificação, controle e constante atualização</p><p>dos diferentes tipos de ativos (inventário). Com a finalidade de</p><p>alcançar uma correta proteção, torna-se importante conhecer o que</p><p>seria a Gestão de Ativos.</p><p>Como princípio básico, é recomendado que todo ativo seja</p><p>identificado e documentado pela organização. A cada um deles deve-</p><p>se estabelecer um proprietário responsável cujo qual lidará com a</p><p>manutenção dos controles. Controles estes que podem ser delegados</p><p>a outros profissionais, porém, sempre sob a responsabilidade do</p><p>proprietário.</p><p>9</p><p>Para que os ativos da informação sejam utilizados com segurança e estejam</p><p>seguros é necessário que os colaboradores estejam cientes da importância de algum</p><p>dos ativos da organização, assim como saberem do impacto causado caso o ativo</p><p>da organização não seja protegido. Desta forma, é necessário que a informação seja</p><p>classificada. Assunto que trataremos no item seguinte deste tópico.</p><p>Classificação da Informação é o processo para definir a sensibilidade</p><p>da informação e quem tem acesso a essa informação, permitindo</p><p>assim definir níveis e critérios de acesso que garantam a segurança da</p><p>informação. Vide ABNT NBR 16167:2013 – Segurança da Informação</p><p>– Diretrizes para classificação, rotulação e tratamento da informação.,</p><p>que para proteger corretamente as informações, é necessário que</p><p>exista uma forma de avaliar a importância das informações e de saber</p><p>quais pessoas podem ter acesso ao seu conteúdo.</p><p>FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da seguran-</p><p>ça da informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de</p><p>Ensino e Pesquisa – RNP/ESR, 2014</p><p>IMPORTANTE</p><p>2.2 VULNERABILIDADES DA INFORMAÇÃO</p><p>A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo.</p><p>Portanto, podemos entender a vulnerabilidade como uma fragilidade. “Trata-se de um</p><p>erro no procedimento (no caso de sistemas), falha de um agente ou má configuração</p><p>dos aplicativos de segurança, de maneira não proposital ou proposital, gerando assim,</p><p>uma informação não confiável” (TORRES, 2015, p. 13). Coelho, Araújo e Bezerra (2014, p.</p><p>3) ainda colocam que:</p><p>[...] qualquer fraqueza que possa ser explorada e comprometer</p><p>a segurança de sistemas ou informações. Fragilidade de um</p><p>ativo ou grupo de ativos que pode ser explorada por uma ou mais</p><p>ameaças. Vulnerabilidades são falhas que permitem o surgimento</p><p>de deficiências na segurança geral do computador ou da rede.</p><p>Configurações incorretas no computador ou na segurança também</p><p>permitem a criação de vulnerabilidades.</p><p>A partir dessa falha, as ameaças exploram as vulnerabilidades, que,</p><p>quando concretizadas, resultam em danos para o computador, para</p><p>a organização ou para os dados pessoais.</p><p>Assim, caso isso aconteça, os princípios da segurança da informação são</p><p>rompidos. Desta forma, Coelho, Araújo e Bezerra (2014) colocam que é necessário</p><p>identificar as vulnerabilidades existentes, como as apresentadas no QUADRO 2.</p><p>10</p><p>QUADRO 2 – EXEMPLOS DE VULNERABILIDADE</p><p>VULNERABILIDADE DESCRIÇÃO</p><p>Físicas</p><p>Instalações prediais fora do padrão; salas de departamento</p><p>de tecnologia mal planejadas; falta de extintores, detectores</p><p>de fumaça e de outros recursos para combate a incêndio em</p><p>sala com armários e fichários estratégicos; risco de explosões,</p><p>vazamento ou incêndio (SÊMOLA, 2003).</p><p>Naturais</p><p>Computadores são suscetíveis a desastres naturais, como</p><p>incêndios, enchentes, terremotos, tempestades, e outros,</p><p>como falta de energia, acúmulo de poeira, aumento umidade</p><p>e de temperatura etc. De acordo com Dantas (2011, p. 26),</p><p>“Organizações situadas nessas áreas vulneráveis devem manter</p><p>um excelente gerenciamento de continuidade de negócios,</p><p>uma vez que esses eventos independem de previsibilidade e da</p><p>vontade humana.”.</p><p>Hardware</p><p>Dantas (2011, p. 27) coloca que “Caracterizam-se como</p><p>vulnerabilidade de hardware os possíveis defeitos de fabricação</p><p>ou configuração dos equipamentos que podem permitir o ataque</p><p>ou a alteração [...]” deles. Sêmola (2003) exemplifica com: falha</p><p>nos recursos tecnológicos como desgaste, obsolescência, má</p><p>utilização ou erros durante a instalação.</p><p>Software</p><p>“As vulnerabilidades de softwares são constituídas por todos</p><p>os aplicativos que possuem pontos fracos que permitem</p><p>acessos indevidos aos sistemas de computador, inclusive</p><p>sem o conhecimento de um usuário ou administrador de rede”</p><p>(DANTAS, 2011, p. 27). Para Sêmola (2003), erros na instalação ou</p><p>na configuração podem acarretar acessos indevidos, vazamento</p><p>de informações, perda de dados ou indisponibilidade do recurso</p><p>quando necessário.</p><p>Meios de</p><p>armazenamento</p><p>“Os meios de armazenamento são todos os suportes físicos</p><p>ou magnéticos utilizados para armazenar as informações, tais</p><p>como: disquetes; CD ROM; fita magnética; discos rígidos dos</p><p>servidores e dos bancos de dados; tudo o que está registrado em</p><p>papel” (DANTAS, 2011, 28). Discos, fitas, relatórios e impressos</p><p>podem ser perdidos ou danificados. A radiação eletromagnética</p><p>pode afetar diversos tipos de mídias magnéticas. De acordo</p><p>com Dantas (2011, p. 28), “As suas vulnerabilidades advêm de</p><p>prazo de validade e expiração, defeito de fabricação, utilização</p><p>incorreta, local de armazenamento em áreas insalubres ou com</p><p>alto nível de umidade, magnetismo ou estática, mofo etc.”</p><p>11</p><p>Comunicação</p><p>“Nas comunicações, as vulnerabilidades incluem todos os</p><p>pontos fracos que abrangem o tráfego das informações, por</p><p>qualquer meio (cabo, satélite, fibra óptica, ondas de rádio,</p><p>telefone, internet, wap, fax etc.)” (DANTAS, 2011, p. 29). Os</p><p>principais aspectos se relacionam com a qualidade do ambiente</p><p>que foi preparado para o tráfego, tratamento, armazenamento e</p><p>leitura das informações. Outro ponto se refere à inexistência de</p><p>sistemas de criptografia nas comunicações; a escolha errônea</p><p>dos sistemas de comunicações que são utilizados para enviar</p><p>mensagens; as conexões a redes múltiplas; os protocolos</p><p>de rede não criptografados; os protocolos desnecessários</p><p>permitidos; a falta de filtragem entre os segmentos da rede;</p><p>acessos não autorizados ou perda de comunicação (DANTAS,</p><p>2011, SÊMOLA, 2003).</p><p>Humanas</p><p>“As vulnerabilidades humanas constituem a maior preocupação</p><p>dos especialistas, já que o desconhecimento de medidas de</p><p>segurança é a sua maior vulnerabilidade” (DANTAS, 2011, p.</p><p>28). Falta de treinamento, compartilhamento de informações</p><p>confidenciais, não execução de rotinas de segurança, erros</p><p>ou omissões; ameaça de bomba, sabotagens, distúrbios civis,</p><p>greves, vandalismo, roubo, destruição da propriedade ou dados,</p><p>invasões ou guerras são exemplos de vulnerabilidade humana.</p><p>Dantas (2011, p. 28) complementa que “Sua origem pode ser:</p><p>falta de capacitação específica para a execução das atividades</p><p>inerentes às funções de cada um; falta de consciência de</p><p>segurança diante das atividades de rotina; erros; omissões;</p><p>descontentamento; desleixo na elaboração e segredo de</p><p>senhas no ambiente de trabalho; não utilização de criptografia</p><p>na comunicação de informações de elevada criticidade, quando</p><p>possuídas na empresa”.</p><p>FONTE: A autora</p><p>2.3 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO</p><p>Primeiramente, entendemos o conceito de segurança da informação e que</p><p>ela está baseada nos pilares da confidencialidade, integridade e disponibilidade, bem</p><p>como em outras propriedades que possibilitam que os ativos da informação sejam</p><p>resguardados conforme a sensibilidade e criticidade para o negócio. Mas, contra quem</p><p>deve ser protegido? Das ameaças!</p><p>12</p><p>“Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades,</p><p>podem provocar danos e perdas” (DANTAS, 2011, p. 30).</p><p>ATENÇÃO</p><p>Coelho, Araújo e Bezerra (2014, p. 3) colocam que ameaça é “[...] qualquer evento</p><p>que explore vulnerabilidades. Causa potencial de um incidente indesejado, que pode</p><p>resultar em dano para um sistema ou organização”. Essas ameaças podem ser tanto</p><p>propositais, causadas por uma pessoa, podendo trazer consequências ao sistema, ao</p><p>ambiente ou mesmo no ativo</p><p>pode optar por outras formas</p><p>de gerenciamento como as apresentadas a seguir, juntamente com alguns cuidados</p><p>básicos que você e deve ter ao usá-las:</p><p>Criar grupos de senhas, de acordo com o risco envolvido: você pode criar</p><p>senhas únicas e bastante fortes e usá-las em lugares em que haja recursos valiosos</p><p>envolvidos (por exemplo, para acesso à Internet Banking ou e-mail). Outras senhas</p><p>únicas, porém um pouco mais simples, para casos nos quais o valor do recurso protegido</p><p>e inferior (por exemplo, sites de comercio eletrônico desde que suas informações de</p><p>pagamento, como números de cartão de crédito, não sejam armazenadas para uso</p><p>posterior) e outras simples e reutilizadas para acessos sem risco (como o cadastro para</p><p>baixar um determinado arquivo).</p><p>• reutilize senhas apenas em casos nos quais o risco envolvido e bastante baixo.</p><p>Usar um programa gerenciador de contas/senhas: programas, como</p><p>1Password3 e KeePass4, permitem armazenar grandes quantidades de contas/senhas</p><p>em um único arquivo, acessível por meio de uma chave mestra.</p><p>• seja bastante cuidadoso ao elaborar sua chave mestra, pois a segurança das demais</p><p>senhas depende diretamente da segurança dela;</p><p>• não esqueça sua chave mestra (sem ela, não há como você acessar os arquivos que</p><p>foram criptografados, ou seja, todas as suas contas/senhas podem ser perdidas);</p><p>• assegure-se de obter o programa gerenciador de senhas de uma fonte confiável e</p><p>de sempre mantê-lo atualizado;</p><p>• evite depender do programa gerenciador de senhas para acessar a conta do e-mail</p><p>de recuperação.</p><p>Gravar em um arquivo criptografado: você pode manter um arquivo</p><p>criptografado em seu computador e utilizá-lo para cadastrar manualmente todas as</p><p>suas contas e senhas.</p><p>• assegure-se de manter o arquivo sempre criptografado;</p><p>• assegure-se de manter o arquivo atualizado (sempre que alterar uma senha que</p><p>esteja cadastrada no arquivo, você deve lembrar de atualizá-lo);</p><p>• faça backup do arquivo de senhas, para evitar perdê-lo caso haja problemas em seu</p><p>computador.</p><p>Recuperação de senhas</p><p>Mesmo que você tenha tomado cuidados para elaborar a sua senha e utilizado</p><p>mecanismos de gerenciamento, podem ocorrer casos, por inúmeros motivos, de você per-</p><p>dê-la. Para restabelecer o acesso perdido, alguns sistemas disponibilizam recursos como:</p><p>192</p><p>• permitir que você responda a uma pergunta de segurança previamente determinada</p><p>por você;</p><p>• enviar a senha, atual ou uma nova, para o e-mail de recuperação previamente</p><p>definido por você;</p><p>• confirmar suas informações cadastrais, como data de aniversário, país de origem,</p><p>nome da mãe, números de documentos etc.;</p><p>• apresentar uma dica de segurança previamente cadastrada por você;</p><p>• enviar por mensagem de texto para um número de celular previamente cadastrado</p><p>por você.</p><p>Todos estes recursos podem ser muito uteis, desde que cuidadosamente</p><p>utilizados, pois assim como podem permitir que você recupere um acesso, também</p><p>podem ser usados por atacantes que queiram se apossar da sua conta. Alguns cuidados</p><p>que você deve tomar ao usá-los são:</p><p>• cadastre uma dica de segurança que seja vaga o suficiente para que ninguém mais</p><p>consiga descobri-la e clara o bastante para que você consiga entendê-la. Exemplo:</p><p>se sua senha for “SS0l, asstrr0-rrei d0 SSisstema SS0larr”, pode cadastrar a dica “Uma</p><p>das notas musicais”, o que o fara se lembrar da palavra “Sol” e se recordar da senha;</p><p>• seja cuidadoso com as informações que você disponibiliza em blogs e redes sociais,</p><p>pois podem ser usadas por atacantes para tentar confirmar os seus dados cadastrais,</p><p>descobrir dicas e responder perguntas de segurança;</p><p>• evite cadastrar perguntas de segurança que possam ser facilmente descobertas,</p><p>como o nome do seu cachorro ou da sua mãe. Procure criar suas próprias perguntas</p><p>e, de preferência, com respostas falsas. Exemplo: caso você tenha medo de</p><p>altura, pode criar a pergunta “Qual seu esporte favorito?” e colocar como resposta</p><p>“paraquedismo” ou “alpinismo”;</p><p>• ao receber senhas por e-mail procure alterá-las o mais rápido possível. Muitos</p><p>sistemas enviam as senhas em texto claro, ou seja, sem nenhum tipo de criptografia</p><p>e elas podem ser obtidas caso alguém tenha acesso a sua conta de e-mail ou utilize</p><p>programas para interceptação de tráfego;</p><p>• procure cadastrar um e-mail de recuperação que você acesse regularmente, para</p><p>não esquecer a senha desta conta também;</p><p>• procure não depender de programas gerenciadores de senhas para acessar o e-mail</p><p>de recuperação (caso você esqueça a sua chave mestra ou, por algum outro motivo,</p><p>não tenha mais acesso as suas senhas, o acesso ao e-mail de recuperação pode ser</p><p>a única forma de restabelecer os acessos perdidos);</p><p>• preste muita atenção ao cadastrar o e-mail de recuperação para não digitar um endereço</p><p>que seja invalido ou pertencente a outra pessoa. Para evitar isto, muitos sites enviam</p><p>uma mensagem de confirmação assim que o cadastro é realizado. Tenha certeza de</p><p>recebê-la e de que as eventuais instruções de verificação tenham sido executadas.</p><p>FONTE: CERT.br. Cartilha de segurança para Internet, versão 4.0. São Paulo: Comitê Gestor da In-</p><p>ternet no Brasil, 2012, p. 59-66. Disponível em: https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf.</p><p>Acesso em: 5 jun. 2020.</p><p>193</p><p>RESUMO DO TÓPICO 3</p><p>Neste tópico, você aprendeu:</p><p>• Existem quatro etapas críticas no ciclo de vida do plano em conscientização e</p><p>treinamento em segurança da informação: Projeto de conscientização e treinamento,</p><p>Desenvolvimento de materiais de conscientização e treinamento, Implementação</p><p>do programa e a Pós-implementação.</p><p>• Na etapa Projeto de conscientização e treinamento é realizada uma avaliação das</p><p>necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada.</p><p>• A etapa Desenvolvimento de materiais de conscientização e treinamento se concentra</p><p>nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de</p><p>material de treinamento, incluso solicitação de assistência do contratado nos casos</p><p>que se fizer necessário.</p><p>• A etapa Implementação do programa aborda tanto a comunicação eficaz quanto a</p><p>implementação do plano de conscientização e treinamento.</p><p>• A etapa Implementação do programa aborda as opções para a entrega de material de</p><p>conscientização e treinamento, baseado na Web, ensino a distância, vídeo, no local etc.</p><p>• A etapa Pós-implementação fornece orientação para manter o plano atualizado e méto-</p><p>dos de feedback eficazes são descritos em pesquisas, grupos focais, benchmarking etc.</p><p>• A postura de segurança de TI e a vigilância dentro de uma organização melhora</p><p>consideravelmente quando existe algum tipo de conscientização e treinamento em</p><p>segurança de TI.</p><p>• Os programas de conscientização e treinamento devem ser projetados com a</p><p>missão da organização em mente.</p><p>• É importante que o programa de conscientização e treinamento ofereça suporte</p><p>às necessidades de negócio da organização e seja relevante tanto para a cultura</p><p>quanto para a arquitetura de TI da organização.</p><p>• Os programas mais bem-sucedidos são aqueles que os usuários consideram</p><p>relevantes os assuntos e os problemas que são apresentados.</p><p>• A criação de um programa de conscientização e treinamento em segurança de TI res-</p><p>ponde à pergunta: Qual é o nosso plano para desenvolver e implementar oportunida-</p><p>des de conscientização e treinamento em conformidade com as diretivas existentes?</p><p>194</p><p>• Na etapa Projeto de conscientização e treinamento as necessidades de</p><p>conscientização e treinamento da organização precisam ser identificadas, para que</p><p>um plano eficaz seja desenvolvido.</p><p>• Um programa de conscientização e treinamento pode ser projetado, desenvolvido e</p><p>implementado de diferentes maneiras. Queremos destacar para você, que são três as</p><p>abordagens ou modelos comumente aceitos, sendo eles: Modelo 1: política, estratégia e</p><p>implementação centralizada; Modelo 2: política e estratégia centralizada, implementação</p><p>distribuída e o Modelo 3: política centralizada, estratégia distribuída e implementação.</p><p>da informação; ou podem ser acidentais (COELHO; ARAÚJO;</p><p>BEZERRA, 2014, DANTAS, 2011, SÊMOLA, 2003).</p><p>As ameaças acidentais dizem respeito aos desastres naturais, são falhas de</p><p>hardware, erros de programação etc. Já as ameaças propositais se referem às fraudes,</p><p>roubos, invasões etc., podendo ser do tipo ativa ou passiva. A ameaça ativa envolve alterar os</p><p>dados e a ameaça passiva diz respeito à invasão e/ou ao monitoramento, em que os dados</p><p>não são alterados (COELHO; ARAÚJO; BEZERRA, 2014, DANTAS, 2011, SÊMOLA, 2003).</p><p>As ameaças ainda podem ser classificadas quanto à intencionalidade,</p><p>podendo ser naturais, que são decorrentes de fenômenos da natureza; involuntária,</p><p>que basicamente ocorrem por não se ter conhecimento, ou seja, uma ameaça sem</p><p>consistência; e as voluntárias, que dizem respeito a ser causada de forma proposital ou</p><p>intencional por algum agente humano, como: espiões, invasores, hackers, incendiários,</p><p>bem como quem cria e dissemina os vírus de computador (COELHO; ARAÚJO; BEZERRA,</p><p>2014, SÊMOLA, 2003). Dantas (2011) traz as seguintes ameaças apresentadas nas</p><p>pesquisas de segurança da informação:</p><p>• Vírus, worm, cavalo de Troia ou também conhecido como trojan horse.</p><p>• Phishing, pharming e spyware.</p><p>• Adware; spam.</p><p>• Roubo de dados confidenciais da organização e de cliente, da propriedade da</p><p>informação e da propriedade intelectual.</p><p>• Acesso não autorizado à informação.</p><p>• Perda de dados de clientes.</p><p>• Roubo de laptop, portáteis e de hardware.</p><p>• Má conduta e acesso indevido à rede por colaboradores e gerentes, bem como</p><p>abuso de seus privilégios de acesso e utilização indevida da rede wireless.</p><p>• Ataque de negação de serviço, invasão de sistemas e da rede.</p><p>• Acesso e utilização indevida da internet e dos recursos dos sistemas de informação.</p><p>• Degradação da performance, destruição e/ou rede e Web site mal configurados.</p><p>• Software de má qualidade, mal desenvolvido e sem atualização.</p><p>13</p><p>• Fraude financeira e de telecomunicações.</p><p>• Interceptação de telecomunicação, seja de voz ou de dados, e espionagem.</p><p>• Sabotagem de dados e da rede.</p><p>• Desastres naturais.</p><p>• Cyber-terrorismo.</p><p>Destas ameaças, Dantas (2011) observa que é necessário prestarmos atenção</p><p>aos códigos maliciosos, destacando principalmente os vírus, por exemplo: cavalo de</p><p>troia, adware e spyware, backdoors, keyloggers, worms, bots e botnets e rootkits, que</p><p>estão descritos no Quadro 3 para que você possa fixar melhor esses conceitos e saber</p><p>a diferenciá-los.</p><p>QUADRO 3 – EXEMPLOS DE CÓDIGOS MALICIOSOS</p><p>CÓDIGO</p><p>MALICIOSO</p><p>DESCRIÇÃO</p><p>Vírus</p><p>É um programa ou parte de um programa de computador, o</p><p>qual se propaga por meio de cópias de si mesmo, infectando</p><p>outros programas e arquivos de computador. O vírus depende da</p><p>execução do programa ou do hospedeiro para ser ativado.</p><p>Cavalo de Troia</p><p>É um programa que executa funções maliciosas sem o</p><p>conhecimento do usuário. Normalmente, esse código é recebido</p><p>como um presente. São exemplos de cavalo de troia, cartão</p><p>virtual, prêmios, fotos, protetor de tela etc. O seu nome é oriundo</p><p>da mitologia grega.</p><p>Adware</p><p>É um tipo de software projetado para apresentar propagandas,</p><p>seja por meio de um navegador, seja com algum outro programa</p><p>instalado em um computador.</p><p>Keyloggers</p><p>São programas capazes de capturar e armazenar as teclas</p><p>digitadas pelo usuário no teclado de um computador.</p><p>Worm</p><p>É um programa capaz de se propagar de forma automática por</p><p>meio de redes, enviando cópias de si mesmo de computador para</p><p>computador. Difere do vírus por não embutir cópias de si mesmo</p><p>em outros programas ou arquivos.</p><p>Bot</p><p>É um programa capaz se propagar de maneira automática,</p><p>explorando vulnerabilidades existentes ou falhas na configuração</p><p>de softwares instalados em um computador. Geralmente, o bot se</p><p>conecta a um servidor de Internet Relay Chat (IRC) e entra em um</p><p>canal determinado, também conhecido como uma sala, esperando</p><p>as instruções do invasor, monitorando as mensagens que estão</p><p>sendo enviadas para esse canal. O invasor, ao se conectar ao mesmo</p><p>14</p><p>servidor de IRC e entrar no mesmo canal, envia mensagens</p><p>compostas por sequências especiais de caracteres, que</p><p>são interpretadas pelo bot. Tais sequências de caracteres</p><p>correspondem a instruções que devem ser executadas pelo bot,</p><p>Botnets</p><p>São as redes formadas por computadores infectados com bots.</p><p>Essas redes podem ser compostas por centenas ou milhares de</p><p>computadores. Um invasor que tenha controle sobre uma botnet</p><p>pode utilizá-la para aumentar a potência de seus ataques, por</p><p>exemplo: para enviar centenas de milhares de e-mails de phishing</p><p>ou spam; para desferir ataques de negação de serviço etc.</p><p>Roorkits</p><p>É um conjunto de programas que utiliza mecanismos para</p><p>esconder e assegurar a presença do invasor no computador</p><p>comprometido.</p><p>FONTE: Dantas (2011, p. 37-38).</p><p>Para saber mais sobre os golpes e os ataques na internet faça a leitura</p><p>complementar desta unidade.</p><p>O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão</p><p>contra as organizações, geralmente com a intenção de obter informações.</p><p>ESTUDOS FUTUROS</p><p>IMPORTANTE</p><p>15</p><p>FIGURA 2 - VÍRUS E MALWARE</p><p>FONTE: KASPERSKY LAB (2020, p. 1)</p><p>Você está familiarizado com o termo engenharia social? Abordaremos esse</p><p>tema no Tópico 2 desta unidade de estudo.</p><p>ESTUDOS FUTUROS</p><p>A Figura 2 traz os principais tipos de ataques causadas por estas ameaças aqui</p><p>expostas, referente a uma pesquisa de risco de segurança TI no ano de 2017. Pela referida</p><p>figura é possível perceber que até 49% das organizações em todo o mundo relataram</p><p>ter sido atacadas por vírus e Malware, um aumento de 11% em comparação com os</p><p>resultados do ano anterior desta pesquisa. Das organizações que sofreram incidentes</p><p>com vírus e Malware, pouco mais da metade (53%) deles considera os colaborados</p><p>descuidados/ desinformados e mais de um terço (36%), considera que o engenheiro</p><p>social/phishing contribuiu para a ameaça (KASPERSKY LAB, 2020).</p><p>2.4 ATAQUE À SEGURANÇA DA INFORMAÇÃO</p><p>Ataque é “[...] qualquer ação que comprometa a segurança de uma organização”</p><p>(COELHO; ARAÚJO; BEZERRA, 2014, p. 3). “O ataque é um ato deliberado de tentar se</p><p>desviar dos controles de segurança com o objetivo de explorar as vulnerabilidades”</p><p>(COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Segundo Coelho, Araújo e Bezerra (2014, p.</p><p>4) existem quatro modelos de ataque possíveis, que estão demonstrados no Quadro 4,</p><p>podendo ser do tipo passivo ou do tipo ativo, como exemplificado no Quadro 5.</p><p>16</p><p>QUADRO 4 – MODELOS DE ATAQUE</p><p>FONTE: A autora</p><p>FONTE: A autora</p><p>QUADRO 5 – TIPOS DE ATAQUE</p><p>MODELO DE</p><p>ATAQUE</p><p>DESCRIÇÃO</p><p>Interrupção</p><p>O modelo de ataque de interrupção ocorre “[...] quando um ativo é</p><p>destruído ou torna-se indisponível (ou inutilizável), caracterizando</p><p>um ataque contra a disponibilidade. Por exemplo, a destruição de</p><p>um disco rígido” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4).</p><p>Interceptação</p><p>O modelo de ataque de interceptação ocorre “[...] quando</p><p>um ativo é acessado por uma parte não autorizada (pessoa,</p><p>programa ou computador), caracterizando um ataque contra a</p><p>confidencialidade. Por exemplo, cópia não autorizada de arquivos</p><p>ou programas” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4).</p><p>Modificação</p><p>O modelo de ataque de modificação ocorre “[...] quando um ativo</p><p>é acessado por uma parte não autorizada (pessoa, programa ou</p><p>computador) e ainda alterado, caracterizando um ataque contra</p><p>a integridade. Por exemplo, mudar os valores em um arquivo de</p><p>dados” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4).</p><p>Fabricação</p><p>O modelo de ataque de fabricação ocorre “[...] quando uma parte</p><p>não autorizada (pessoa, programa ou computador) insere objetos</p><p>falsificados em um ativo, caracterizando um ataque contra a</p><p>autenticidade. Por exemplo, a adição de registros em um arquivo”</p><p>(COELHO; ARAÚJO; BEZERRA, 2014, p. 4).</p><p>ATAQUE DESCRIÇÃO</p><p>Passivo</p><p>O ataque passivo é baseado “[...] em escutas e monitoramento de</p><p>transmissões, com o intuito de obter informações que estão sendo</p><p>transmitidas. A escuta de uma conversa telefônica é um exemplo</p><p>dessa</p><p>categoria. Ataques dessa categoria são difíceis de detectar</p><p>porque não envolvem alterações de dados; todavia, são possíveis</p><p>de prevenir com a utilização de criptografia” (COELHO; ARAÚJO;</p><p>BEZERRA, 2014, p. 4).</p><p>Ativo</p><p>O ataque ativo envolve “[...] modificação de dados, criação de objetos</p><p>falsificados ou negação de serviço, e possuem propriedades opostas</p><p>às dos ataques passivos. São ataques de difícil prevenção, por causa</p><p>da necessidade de proteção completa de todas as facilidades de</p><p>comunicação e processamento, durante o tempo todo. Sendo assim,</p><p>é possível detectá-los e aplicar uma medida para recuperação de</p><p>prejuízos causados” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4).</p><p>17</p><p>FIGURA 3 - TIPOS DE ATAQUES RELATADOS NA PESQUISA DE RISCO DE SEGURANÇA DE TI</p><p>FONTE: KASPERSKY LAB (2020, p. 1)</p><p>FIGURA 4 - ATAQUES ATIVOS</p><p>FONTE: Kaspersky Lab (2020, p. 1)</p><p>A Figura 3 traz os tipos de ataques relatados em pesquisa de risco de segurança</p><p>de TI no ano de 2017 (dados globais), enquanto a Figura 4 demonstra que mais de um</p><p>em cada quatro (27%) negócios sofreu ataques ativos, um aumento de 6% quando</p><p>comparado ao ano anterior da pesquisa. Dessas organizações atacadas, mais de um</p><p>quarto (28%) acredita que a engenharia social/phishing contribuiu para o ataque</p><p>(KASPERSKY LAB, 2020).</p><p>2.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO</p><p>Incidente de segurança é um evento simples ou até uma série de eventos de</p><p>segurança da informação que não desejadas ou não apropriados, bem como possivelmente</p><p>comprometem as operações do negócio da organização, ameaçando a segurança da</p><p>18</p><p>informação. Desta forma, podemos dizer que um incidente de segurança é qualquer</p><p>evento fora do comum referente à segurança; “[...] por exemplo, ataques de negação</p><p>de serviços (Denial of Service – DoS), roubo de informações, vazamento e obtenção de</p><p>acesso não autorizado a informações” (COELHO; ARAÚJO; BEZERRA, 2014, p. 2).</p><p>A ABNT NBR ISO/IEC 27035:2011 fornece orientações quanto ao gerenciamento</p><p>de incidentes em segurança da informação. Resumidamente, o escopo da norma traz</p><p>as atividades de: (i) detectar, relatar e avaliar os incidentes de segurança da informação;</p><p>(ii) responder e gerenciar incidentes de segurança da informação; (iii) melhorar</p><p>continuamente a segurança da informação e o gerenciamento de incidentes.</p><p>Torres (2015, p. 17) ainda coloca que “[...] um incidente pode ou não trazer um</p><p>impacto, sendo este último mensurado pela consequência que esta causa ao ativo da</p><p>organização. Logo, um ativo de considerável valor implica em alto impacto e vice-versa”.</p><p>Portanto, é importante que é a gestão dos incidentes de segurança da informação</p><p>sejam devidamente tratados, pois a sua falta pode trazer danos consideráveis para o</p><p>negócio da organização.</p><p>A Figura 5 traz a pesquisa de risco de segurança de TI realizada mundialmente no</p><p>ano de 2017, na qual é possível perceber que colaboradores descuidados ou desinformados,</p><p>por exemplo, são a segunda causa mais provável de uma grave violação de segurança,</p><p>perdendo somente para Malware. Além disso, em 46% dos incidentes de segurança</p><p>cibernética no último ano, colaboradores descuidados/ uniformizados contribuíram para</p><p>o ataque (KASPERSKY LAB, 2020).</p><p>FIGURA 5 - PESQUISA DE RISCOS DE SEGURANÇA DE TI</p><p>FONTE: Kaspersky Lab (2020, p. 1)</p><p>19</p><p>FIGURA 6 - RELACIONAMENTO ENTRE CARACTERÍSTICAS DOS ATIVOS DA INFORMAÇÃO</p><p>FONTE: Torres (2015, p. 18)</p><p>O erro humano da equipe não é o único ataque realizado, pelo qual as organizações</p><p>estão sendo vítimas. No último ano, a equipe interna também causou problemas de segurança</p><p>por meio de ações maliciosas, com 30% dos eventos de segurança nos últimos 12 meses,</p><p>envolvendo pessoas trabalhando contra seus próprios colaboradores. Entre as organizações</p><p>que enfrentaram incidentes de segurança cibernética nos últimos 12 meses, uma em</p><p>cada dez (11%), os tipos mais graves de incidentes envolvem colaboradores descuidados</p><p>(KASPERSKY LAB, 2020).</p><p>2.6 IMPACTO E PROBABILIDADE</p><p>Impacto é a “[...] consequência avaliada de um evento em particular” (COELHO;</p><p>ARAÚJO; BEZERRA, 2014, p. 3) e a probabilidade “[...] é a possibilidade de uma falha de</p><p>segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativos”</p><p>(TORRES, 2015, p. 17). Desta forma, as probabilidades, as vulnerabilidades e as ameaças</p><p>se entrelaçam, ou seja, possuem uma forte ligação.</p><p>Resumidamente, podemos dizer que as probabilidades são provavelmente as</p><p>oportunidades de uma vulnerabilidade ser uma ameaça. A Figura 6 traz essas relações,</p><p>exemplificando de uma maneira gráfica as relações e os relacionamentos entre os</p><p>conceitos apresentados de ativos de informação, vulnerabilidades, agentes, ameaças,</p><p>ataques, incidentes de segurança e probabilidade e impacto.</p><p>20</p><p>3 CLASSIFICAÇÃO DA INFORMAÇÃO</p><p>Para que os colaboradores da organização possam ter um comportamento seguro</p><p>e devido da informação, é necessário que haja uma maneira de avaliar a importância da</p><p>informação, assim como quem pode ter acesso ao conteúdo dessas informações. Dessa</p><p>forma, a informação precisa ser classificada, visto que a classificação da informação</p><p>contribui para a manutenção dos princípios básicos da informação.</p><p>Segundo Dantas (2011, p. 15), ao classificar uma informação deve-se levar em</p><p>conta “[...] o seu valor, requisitos legais, sensibilidade e criticidade para a organização”.</p><p>Schneider (2015, p. 38) complementa que “O Governo Brasileiro atribui os níveis</p><p>Ultrassecreto, Secreto, Confidencial e Reservado, definido pelo Decreto nº 60.417, de 11 de</p><p>março de 1967, já as empresas privadas costumam atribuir outras nomenclaturas como</p><p>por exemplo: Restrita, Confidencial, Interna e Pública”. Outra classificação ainda utilizada</p><p>diz respeito à informação ser classificada como confidencial, restrita, interna e pública.</p><p>As classificações são afins pedagógicos, pois cada organização deve adaptar o</p><p>nível de sigilo da informação de acordo com a realidade de seu negócio e deve divulgar</p><p>amplamente, para que seus colaboradores saibam o significado de cada nível da</p><p>informação e como lidar com eles. Segundo Schneider (2015, p. 38), “Apesar de não ser</p><p>obrigatório, o mais encontrado são quatro níveis de privacidade aplicados, porém pode</p><p>ser utilizado mais ou menos níveis conforme a necessidade da organização”, como os aqui</p><p>colocados no Quadro 6 e, em seguida, colocamos o roteiro de Schneider (2015) baseado</p><p>na ABNT NBR ISO/IEC 27002: 2013, de como realizar a classificação da informação.</p><p>QUADRO 6 – CLASSIFICAÇÃO DA INFORMAÇÃO</p><p>CLASSIFICAÇÃO DESCRIÇÃO</p><p>Confidencial</p><p>A informação confidencial diz respeito a ela não ser divulgada sem</p><p>autorização, podendo causar impactos de imagem, em âmbitos fi-</p><p>nanceiros e/ou operacional, assim como sanções administrativas, cri-</p><p>minosas e civis. A informação confidencial está restrita a um determi-</p><p>nado grupo de pessoas. Portanto, é vital que as organizações tenham</p><p>um programa de conscientização em segurança para garantir que os</p><p>colaboradores estejam cientes da importância de proteger informa-</p><p>ções confidenciais, e o que devem fazer para lidar com informações</p><p>com segurança e os riscos de manipular informações incorretamente.</p><p>A compreensão dos colaboradores das consequências organizacio-</p><p>nais e pessoais do manuseio incorreto de informações confidenciais</p><p>é crucial para o sucesso de uma organização. Exemplos de possíveis</p><p>consequências podem incluir multas aplicadas à organização, danos</p><p>à reputação da organização e dos colaboradores e impacto no traba-</p><p>lho de um colaborador. É importante colocar em perspectiva o dano</p><p>organizacional em potencial para o pessoal, detalhando como esse</p><p>dano à organização pode afetar seus próprios papéis.</p><p>21</p><p>FONTE: A autora</p><p>Restrita</p><p>A informação é classificada como restrita por ser considerada</p><p>um ativo “[...] para a empresa, ou por se tratar de conhecimento</p><p>exclusivo, ou por normativos externos. O acesso a este conteúdo</p><p>por pessoas ou processos não autorizados, pode gerar perdas para</p><p>a organização. Entretanto, são necessárias para algumas</p><p>pessoas</p><p>ou setores dentro da organização realizarem seu trabalho. As</p><p>informações podem se manter como restritas por longos prazos,</p><p>devido a isso o planejamento do armazenamento deve prever todo</p><p>o período, o acesso, o transporte, e o descarte, também não podem</p><p>ser negligenciados” (SCHNEIDER, 2015, p. 38).</p><p>Interna</p><p>A informação interna é referente à organização não ter interesse</p><p>de divulgar a informação, contudo, ela é fundamental para as</p><p>pessoas internas da organização. Para Schneider (2015, p. 16),</p><p>“As informações internas, não devem extrapolar o ambiente</p><p>da organização, não representa ameaça significativa, mas o</p><p>vazamento deve ser evitado. São enquadradas neste nível de sigilo</p><p>as informações que qualquer membro da organização ou que</p><p>esteja prestando um serviço para ela pode ter acesso para realizar</p><p>suas atividades, este é considerado o menor grau de restrição ao</p><p>acesso aos dados, porém ainda são informações que teve ter sua</p><p>consulta identificada e autorizada, além de todos os demais ciclos</p><p>da vida da informação observados”.</p><p>Pública</p><p>A informação pública possui tanto uma linguagem quanto um</p><p>formato feito à divulgação do público em geral. Essa informação</p><p>tem um caráter informativo, promocional ou comercial. “Pública são</p><p>todas as demais informações que no geral já são de conhecimento</p><p>geral, interno e externo, que não apresente nenhum risco para a</p><p>organização e seus intervenientes, estas informações podem ser</p><p>divulgadas, sendo que a organização pode ter como objetivo a</p><p>divulgação, e obter o alcance de um grande número de pessoas ou</p><p>processos ciente da informação” (SCHNEIDER, 2015, p. 38).</p><p>3.1 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISO/IEC</p><p>27002:2013)</p><p>1. Nomear e identificar a informação a ser classificada.</p><p>2. Identificar os controles associados a informação.</p><p>3. Identificar os proprietários e responsáveis pela informação.</p><p>4. Criar um critério que atendam a necessidade da organização.</p><p>22</p><p>• A descrição da classificação deve ser clara, fazendo sentido no contexto.</p><p>• A forma de classificação deve permitir que todas as pessoas envolvidas</p><p>tenham o mesmo entendimento, aplicando o mesmo critério.</p><p>• Recomenda classificar conforme sua confidencialidade, integridade,</p><p>disponibilidade e valor.</p><p>5. Aplicar a classificação da informação.</p><p>6. Formalizar a classificação adotada na organização.</p><p>Como nossa contribuição para provocar o processo de classificação,</p><p>sugerimos algumas questões que poderão servir de base para elaboração de um</p><p>questionário ou um quadro com pesos definidos a cada questão, objetivando a</p><p>padronização no enquadramento da informação dentro dos critérios de classificação</p><p>apresentados.</p><p>1) Valor</p><p>• Qual é o grau de exclusividade?</p><p>• Qual é o nível de confiabilidade da fonte?</p><p>• Qual é a quantidade de informações acessórias que a acompanham?</p><p>• Qual é o grau de interesse de terceiros?</p><p>• Qual é a quantidade de terceiros interessados?</p><p>• Qual é a importância da informação para a organização?</p><p>2) Confidencialidade</p><p>• A informação é pública?</p><p>• Sua divulgação causa algum dano ou prejuízo?</p><p>• A divulgação causa constrangimento ou inconveniência operacional?</p><p>• Sua divulgação tem impacto significativo nas operações ou objetivos</p><p>táticos?</p><p>• Sua divulgação causa alguma sansão ou punição?</p><p>• Qual é a validade?</p><p>3) Disponibilidade</p><p>• Quem ou a que processo pode ter acesso?</p><p>• Qual é o prazo máximo para a entrega?</p><p>• Qual é o meio para solicitar?</p><p>• Qual é o meio para entrega?</p><p>• O prazo de disponibilidade está sujeito a regulamentação externa?</p><p>• Quais são os riscos de físicos de vazamento?</p><p>• Quais são os riscos lógicos de vazamento?</p><p>• Quais são os riscos humanos de vazamento?</p><p>4) Integridade</p><p>• Quais são os dados que compõem a informação?</p><p>• A fonte da informação é identificada e confirmada?</p><p>23</p><p>• Em que mídia é disponibilizada a informação?</p><p>• Em que mídia é armazenada a informação?</p><p>• Como é feito o transporte?</p><p>• Como são identificados os emissores e receptores?</p><p>• Como é verificado se o destinatário recebeu?</p><p>• Como é verificado se a informação entregue foi exatamente a mesma</p><p>emitida?</p><p>• Como é realizado o descarte?</p><p>• O é verificado que o descarte foi realizado conforme determinado.</p><p>A seriedade adotada atribui mais chances de a organização ser bem-</p><p>sucedida na proteção das informações. O processo de segurança da informação e</p><p>de sua proteção deve ser vista por meio de uma abordagem profissional.</p><p>FONTE: SCHNEIDER, Carlos Alberto. Capítulo 4 – Classificação dos Ativos da Informação, do Livro: Gover-</p><p>nança da Segurança da Informação. Edição do Autor. Brasília, 2015, p. 37-45.</p><p>24</p><p>Neste tópico, você aprendeu:</p><p>• A informação está presente nas organizações em diferentes formatos: impressa,</p><p>eletrônica, falada, vídeo, imagem etc., assim como a informação pode ser transmitida</p><p>por voz ou por correio eletrônico.</p><p>• A informação precisa ser protegida independente do seu tipo e formato.</p><p>• As informações mantidas e processadas por uma organização estão sujeitas</p><p>a ameaças de ataques, de erros, de natureza, assim como elas estão sujeitas a</p><p>vulnerabilidades inerentes ao uso que fazemos da informação.</p><p>• Os erros podem ser intencionais ou não intencionais.</p><p>• As ameaças de natureza podem ser do tipo de incêndio, enchente e afins.</p><p>• A informação é um ativo intangível fundamental para a sobrevivência da organização</p><p>e desta forma precisa ser mantida segura.</p><p>• A informação precisa ser disponibilizada de maneira precisa, completa e em tempo hábil</p><p>para as pessoas autorizadas, por ser um catalisador para a eficiência dos negócios.</p><p>• Ativo é tudo que tem valor para uma organização, podendo ser tangível ou intangível</p><p>e de maneira lógica, física ou humana.</p><p>• O termo segurança da informação, geralmente, é baseado em informações</p><p>consideradas como um ativo, que possui um valor que exige proteção adequada,</p><p>como contra a perda de Confidencialidade, Integridade e Disponibilidade (CID).</p><p>• A Confidencialidade, Integridade e Disponibilidade (CID) formam os três pilares ou</p><p>três princípios básicos da segurança da informação.</p><p>• Os três princípios da segurança da informação também são conhecidos com a tríade</p><p>CID ou CIA-triad, em referência aos termos Confidentiality, Integrity e Avalability.</p><p>• O princípio da Confidencialidade se refere a certificar que somente os usuários</p><p>autorizados tenham acesso à informação, dizendo respeito à ameaça de liberar</p><p>informação não autorizada.</p><p>• O princípio da Confidencialidade tem como objetivo “[...] garantir o acesso somente</p><p>com autorização, ou seja, para que uma informação seja considerada segura</p><p>é essencial que haja uma forma de garantir esta seja disponibilizada somente</p><p>mediante autorização” (MACHADO JÚNIOR, 2018, p. 60).</p><p>RESUMO DO TÓPICO 1</p><p>25</p><p>• O princípio da Integridade se refere à informação não ser adulterada. Portanto, a</p><p>informação precisa ser mantida no estado em que ela foi disponibilizada pelo dono</p><p>da informação (o proprietário), objetivando proteger a informação de qualquer tipo</p><p>de alteração (acidental, intencional ou indevida).</p><p>• O princípio da integridade tem como objetivo garantir que a informação não sofra</p><p>alterações indevidas.</p><p>• O princípio da Disponibilidade se refere à informação estar disponível, independente</p><p>do seu desígnio.</p><p>• Ao longo dos anos, outros modelos sugiram baseados na tríade CID e outras</p><p>propriedades de segurança da informação foram acrescentadas a esses três</p><p>princípios básicos da segurança da informação.</p><p>• A Autenticidade visa garantir a verdadeira autoria, ou seja, visa atestar que a</p><p>informação é de fato oriunda de determinada fonte, garantindo que a informação foi</p><p>criada, expedida, alterada, removida por determinado órgão, sistemas ou entidade.</p><p>• A Irretratabilidade visa garantir a autoria da informação fornecida, para que uma</p><p>pessoa ou entidade não negue alguma atividade ou ação, como por exemplo:</p><p>assinar ou mesmo criar um documento ou arquivo.</p><p>• A Responsabilidade visa garantir que a pessoa responda por seus atos, incluso</p><p>diante da lei.</p><p>• A Confiabilidade visa garantir que a informação é proveniente</p><p>de uma fonte autêntica,</p><p>expressando uma mensagem fidedigna, ou seja, que a informação é confiável.</p><p>• A Privacidade se refere ao sistema “[...] obedecer à legislação (em termos de</p><p>privacidade) e deve permitir aos indivíduos controlar, sempre que possível, as suas</p><p>informações pessoais” (MACHADO JÚNIOR, 2018, p. 70).</p><p>• A Auditabilidade se refere a, “[...] capacidade de conduzir monitoramento persistente</p><p>de todas ações realizadas por seres humanos e máquinas no ambiente” (MACHADO</p><p>JÚNIOR, 2018, p. 70).</p><p>• Devemos proteger tudo que tiver algum valor para o negócio da organização, ou</p><p>seja, os ativos da informação.</p><p>• A informação é um próprio ativo, sendo encontrada nas documentações dos siste-</p><p>mas, em manuais de utilização, nas bases de dados (relacionais e não relacionais),</p><p>contratos e acordos, planos de contingência, de continuidade e assim por diante.</p><p>26</p><p>• A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. Portanto,</p><p>podemos entender a vulnerabilidade como uma fragilidade.</p><p>• As vulnerabilidades podem ser físicas, naturais, hardware, software, meios de</p><p>armazenamento, comunicação, humana.</p><p>• A vulnerabilidade física está relacionada às instalações prediais fora do padrão;</p><p>salas de departamento de tecnologia mal planejadas; falta de extintores, detectores</p><p>de fumaça e de outros recursos para combate a incêndio em sala com armários e</p><p>fichários estratégicos; risco de explosões, vazamento ou incêndio.</p><p>• A vulnerabilidade natural se refere a que os computadores são suscetíveis a</p><p>desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros,</p><p>como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc.</p><p>• A vulnerabilidade de hardware está relacionada aos possíveis defeitos de configuração</p><p>ou de fabricação dos equipamentos, permitindo que eles sejam atacados ou alterados.</p><p>• A vulnerabilidade de software é referente todo e qualquer aplicativo que possui</p><p>algum ponto fraco, permitindo acessos indevidos.</p><p>• A vulnerabilidade de meios de armazenamento é referente a tudo que der suporte</p><p>ao armazenamento da informação.</p><p>• A vulnerabilidade de comunicação inclui “[...] todos os pontos fracos que abrangem</p><p>o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de</p><p>rádio, telefone, internet, wap, fax etc.)” (DANTAS, 2011, p. 29).</p><p>• A vulnerabilidade humana constitui “[...] a maior preocupação dos especialistas, já</p><p>que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade”</p><p>(DANTAS, 2011, p. 28).</p><p>• “Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem</p><p>provocar danos e perdas” (DANTAS, 2011, p. 30).</p><p>• As ameaças podem ser propositais ou acidentais.</p><p>• As ameaças propositais são causadas por uma pessoa, podendo trazer</p><p>consequenciais ao sistema, ao ambiente ou mesmo no ativo da informação.</p><p>• As ameaças acidentais dizem respeito aos desastres naturais, são falhas de</p><p>hardware, erros de programação etc.</p><p>• As ameaças propositais se referem as fraudes, roubos, invasões etc., podendo ser</p><p>do tipo ativa ou passiva.</p><p>27</p><p>• A ameaça ativa envolve alterar os dados e a ameaça passiva diz respeito a invasão</p><p>e/ou monitoramento, em que os dados não são alterados.</p><p>• Dentre as ameaças existentes é necessário prestarmos atenção sobre os códigos</p><p>maliciosos, destacando principalmente os vírus.</p><p>• O vírus é um programa ou parte de um programa de computador, o qual se propaga por</p><p>meio de cópias de si mesmo, infectando outros programas e arquivos de computador.</p><p>• O cavalo de troia é um programa que executa funções maliciosas sem o conhecimento</p><p>do usuário.</p><p>• O Adware é um tipo de software projetado para apresentar propagandas, seja por</p><p>meio de um navegador, seja com algum outro programa instalado em um computador.</p><p>• Keyloggers são programas capazes de capturar e armazenar as teclas digitadas pelo</p><p>usuário no teclado de um computador.</p><p>• Worm é um programa capaz de se propagar de forma automática por meio de redes,</p><p>enviando cópias de si mesmo de computador para computador.</p><p>• Bot é um programa capaz se propagar de maneira automática, explorando vulnerabilida-</p><p>des existentes ou falhas na configuração de softwares instalados em um computador.</p><p>• Botnets são as redes formadas por computadores infectados com bots.</p><p>• Roorkit é um conjunto de programas que utiliza mecanismos para esconder e</p><p>assegurar a presença do invasor no computador comprometido.</p><p>• O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra</p><p>as organizações, geralmente com a intenção de obter informações.</p><p>• Ataque é “[...] qualquer ação que comprometa a segurança de uma organização”</p><p>(COELHO; ARAÚJO; BEZERRA, 2014, p. 3).</p><p>• “O ataque é um ato deliberado de tentar se desviar dos controles de segurança com</p><p>o objetivo de explorar as vulnerabilidades” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4).</p><p>• O ataque pode ser do tipo ativo ou passivo e que podem existir quatro modelos de</p><p>ataques: interrupção, interceptação, modificação e fabricação.</p><p>• Incidente de segurança é um evento simples ou até uma série de eventos de</p><p>segurança da informação que não desejadas ou não apropriados, bem como</p><p>possivelmente comprometem as operações do negócio da organização, ameaçando</p><p>a segurança da informação.</p><p>28</p><p>• Impacto é a “[...] consequência avaliada de um evento em particular” (COELHO;</p><p>ARAÚJO; BEZERRA, 2014, p. 3) e a probabilidade “[...] é a possibilidade de uma falha</p><p>de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos</p><p>ativos” (TORRES, 2015, p. 17).</p><p>• As probabilidades são provavelmente as oportunidades de uma vulnerabilidade ser</p><p>uma ameaça.</p><p>• A informação precisa ser classificada e essa classificação contribui para a</p><p>manutenção dos princípios básicos da segurança.</p><p>• Ao classificar uma informação deve-se levar em conta “[...] o seu valor, requisitos</p><p>legais, sensibilidade e criticidade para a organização” (DANTAS, 2011, p. 15).</p><p>• As classificações são a fins pedagógicos, pois cada organização deve adaptar o nível</p><p>de sigilo da informação de acordo com a realidade de seu negócio e deve divulgar</p><p>amplamente, para que seus colaboradores saibam o significado de cada nível da</p><p>informação e como lidar com eles.</p><p>• A informação pode ser classificada como confidencial, restrita, interna e pública.</p><p>• A informação confidencial diz respeito a ela não ser divulgada sem autorização,</p><p>podendo causar impactos de imagem, em âmbitos financeiros e/ou operacional,</p><p>assim como sanções administrativas, criminosas e civis.</p><p>• A informação é classificada como restrita por ser considerada um ativo “[...] para a</p><p>empresa, ou por se tratar de conhecimento exclusivo, ou por normativos externos”</p><p>(SCHNEIDER, 2015, p. 38).</p><p>• O acesso ao conteúdo da informação restrita “[...] por pessoas ou processos não</p><p>autorizados, pode gerar perdas para a organização” (SCHNEIDER, 2015, p. 38).</p><p>• A informação interna é referente a organização não ter interesse de divulgar a</p><p>informação, contudo, ela é fundamental para a pessoas internas da organização.</p><p>• A informação pública possui tanto uma linguagem quanto um formato feito à</p><p>divulgação do público em geral.</p><p>• A seriedade adotada ao classificar as informações atribui mais chances de a</p><p>organização ser bem-sucedida na proteção das informações.</p><p>• O processo de segurança da informação e de sua proteção deve ser vista por meio</p><p>de uma abordagem profissional.</p><p>29</p><p>AUTOATIVIDADE</p><p>1 Os três princípios básicos da segurança da informação são: Confidencialidade,Inte-</p><p>gridade e Disponibilidade (CID). Este conjunto é conhecido como o tripé da segurança</p><p>da informação aqui no Brasil e internacionalmente conhecido como “CIA-triad”, devi-</p><p>do aos termos Confidentiality, Integrity e Avalability.</p><p>No contexto apresentado, analise as sentenças a seguir e indique a afirmativa com a</p><p>ordem CORRETA das definições:</p><p>I - Garantir que somente os usuários autorizados tenham acesso à informação.</p><p>II - Garantir que a informação não seja adulterada indevidamente.</p>