Prévia do material em texto
Indaial – 2020 ConsCientização em segurança da informação Prof.ª Simone Erbs da Costa 1a Edição Copyright © UNIASSELVI 2020 Elaboração: Prof.ª Simone Erbs da Costa Revisão, Diagramação e Produção: Centro Universitário Leonardo da Vinci – UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI – Indaial. Impresso por: C837c Costa, Simone Erbs da Conscientização em segurança da informação. / Simone Erbs da Costa. – Indaial: UNIASSELVI, 2020. 306 p.; il. ISBN 978-65-5663-076-2 1. Segurança da informação. – Brasil. Centro Universitário Leonardo Da Vinci. CDD 004 apresentação Caro acadêmico, estamos iniciando o estudo da Conscientização em Segurança da Informação. Esta disciplina objetiva conscientizar a importância de se ter um plano de segurança da informação e a conscientização de colaboradores do comportamento seguro, bem como entender a visão executiva na gestão da segurança da informação de dados. Este livro conta com diversos recursos didáticos externos. Portanto, recomendamos que você realize todos os exemplos e exercícios resolvidos para um aproveitamento excepcional da disciplina. No contexto apresentado, o livro Conscientização em Segurança da Informação está dividido em três unidades: Unidade 1 — Colaboradores e comportamento seguro; Unidade 2 — Padrão, normas e plano de conscientização em segurança da informação; Unidade 3 — Visão executiva na gestão da segurança da informação. Aproveitamos a oportunidade para destacar a importância de desenvolver as autoatividades, lembrando que essas atividades não são opcionais. Elas objetivam a fixação dos conceitos apresentados. Em caso de dúvida, na realização das atividades, sugerimos que você entre em contato com seu tutor externo ou com a tutoria da UNIASSELVI, não prosseguindo sem ter sanado todas as dúvidas. Bom estudo! Sucesso na sua trajetória acadêmica e profissional! Prof.ª Simone Erbs da Costa Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novi- dades em nosso material. Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um formato mais prático, que cabe na bolsa e facilita a leitura. O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagra- mação no texto, aproveitando ao máximo o espaço da página, o que também contribui para diminuir a extração de árvores para produção de folhas de papel, por exemplo. Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilida- de de estudá-lo com versatilidade nas telas do celular, tablet ou computador. Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun- to em questão. Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa continuar seus estudos com um material de qualidade. Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de Desempenho de Estudantes – ENADE. Bons estudos! NOTA Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela um novo conhecimento. Com o objetivo de enriquecer seu conhecimento, construímos, além do livro que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complemen- tares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento. Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo. Conte conosco, estaremos juntos nesta caminhada! LEMBRETE sumário UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO ................................... 1 TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS ...................................................................................................................... 3 1 INTRODUÇÃO .................................................................................................................................... 3 2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO ............... 4 2.1 ATIVOS DE INFORMAÇÃO ......................................................................................................... 8 2.2 VULNERABILIDADES DA INFORMAÇÃO ............................................................................. 9 2.3 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO ................................................................. 11 2.4 ATAQUE À SEGURANÇA DA INFORMAÇÃO ..................................................................... 15 2.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO ............................................................. 17 2.6 IMPACTO E PROBABILIDADE ................................................................................................. 19 3 CLASSIFICAÇÃO DA INFORMAÇÃO ....................................................................................... 20 3.1 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISO/IEC 27002:2013) ........................... 21 RESUMO DO TÓPICO 1..................................................................................................................... 24 AUTOATIVIDADE .............................................................................................................................. 29 TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL .............................. 31 1 INTRODUÇÃO .................................................................................................................................. 31 2 ENGENHARIA SOCIAL .................................................................................................................. 32 3 DISSEMINAÇÃO DA CONSCIENTIZAÇÃO ............................................................................ 35 RESUMO DO TÓPICO 2..................................................................................................................... 46 AUTOATIVIDADE .............................................................................................................................. 51 TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA ................................................................ 53 1 INTRODUÇÃO .................................................................................................................................. 53 2 PRÁTICAS RECOMENDADAS DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA ORGANIZACIONAL ........................................................................................................................ 54 2.1 MONTAR A EQUIPE DE CONSCIENTIZAÇÃO DE SEGURANÇA .................................. 54 2.2 DETERMINAR FUNÇÕES PARA CONSCIENTIZAÇÃO DE SEGURANÇA.................... 54 2.3 CONSCIENTIZAÇÃO DE SEGURANÇA EM TODA ORGANIZAÇÃO ............................ 57 3 CONTEÚDO DO TREINAMENTO DE CONSCIENTIZAÇÃO DE SEGURANÇA DA INFORMAÇÃO .......................................................................................................................... 59 3.1 TODOS DA ORGANIZAÇÃO .................................................................................................... 61 3.2 GERÊNCIA .................................................................................................................................... 63 3.3 FUNÇÕES ESPECIALISTAS ....................................................................................................... 63 3.4 DEFINIR MÉTRICAS PARA AVALIARO TREINAMENTO DE CONSCIENTIZAÇÃO ....................................................................................................................... 65 4 LISTA DE VERIFICAÇÃO DO PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA .............................................................................................................................. 66 LEITURA COMPLEMENTAR ............................................................................................................ 69 RESUMO DO TÓPICO 3..................................................................................................................... 82 AUTOATIVIDADE .............................................................................................................................. 86 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO ..................................................................... 89 TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) ............................................................................................ 91 1 INTRODUÇÃO .................................................................................................................................. 91 2 FRAMEWORK COBIT ..................................................................................................................... 92 3 COMPORTAMENTO HUMANO E O COBIT .......................................................................... 107 3.1 CULTURA, ÉTICA E COMPORTAMENTO e PESSOAS, HABILIDADES E COMPETÊNCIAS ....................................................................................................................... 108 3.2 PROCESSOS REFERENTE À CONSCIENTIZAÇÃO ........................................................... 118 RESUMO DO TÓPICO 1................................................................................................................... 120 AUTOATIVIDADE ............................................................................................................................ 124 TÓPICO 2 — PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 ............... 127 1 INTRODUÇÃO ................................................................................................................................ 127 2 ABNT NBR ISO/IEC 27001:2013 .................................................................................................... 128 2.1 ESTRUTURA DA ABNT NBR ISO/IEC 27001:2013 ............................................................... 130 2.2 VISÃO GERAL DO ANEXO A DA ABNT NBR ISO/IEC 27001:2013 ................................. 139 3 ABNT NBR ISO/IEC 27002:2013 .................................................................................................... 141 3.1 ESTRUTURA DA ABNT NBR ISO/IEC 27002:20131 ............................................................. 142 RESUMO DO TÓPICO 2................................................................................................................... 156 AUTOATIVIDADE ............................................................................................................................ 160 TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) ......... 163 1 INTRODUÇÃO ................................................................................................................................ 163 2 ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO ................................... 164 2.1 ESTRUTURANDO O PROGRAMA ........................................................................................ 165 2.2 AVALIANDO AS NECESSIDADES ......................................................................................... 165 2.3 DESENVOLVENDO A ESTRATÉGIA E O PLANO DE CONSCIENTIZAÇÃO E TREINAMENTO ......................................................................................................................... 168 2.4 ESTABELECENDO PRIORIDADES......................................................................................... 169 2.5 ESTABELECENDO O PADRÃO............................................................................................... 170 2.6 FINANCIAMENTO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO EM SEGURANÇA ..................................................................................................................... 172 3 ETAPA 2: DESENVOLVIMENTO DE MATERIAIS DE CONSCIENTIZAÇÃO E DE TREINAMENTO .............................................................................................................................. 173 3.1 DESENVOLVENDO MATERIAL DE CONSCIENTIZAÇÃO ............................................ 174 3.2 DESENVOLVENDO MATERIAL DE TREINAMENTO ...................................................... 176 4 ETAPA 3: IMPLEMENTAÇÃO DO PROGRAMA .................................................................... 176 4.1 COMUNICAÇÃO DO PLANO ................................................................................................ 177 4.2 TÉCNICAS PARA CRIAR MATERIAL DE CONSCIENTIZAÇÃO .................................... 177 4.3 TÉCNICAS PARA CRIAR MATERIAL DE TREINAMENTO ............................................. 178 5 ETAPA 4: PÓS-IMPLEMENTAÇÃO ........................................................................................... 179 5.1 MONITORANDO A CONFORMIDADE ................................................................................ 180 5.2 AVALIAÇÃO E FEEDBACK ..................................................................................................... 182 5.3 GERENCIANDO MUDANÇAS ............................................................................................... 184 5.4 MELHORIA CONTÍNUA (ELEVANDO O PADRÃO ESTABELECIDO) .......................... 184 5.5 INDICADORES DE SUCESSO.................................................................................................. 185 LEITURA COMPLEMENTAR .......................................................................................................... 186 RESUMO DO TÓPICO 3................................................................................................................... 193 AUTOATIVIDADE ............................................................................................................................ 198 UNIDADE 3 — VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO ...................................................................................................... 201 TÓPICO 1 — VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO ................. 203 1 INTRODUÇÃO ................................................................................................................................ 203 2 VISÃO CORPORATIVA ................................................................................................................ 207 2.1. CONSCIENTIZAÇÃO DO CORPO EXECUTIVO ................................................................ 210 2.2 RETORNO SOBRE O INVESTIMENTO .................................................................................. 218 3 POSICIONAMENTO HIERÁRQUICO ADEQUADO............................................................. 223 RESUMO DO TÓPICO 1................................................................................................................... 228 AUTOATIVIDADE ............................................................................................................................ 232 TÓPICO 2 — MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO .......................................................................................................... 235 1 INTRODUÇÃO ................................................................................................................................235 2 MODELOS DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ...................... 239 2.1 COMITÊ CORPORATIVO DE SEGURANÇA DA INFORMAÇÃO ................................... 242 2.2 PAPEL DO SECURITY OFFICER ............................................................................................. 246 2.3 COMO CONDUZIR INTERNAMENTE A NEGOCIAÇÃO ................................................ 249 2.4 SABENDO IDENTIFICAR O PARCEIRO EXTERNO ........................................................... 251 2.5 FERRAMENTAS METODOLÓGICAS .................................................................................... 254 3 AGREGANDO VALOR AO NEGÓCIO ...................................................................................... 261 RESUMO DO TÓPICO 2................................................................................................................... 263 AUTOATIVIDADE ............................................................................................................................ 267 TÓPICO 3 — POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA INFORMAÇÃO .......................................................................................................... 269 1 INTRODUÇÃO ................................................................................................................................ 269 2 EXEMPLOS DE REGULAMENTOS E POLÍTICAS ................................................................. 271 LEITURA COMPLEMENTAR .......................................................................................................... 285 RESUMO DO TÓPICO 3................................................................................................................... 298 AUTOATIVIDADE ............................................................................................................................ 301 REFERÊNCIAS .................................................................................................................................... 303 1 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO OBJETIVOS DE APRENDIZAGEM A partir do estudo desta unidade, você deverá ser capaz de: • entender a segurança da informação e a sua importância para a organização, buscando um comportamento seguro; • conhecer os princípios básicos da segurança da informação, conhecida como a tríade Confidencialidade, Integridade e Disponibilidade (CID); • conhecer outras propriedades da segurança da informação, indo além da tríade CID, para compreensão do seu papel e do comportamento seguro; • compreender os conceitos básicos da segurança da informação como: ativo da informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança; e de probabilidade e impacto; • entender o que é a engenharia social e identificar os seus possíveis ataques; • compreender a importância da conscientização e o comportamento seguro dos colaboradores; • compreender que a segurança da informação faz parte da cultura da organização e é benéfica para todos, colaboradores e organização; • saber quais conteúdos devem ser utilizados na conscientização de segurança e compreender que a conscientização deve ser aplicada pelas funções exercidas na organização. 2 PLANO DE ESTUDOS Esta unidade está dividida em três tópicos. No decorrer do texto, você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado. TÓPICO 1 – ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS TÓPICO 2 – CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL TÓPICO 3 – PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure um ambiente que facilite a concentração, assim absorverá melhor as informações. CHAMADA 3 TÓPICO 1 — UNIDADE 1 ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 1 INTRODUÇÃO A informação está presente nas organizações nos mais variados formatos. Podemos ver a informação armazenada de forma eletrônica ou de forma impressa, falada, em vídeo, por imagem, som etc., assim como podemos transmitir uma informação por voz ou mesmo pelo correio eletrônico. Independente do meio que a informação está armazenada ou tem seu formato ou como é transmita, é necessário que ela seja protegida de maneira adequada. Desta forma, podemos dizer que todas as informações mantidas e processadas por uma organização estão sujeitas a ameaças de ataques, erros (intencionais ou não intencionais) e de natureza (como incêndio, enchente e afins) e estão sujeitas a vulnerabilidades inerentes ao uso que fazemos da informação, pois a informação é um ativo intangível fundamental para a sobrevivência da organização e desta forma precisa ser mantida segura. Além disso, é necessário disponibilizar as informações de maneira precisa, completa e em tempo hábil para as pessoas autorizadas, por ser um catalisador para a eficiência dos negócios. Os melhores firewalls do mundo não poderão proteger os ativos da informação da organização se o firewall humano estiver fraco. Segundo Pivot Point Security (2020), estima-se que até 75% das violações da organização sejam atribuídas a falhas humanas na manutenção das políticas, padrões e procedimentos de segurança de seu colaborador. Para organizações que exigem conformidade com regulamentos governamentais específicos é necessário treinamento formal de conscientização de segurança da informação para cada colaborador, de uma a duas vezes por ano. Assim, toda a organização corre o risco de ser comprometida. Portanto, agora que tivemos uma ideia da importância da informação para a organização, precisamos compreender os conceitos e princípios básicos de segurança da informação. Ativo é tudo que tem valor para uma organização, podendo ser tangível ou intangível e de maneira lógica, física ou humana. NOTA UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 4 2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO Na literatura, encontramos várias definições para o termo segurança da informação. Segundo ISO/IEC (2018), o termo segurança da informação geralmente é baseado em informações consideradas como um ativo, que possui um valor que exige proteção adequada, como contra a perda de disponibilidade, confidencialidade e integridade. Desta forma, “[...] é de responsabilidade da segurança da informação protegê-la de vários tipos de ameaças, para garantir a continuidade do negócio, minimizar riscos e maximizar o retorno dos investimentos” (COELHO; ARAÚJO; BEZERRA, 2014, p. 2). Algumas definições formais de segurança da informação. “Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas” (ABNT NBR ISO/IEC 27002, 2005 apud TORRES, 2015, p. 10). Sêmola (2003, p. 43) coloca segurança da informação “[...] como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”. Bastos e Caubit (2009, p. 17) trazem uma definição menos formal de segurança da informação, como ser: [...] caracterizada pela aplicação adequada de dispositivos de proteção sobre um ativo ou um conjunto de ativos visando preservar o valor que este possui para as organizações. A aplicação destas proteções busca preservar a Confidencialidade, a Integridade e a Disponibilidade (CID), não estando restritos somente a sistemas ou aplicativos, mas também informações armazenadas ou veiculadas em diversos meios além do eletrônico ou em papel. Estas definições de segurança da informação trazem os três pilares ou três princípios básicos da segurança da informação, que são a Confidencialidade, a Integridade e a Disponibilidade (CID). De acordo com Machado Júnior (2018, p. 56), “Este conjunto é conhecido como o tripé da segurança dainformação, internacionalmente denominado “CIA- triad”, em referência aos termos Confidentiality, Integrity e Avalability. Ao longo dos anos, a CIA-triad foi consolidada e evolui, servindo como pilares de sustentação”. Machado Júnior (2018) demonstra visualmente essa evolução da tríade CID por meio da Figura 1. TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 5 FIGURA 1 - EVOLUÇÃO DAS CARACTERÍSTICAS DE SEGURANÇA DA TRÍADE CID FONTE: Machado Júnior (2018, p. 61) UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 6 A confidencialidade necessita que exista algum tipo de barreira para impedir o acesso direto. Ambientes que são controlados e acessíveis somente por algum tipo de chave de acesso como conta de e-mail, uma área específica de uma organização, um servidor de banco de dados, um cofre e afins são exemplos de confidencialidade. Esse mecanismo de barreira, segundo Machado Júnior (2018), pode ser aprimorado por meio de recursos de criptografia. O pilar da integridade é referente à ameaça da informação ser modificada sem autorização. Para Machado Júnior (2018, p. 62), “A quebra da integridade é fator crítico e pode ter consequências catastróficas. São exemplos de uso da integridade qualquer ambiente controlado em que o sucesso das operações depende da qualidade íntegra dos dados fornecidos”. Por fim, o pilar da disponibilidade diz respeito à ameaça de negação não autorizada de utilização. Esse pilar tem como objetivo “[...] garantir a propriedade da informação estar disponível quando solicitada” (MACHADO JÚNIOR, 2018, p. 62). Machado Júnior (2018) ainda coloca que o pilar da disponibilidade seria a maneira mais eficiente de um ataque ser iniciado. Devido que ao se quebrar o pilar da disponibilidade, possivelmente, na sequência se comprometeria a integridade por meio de substituição ou de alteração de dados e por último a confidencialidade também seria comprometida. Desta forma, ter um plano de segurança no qual todos os colaboradores estejam cientes da sua importância é fundamental para os três pilares. Ao longo dos anos, outros modelos sugiram baseados na tríade CID e outras propriedades de segurança da informação foram acrescentadas a esses três princípios básicos da segurança da informação. Alguns deles estão contidos no Quadro 1. Além deles, também iremos ver na Unidade 2, de estudo, os requisitos de controle pela versão ativa da ABNT ISO/IEC 27002:2013, que define o objetivo da política da segurança da informação. • Confidencialidade se refere a certificar que somente os usuários autorizados tenham acesso à informação, dizendo respeito à ameaça de liberar informação não autorizada. De acordo com Machado Júnior (2018, p. 60), “Esse requisito busca garantir o acesso somente com autorização, ou seja, para que uma informação seja considerada segura é essencial que haja uma forma de garantir esta seja disponibilizada somente mediante autorização”. • Integridade se refere à informação não ser adulterada. Portanto, a informação precisa ser mantida no estado em que ela foi disponibilizada pelo dono da informação (o proprietário), objetivando proteger a informação de qualquer tipo de alteração (acidental, intencional ou indevida). “Este requisito busca garantir que a informação não sofra alterações indevidas” (MACHADO JÚNIOR, 2018, p. 62). • Disponibilidade se refere à informação estar disponível, independente do seu desígnio. Portanto, é necessário certificar de que a informação e os seus ativos se encontrem acessíveis para os usuários autorizados (legítimos) de maneira devida (MACHADO JÚNIOR, 2018). NOTA TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 7 QUADRO 1 – PROPRIEDADES DA INFORMAÇÃO PROPRIEDADE DESCRIÇÃO Autenticidade A autenticidade visa garantir a verdadeira autoria, ou seja, visa atestar que a informação é de fato oriunda de determinada fonte, garantindo que a informação foi criada, expedida, alterada, removida por determinado órgão, sistemas ou entidade. Irretratabilidade ou não repúdio A irretratabilidade visa garantir a autoria da informação fornecida, para que uma pessoa ou entidade não negue alguma atividade ou ação, como por exemplo: assinar ou mesmo criar um documento ou arquivo. Segundo Machado Júnior (2018, p. 70), o não repúdio é a “[...] capacidade do sistema para provar legalmente uma ocorrência/não ocorrência de um evento ou participação/não participação [...]” dele. Responsabilidade A responsabilidade visa garantir que a pessoa responda por seus atos, incluso diante da lei, ou seja, esse princípio se refere a ser responsável pelas ações realizada no manuseio das informações. Confiabilidade A confiabilidade visa garantir que a informação é proveniente de uma fonte autêntica, expressando uma mensagem fidedigna, ou seja, que a informação é confiável. De acordo com Machado Júnior (2018, p. 70), “O objetivo da confiabilidade refere-se à necessidade de autorização para que determinada informação ou dado seja disponibilizado e a privacidade refere-se à possibilidade de controle das informações ou dados por parte do próprio usuário”. Auditabilidade Segundo Machado Júnior (2018, p. 70), “[...] capacidade de conduzir monitoramento persistente de todas ações realizadas por seres humanos e máquinas no ambiente”. Privacidade Para Machado Júnior (2018, p. 70), “[...] um sistema deve obedecer à legislação (em termos de privacidade) e deve permitir aos indivíduos controlar, sempre que possível, as suas informações pessoais”. FONTE: A autora De acordo com Dantas (2011, p. 15): A autenticidade e confiabilidade estão interligadas. A primeira diz respeito à idoneidade da fonte, isto é, digna de fé e confiança, e a segunda ao seu conteúdo. A avaliação da fonte para a sua autenticidade pode ser feita com relação à sua idoneidade, como, por UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 8 exemplo: completamente idônea, regularmente idônea, inidônea e cuja idoneidade não se pode avaliar. E a avaliação da confiabilidade pode ser feita com relação ao seu conteúdo, como, por exemplo: confirmação por outras fontes, por ser verdadeira, duvidosa ou improvável. Dessa forma, a autenticidade do emissor é a garantia de que quem se apresenta como remetente é realmente quem diz ser. A confiabilidade é a garantia de que a informação está completa e igual à sua forma original quando do envio pelo remetente, e expressa uma verdade. O não repúdio é a garantia de que o emissor ou receptor não tem como alegar que a comunicação não ocorreu, e a responsabilidade diz respeito aos deveres e proibições entre remetente e destinatário. Portanto, para conseguirmos alcançar a segurança da informação é necessário utilizar um conjunto de práticas e atividades, incluindo: a definição e elaboração de processos, procedimentos, conscientização e treinamento de colaboradores, uso de ferramentas de monitoramento e controle, Políticas de Segurança da Informação (PSI), Plano de Conscientização em Segurança da Informação (PCSI) e afins (TORRES, 2015). 2.1 ATIVOS DE INFORMAÇÃO A informação é um próprio ativo, sendo encontrada nas documentações dos sistemas, em manuais de utilização, nas bases de dados (relacionais e não relacionais), contratos e acordos, planos de contingência, de continuidade e assim por diante. Torres (2015) também coloca outros ativos, como: pessoas e suas qualificações/experiências; os ativos de software, como o caso de ferramentas, sistemas, aplicativos etc.; ativos físicos, como o caso de equipamentos de comunicação e computacionais, mídias removíveis etc.; serviços de forma geral como refrigeração, eletricidade, iluminação etc.; e os ativos intangíveis como a reputação da organização. Torres (2015, p. 12) coloca que: Um dos fatores críticos de sucesso para a garantia da segurança da informação é a correta identificação, controle e constante atualização dos diferentes tipos de ativos (inventário). Com a finalidade de alcançar uma corretaproteção, torna-se importante conhecer o que seria a Gestão de Ativos. Como princípio básico, é recomendado que todo ativo seja identificado e documentado pela organização. A cada um deles deve-se estabelecer um proprietário responsável cujo qual lidará com a manutenção dos controles. Controles estes que podem ser delegados a outros profissionais, porém, sempre sob a responsabilidade do proprietário. O que precisamos proteger? Devemos proteger tudo que tiver algum valor para o negócio da organização, ou seja, os ativos da informação. ATENCAO TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 9 Para que os ativos da informação sejam utilizados com segurança e estejam seguros é necessário que os colaboradores estejam cientes da importância de algum dos ativos da organização, assim como saberem do impacto causado caso o ativo da organização não seja protegido. Desta forma, é necessário que a informação seja classificada. Assunto que trataremos no item seguinte deste tópico. 2.2 VULNERABILIDADES DA INFORMAÇÃO A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. Portanto, podemos entender a vulnerabilidade como uma fragilidade. “Trata-se de um erro no procedimento (no caso de sistemas), falha de um agente ou má configuração dos aplicativos de segurança, de maneira não proposital ou proposital, gerando assim, uma informação não confiável” (TORRES, 2015, p. 13). Coelho, Araújo e Bezerra (2014, p. 3) ainda colocam que: [...] qualquer fraqueza que possa ser explorada e comprometer a segurança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Vulnerabilidades são falhas que permitem o surgimento de deficiências na segurança geral do computador ou da rede. Configurações incorretas no computador ou na segurança também permitem a criação de vulnerabilidades. A partir dessa falha, as ameaças exploram as vulnerabilidades, que, quando concretizadas, resultam em danos para o computador, para a organização ou para os dados pessoais. Assim, caso isso aconteça, os princípios da segurança da informação são rompidos. Desta forma, Coelho, Araújo e Bezerra (2014) colocam que é necessário identificar as vulnerabilidades existentes, como as apresentadas no QUADRO 2. Classificação da Informação é o processo para definir a sensibilidade da informação e quem tem acesso a essa informação, permitindo assim definir níveis e critérios de acesso que garantam a segurança da informação. Vide ABNT NBR 16167:2013 – Segurança da Informação – Diretrizes para classificação, rotulação e tratamento da informação., que para proteger corretamente as informações, é necessário que exista uma forma de avaliar a importância das informações e de saber quais pessoas podem ter acesso ao seu conteúdo. FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa – RNP/ESR, 2014 IMPORTANT E UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 10 QUADRO 2 – EXEMPLOS DE VULNERABILIDADE VULNERABILIDADE DESCRIÇÃO Físicas Instalações prediais fora do padrão; salas de departamento de tecnologia mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio (SÊMOLA, 2003). Naturais Computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc. De acordo com Dantas (2011, p. 26), “Organizações situadas nessas áreas vulneráveis devem manter um excelente gerenciamento de continuidade de negócios, uma vez que esses eventos independem de previsibilidade e da vontade humana.”. Hardware Dantas (2011, p. 27) coloca que “Caracterizam-se como vulnerabilidade de hardware os possíveis defeitos de fabricação ou configuração dos equipamentos que podem permitir o ataque ou a alteração [...]” deles. Sêmola (2003) exemplifica com: falha nos recursos tecnológicos como desgaste, obsolescência, má utilização ou erros durante a instalação. Software “As vulnerabilidades de softwares são constituídas por todos os aplicativos que possuem pontos fracos que permitem acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário ou administrador de rede” (DANTAS, 2011, p. 27). Para Sêmola (2003), erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário. Meios de armazenamento “Os meios de armazenamento são todos os suportes físicos ou magnéticos utilizados para armazenar as informações, tais como: disquetes; CD ROM; fita magnética; discos rígidos dos servidores e dos bancos de dados; tudo o que está registrado em papel” (DANTAS, 2011, 28). Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas. De acordo com Dantas (2011, p. 28), “As suas vulnerabilidades advêm de prazo de TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 11 validade e expiração, defeito de fabricação, utilização incorreta, local de armazenamento em áreas insalubres ou com alto nível de umidade, magnetismo ou estática, mofo etc.” Comunicação “Nas comunicações, as vulnerabilidades incluem todos os pontos fracos que abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de rádio, telefone, internet, wap, fax etc.)” (DANTAS, 2011, p. 29). Os principais aspectos se relacionam com a qualidade do ambiente que foi preparado para o tráfego, tratamento, armazenamento e leitura das informações. Outro ponto se refere à inexistência de sistemas de criptografia nas comunicações; a escolha errônea dos sistemas de comunicações que são utilizados para enviar mensagens; as conexões a redes múltiplas; os protocolos de rede não criptografados; os protocolos desnecessários permitidos; a falta de filtragem entre os segmentos da rede; acessos não autorizados ou perda de comunicação (DANTAS, 2011, SÊMOLA, 2003). Humanas “As vulnerabilidades humanas constituem a maior preocupação dos especialistas, já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade” (DANTAS, 2011, p. 28). Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras são exemplos de vulnerabilidade humana. Dantas (2011, p. 28) complementa que “Sua origem pode ser: falta de capacitação específica para a execução das atividades inerentes às funções de cada um; falta de consciência de segurança diante das atividades de rotina; erros; omissões; descontentamento; desleixo na elaboração e segredo de senhas no ambiente de trabalho; não utilização de criptografia na comunicação de informações de elevada criticidade, quando possuídas na empresa”. FONTE: A autora 2.3 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO Primeiramente, entendemos o conceito de segurança da informação e que ela está baseada nos pilares da confidencialidade, integridade e disponibilidade, bem como em outras propriedades que possibilitam que os ativos da informação sejam resguardados conforme a sensibilidade e criticidade para o negócio. Mas, contra quem deve ser protegido? Das ameaças! UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 12 Coelho, Araújo e Bezerra (2014, p. 3) colocam que ameaça é “[...] qualquer evento que explore vulnerabilidades. Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização”. Essas ameaças podem ser tanto propositais, causadas por uma pessoa,podendo trazer consequências ao sistema, ao ambiente ou mesmo no ativo da informação; ou podem ser acidentais (COELHO; ARAÚJO; BEZERRA, 2014, DANTAS, 2011, SÊMOLA, 2003). As ameaças acidentais dizem respeito aos desastres naturais, são falhas de hardware, erros de programação etc. Já as ameaças propositais se referem às fraudes, roubos, invasões etc., podendo ser do tipo ativa ou passiva. A ameaça ativa envolve alterar os dados e a ameaça passiva diz respeito à invasão e/ou ao monitoramento, em que os dados não são alterados (COELHO; ARAÚJO; BEZERRA, 2014, DANTAS, 2011, SÊMOLA, 2003). As ameaças ainda podem ser classificadas quanto à intencionalidade, podendo ser naturais, que são decorrentes de fenômenos da natureza; involuntária, que basicamente ocorrem por não se ter conhecimento, ou seja, uma ameaça sem consistência; e as voluntárias, que dizem respeito a ser causada de forma proposital ou intencional por algum agente humano, como: espiões, invasores, hackers, incendiários, bem como quem cria e dissemina os vírus de computador (COELHO; ARAÚJO; BEZERRA, 2014, SÊMOLA, 2003). Dantas (2011) traz as seguintes ameaças apresentadas nas pesquisas de segurança da informação: • Vírus, worm, cavalo de Troia ou também conhecido como trojan horse. • Phishing, pharming e spyware. • Adware; spam. • Roubo de dados confidenciais da organização e de cliente, da propriedade da informação e da propriedade intelectual. • Acesso não autorizado à informação. • Perda de dados de clientes. • Roubo de laptop, portáteis e de hardware. • Má conduta e acesso indevido à rede por colaboradores e gerentes, bem como abuso de seus privilégios de acesso e utilização indevida da rede wireless. • Ataque de negação de serviço, invasão de sistemas e da rede. • Acesso e utilização indevida da internet e dos recursos dos sistemas de informação. • Degradação da performance, destruição e/ou rede e Web site mal configurados. • Software de má qualidade, mal desenvolvido e sem atualização. “Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas” (DANTAS, 2011, p. 30). ATENCAO TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 13 • Fraude financeira e de telecomunicações. • Interceptação de telecomunicação, seja de voz ou de dados, e espionagem. • Sabotagem de dados e da rede. • Desastres naturais. • Cyber-terrorismo. Destas ameaças, Dantas (2011) observa que é necessário prestarmos atenção aos códigos maliciosos, destacando principalmente os vírus, por exemplo: cavalo de troia, adware e spyware, backdoors, keyloggers, worms, bots e botnets e rootkits, que estão descritos no Quadro 3 para que você possa fixar melhor esses conceitos e saber a diferenciá-los. QUADRO 3 – EXEMPLOS DE CÓDIGOS MALICIOSOS CÓDIGO MALICIOSO DESCRIÇÃO Vírus É um programa ou parte de um programa de computador, o qual se propaga por meio de cópias de si mesmo, infectando outros programas e arquivos de computador. O vírus depende da execução do programa ou do hospedeiro para ser ativado. Cavalo de Troia É um programa que executa funções maliciosas sem o conhecimento do usuário. Normalmente, esse código é recebido como um presente. São exemplos de cavalo de troia, cartão virtual, prêmios, fotos, protetor de tela etc. O seu nome é oriundo da mitologia grega. Adware É um tipo de software projetado para apresentar propagandas, seja por meio de um navegador, seja com algum outro programa instalado em um computador. Keyloggers São programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Worm É um programa capaz de se propagar de forma automática por meio de redes, enviando cópias de si mesmo de computador para computador. Difere do vírus por não embutir cópias de si mesmo em outros programas ou arquivos. Bot É um programa capaz se propagar de maneira automática, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Geralmente, o bot se conecta a um servidor de Internet Relay Chat (IRC) e entra em um canal determinado, também conhecido como uma sala, esperando as instruções do invasor, monitorando as mensagens que estão sendo enviadas para UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 14 esse canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por sequências especiais de caracteres, que são interpretadas pelo bot. Tais sequências de caracteres correspondem a instruções que devem ser executadas pelo bot, Botnets São as redes formadas por computadores infectados com bots. Essas redes podem ser compostas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo: para enviar centenas de milhares de e-mails de phishing ou spam; para desferir ataques de negação de serviço etc. Roorkits É um conjunto de programas que utiliza mecanismos para esconder e assegurar a presença do invasor no computador comprometido. FONTE: Dantas (2011, p. 37-38). Para saber mais sobre os golpes e os ataques na internet faça a leitura complementar desta unidade. O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as organizações, geralmente com a intenção de obter informações. ESTUDOS FU TUROS IMPORTANT E TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 15 A Figura 2 traz os principais tipos de ataques causadas por estas ameaças aqui expostas, referente a uma pesquisa de risco de segurança TI no ano de 2017. Pela referida figura é possível perceber que até 49% das organizações em todo o mundo relataram ter sido atacadas por vírus e Malware, um aumento de 11% em comparação com os resultados do ano anterior desta pesquisa. Das organizações que sofreram incidentes com vírus e Malware, pouco mais da metade (53%) deles considera os colaborados descuidados/ desinformados e mais de um terço (36%), considera que o engenheiro social/phishing contribuiu para a ameaça (KASPERSKY LAB, 2020). FIGURA 2 - VÍRUS E MALWARE FONTE: KASPERSKY LAB (2020, p. 1) Você está familiarizado com o termo engenharia social? Abordaremos esse tema no Tópico 2 desta unidade de estudo. ESTUDOS FU TUROS 2.4 ATAQUE À SEGURANÇA DA INFORMAÇÃO Ataque é “[...] qualquer ação que comprometa a segurança de uma organização” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3). “O ataque é um ato deliberado de tentar se desviar dos controles de segurança com o objetivo de explorar as vulnerabilidades” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Segundo Coelho, Araújo e Bezerra (2014, p. 4) existem quatro modelos de ataque possíveis, que estão demonstrados no Quadro 4, podendo ser do tipo passivo ou do tipo ativo, como exemplificado no Quadro 5. UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 16 QUADRO 4 – MODELOS DE ATAQUE MODELO DE ATAQUE DESCRIÇÃO Interrupção O modelo de ataque de interrupção ocorre “[...] quando um ativo é destruído ou torna-se indisponível (ou inutilizável), caracterizando um ataque contra a disponibilidade. Por exemplo, a destruição de um disco rígido” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Interceptação O modelo de ataque de interceptação ocorre “[...] quando um ativo é acessado por uma parte não autorizada (pessoa, programa ou computador), caracterizando um ataque contra a confidencialidade. Por exemplo, cópia não autorizada de arquivos ou programas” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Modificação O modelo de ataque de modificação ocorre “[...] quando um ativo é acessado por uma parte não autorizada (pessoa, programa ou computador) e ainda alterado, caracterizando um ataque contra a integridade. Por exemplo, mudar os valores em um arquivo de dados” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Fabricação O modelo de ataque de fabricação ocorre “[...] quando uma parte não autorizada (pessoa, programa ou computador) insere objetosfalsificados em um ativo, caracterizando um ataque contra a autenticidade. Por exemplo, a adição de registros em um arquivo” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). FONTE: A autora QUADRO 5 – TIPOS DE ATAQUE ATAQUE DESCRIÇÃO Passivo O ataque passivo é baseado “[...] em escutas e monitoramento de transmissões, com o intuito de obter informações que estão sendo transmitidas. A escuta de uma conversa telefônica é um exemplo dessa categoria. Ataques dessa categoria são difíceis de detectar porque não envolvem alterações de dados; todavia, são possíveis de prevenir com a utilização de criptografia” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). Ativo O ataque ativo envolve “[...] modificação de dados, criação de objetos falsificados ou negação de serviço, e possuem propriedades opostas às dos ataques passivos. São ataques de difícil prevenção, por causa da necessidade de proteção completa de todas as facilidades de comunicação e processamento, durante o tempo todo. Sendo assim, é possível detectá-los e aplicar uma medida para recuperação de prejuízos causados” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). FONTE: A autora TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 17 A Figura 3 traz os tipos de ataques relatados em pesquisa de risco de segurança de TI no ano de 2017 (dados globais), enquanto a Figura 4 demonstra que mais de um em cada quatro (27%) negócios sofreu ataques ativos, um aumento de 6% quando comparado ao ano anterior da pesquisa. Dessas organizações atacadas, mais de um quarto (28%) acredita que a engenharia social/phishing contribuiu para o ataque (KASPERSKY LAB, 2020). FIGURA 3 - TIPOS DE ATAQUES RELATADOS NA PESQUISA DE RISCO DE SEGURANÇA DE TI FONTE: KASPERSKY LAB (2020, p. 1) FIGURA 4 - ATAQUES ATIVOS FONTE: Kaspersky Lab (2020, p. 1) 2.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO Incidente de segurança é um evento simples ou até uma série de eventos de segurança da informação que não desejadas ou não apropriados, bem como possivelmente comprometem as operações do negócio da organização, UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 18 ameaçando a segurança da informação. Desta forma, podemos dizer que um incidente de segurança é qualquer evento fora do comum referente à segurança; “[...] por exemplo, ataques de negação de serviços (Denial of Service – DoS), roubo de informações, vazamento e obtenção de acesso não autorizado a informações” (COELHO; ARAÚJO; BEZERRA, 2014, p. 2). A ABNT NBR ISO/IEC 27035:2011 fornece orientações quanto ao gerenciamento de incidentes em segurança da informação. Resumidamente, o escopo da norma traz as atividades de: (i) detectar, relatar e avaliar os incidentes de segurança da informação; (ii) responder e gerenciar incidentes de segurança da informação; (iii) melhorar continuamente a segurança da informação e o gerenciamento de incidentes. Torres (2015, p. 17) ainda coloca que “[...] um incidente pode ou não trazer um impacto, sendo este último mensurado pela consequência que esta causa ao ativo da organização. Logo, um ativo de considerável valor implica em alto impacto e vice-versa”. Portanto, é importante que é a gestão dos incidentes de segurança da informação sejam devidamente tratados, pois a sua falta pode trazer danos consideráveis para o negócio da organização. A Figura 5 traz a pesquisa de risco de segurança de TI realizada mundialmente no ano de 2017, na qual é possível perceber que colaboradores descuidados ou desinformados, por exemplo, são a segunda causa mais provável de uma grave violação de segurança, perdendo somente para Malware. Além disso, em 46% dos incidentes de segurança cibernética no último ano, colaboradores descuidados/ uniformizados contribuíram para o ataque (KASPERSKY LAB, 2020). FIGURA 5 - PESQUISA DE RISCOS DE SEGURANÇA DE TI FONTE: Kaspersky Lab (2020, p. 1) TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 19 O erro humano da equipe não é o único ataque realizado, pelo qual as organizações estão sendo vítimas. No último ano, a equipe interna também causou problemas de segurança por meio de ações maliciosas, com 30% dos eventos de segurança nos últimos 12 meses, envolvendo pessoas trabalhando contra seus próprios colaboradores. Entre as organizações que enfrentaram incidentes de segurança cibernética nos últimos 12 meses, uma em cada dez (11%), os tipos mais graves de incidentes envolvem colaboradores descuidados (KASPERSKY LAB, 2020). 2.6 IMPACTO E PROBABILIDADE Impacto é a “[...] consequência avaliada de um evento em particular” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3) e a probabilidade “[...] é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativos” (TORRES, 2015, p. 17). Desta forma, as probabilidades, as vulnerabilidades e as ameaças se entrelaçam, ou seja, possuem uma forte ligação. Resumidamente, podemos dizer que as probabilidades são provavelmente as oportunidades de uma vulnerabilidade ser uma ameaça. A Figura 6 traz essas relações, exemplificando de uma maneira gráfica as relações e os relacionamentos entre os conceitos apresentados de ativos de informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança e probabilidade e impacto. FIGURA 6 - RELACIONAMENTO ENTRE CARACTERÍSTICAS DOS ATIVOS DA INFORMAÇÃO FONTE: Torres (2015, p. 18) UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 20 3 CLASSIFICAÇÃO DA INFORMAÇÃO Para que os colaboradores da organização possam ter um comportamento se- guro e devido da informação, é necessário que haja uma maneira de avaliar a impor- tância da informação, assim como quem pode ter acesso ao conteúdo dessas infor- mações. Dessa forma, a informação precisa ser classificada, visto que a classificação da informação contribui para a manutenção dos princípios básicos da informação. Segundo Dantas (2011, p. 15), ao classificar uma informação deve-se levar em conta “[...] o seu valor, requisitos legais, sensibilidade e criticidade para a organização”. Schneider (2015, p. 38) complementa que “O Governo Brasileiro atribui os níveis Ultrassecreto, Secreto, Confidencial e Reservado, definido pelo Decreto nº 60.417, de 11 de março de 1967, já as empresas privadas costumam atribuir outras nomenclaturas como por exemplo: Restrita, Confidencial, Interna e Pública”. Outra classificação ainda utilizada diz respeito à informação ser classificada como confidencial, restrita, interna e pública. As classificações são afins pedagógicos, pois cada organização deve adaptar o nível de sigilo da informação de acordo com a realidade de seu negócio e deve divulgar amplamente, para que seus colaboradores saibam o significado de cada nível da informação e como lidar com eles. Segundo Schneider (2015, p. 38), “Apesar de não ser obrigatório, o mais encontrado são quatro níveis de privacidade aplicados, porém pode ser utilizado mais ou menos níveis conforme a necessidade da organização”, como os aqui colocados no Quadro 6 e, em seguida, colocamos o roteiro de Schneider (2015) baseado na ABNT NBR ISO/IEC 27002: 2013, de como realizar a classificação da informação. QUADRO 6 – CLASSIFICAÇÃO DA INFORMAÇÃO CLASSIFICAÇÃO DESCRIÇÃO Confidencial A informação confidencial diz respeito a ela não ser divulgada sem autorização, podendo causar impactos de imagem, em âmbitos financeiros e/ou operacional, assim como sanções administrativas, criminosas e civis. A informação confidencial está restrita a um determinado grupo de pessoas. Portanto, é vital que as organizações tenham um programa de conscientização em segurança para garantir que os colaboradores estejam cientes da importância de proteger informações confidenciais, e o que devem fazer para lidar com informações com segurança e os riscos de manipular informações incorretamente. A compreensão dos colaboradores das consequências organizacionais e pessoais do manuseio incorreto de informações confidenciais é crucial para o sucesso de uma organização.Exemplos de possíveis consequências podem incluir multas aplicadas à organização, danos à reputação da organização e dos colaboradores e impacto no trabalho de um colaborador. É importante colocar em perspectiva o dano organizacional em potencial para o pessoal, detalhando como esse dano à organização pode afetar seus próprios papéis. TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 21 Restrita A informação é classificada como restrita por ser considerada um ativo “[...] para a empresa, ou por se tratar de conhecimento exclusivo, ou por normativos externos. O acesso a este conteúdo por pessoas ou processos não autorizados, pode gerar perdas para a organização. Entretanto, são necessárias para algumas pessoas ou setores dentro da organização realizarem seu trabalho. As informações podem se manter como restritas por longos prazos, devido a isso o planejamento do armazenamento deve prever todo o período, o acesso, o transporte, e o descarte, também não podem ser negligenciados” (SCHNEIDER, 2015, p. 38). Interna A informação interna é referente à organização não ter interesse de divulgar a informação, contudo, ela é fundamental para as pessoas internas da organização. Para Schneider (2015, p. 16), “As informações internas, não devem extrapolar o ambiente da organização, não representa ameaça significativa, mas o vazamento deve ser evitado. São enquadradas neste nível de sigilo as informações que qualquer membro da organização ou que esteja prestando um serviço para ela pode ter acesso para realizar suas atividades, este é considerado o menor grau de restrição ao acesso aos dados, porém ainda são informações que teve ter sua consulta identificada e autorizada, além de todos os demais ciclos da vida da informação observados”. Pública A informação pública possui tanto uma linguagem quanto um formato feito à divulgação do público em geral. Essa informação tem um caráter informativo, promocional ou comercial. “Pública são todas as demais informações que no geral já são de conhecimento geral, interno e externo, que não apresente nenhum risco para a organização e seus intervenientes, estas informações podem ser divulgadas, sendo que a organização pode ter como objetivo a divulgação, e obter o alcance de um grande número de pessoas ou processos ciente da informação” (SCHNEIDER, 2015, p. 38). FONTE: A autora 3.1 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISO/ IEC 27002:2013) 1. Nomear e identificar a informação a ser classificada. 2. Identificar os controles associados a informação. 3. Identificar os proprietários e responsáveis pela informação. 4. Criar um critério que atendam a necessidade da organização. UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 22 • A descrição da classificação deve ser clara, fazendo sentido no contexto. • A forma de classificação deve permitir que todas as pessoas envolvidas tenham o mesmo entendimento, aplicando o mesmo critério. • Recomenda classificar conforme sua confidencialidade, integridade, disponibilidade e valor. 5. Aplicar a classificação da informação. 6. Formalizar a classificação adotada na organização. Como nossa contribuição para provocar o processo de classificação, sugerimos algumas questões que poderão servir de base para elaboração de um questionário ou um quadro com pesos definidos a cada questão, objetivando a padronização no enquadramento da informação dentro dos critérios de classificação apresentados. 1) Valor • Qual é o grau de exclusividade? • Qual é o nível de confiabilidade da fonte? • Qual é a quantidade de informações acessórias que a acompanham? • Qual é o grau de interesse de terceiros? • Qual é a quantidade de terceiros interessados? • Qual é a importância da informação para a organização? 2) Confidencialidade • A informação é pública? • Sua divulgação causa algum dano ou prejuízo? • A divulgação causa constrangimento ou inconveniência operacional? • Sua divulgação tem impacto significativo nas operações ou objetivos táticos? • Sua divulgação causa alguma sansão ou punição? • Qual é a validade? 3) Disponibilidade • Quem ou a que processo pode ter acesso? • Qual é o prazo máximo para a entrega? • Qual é o meio para solicitar? • Qual é o meio para entrega? • O prazo de disponibilidade está sujeito a regulamentação externa? • Quais são os riscos de físicos de vazamento? • Quais são os riscos lógicos de vazamento? • Quais são os riscos humanos de vazamento? 4) Integridade • Quais são os dados que compõem a informação? TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS 23 • A fonte da informação é identificada e confirmada? • Em que mídia é disponibilizada a informação? • Em que mídia é armazenada a informação? • Como é feito o transporte? • Como são identificados os emissores e receptores? • Como é verificado se o destinatário recebeu? • Como é verificado se a informação entregue foi exatamente a mesma emitida? • Como é realizado o descarte? • O é verificado que o descarte foi realizado conforme determinado. A seriedade adotada atribui mais chances de a organização ser bem- sucedida na proteção das informações. O processo de segurança da informação e de sua proteção deve ser vista por meio de uma abordagem profissional. FONTE: SCHNEIDER, Carlos Alberto. Capítulo 4 – Classificação dos Ativos da Informação, do Livro: Governança da Segurança da Informação. Edição do Autor. Brasília, 2015, p. 37-45. 24 Neste tópico, você aprendeu que: • A informação está presente nas organizações em diferentes formatos: impressa, eletrônica, falada, vídeo, imagem etc., assim como a informação pode ser transmitida por voz ou por correio eletrônico. • A informação precisa ser protegida independente do seu tipo e formato. • As informações mantidas e processadas por uma organização estão sujeitas a ameaças de ataques, de erros, de natureza, assim como elas estão sujeitas a vulnerabilidades inerentes ao uso que fazemos da informação. • Os erros podem ser intencionais ou não intencionais. • As ameaças de natureza podem ser do tipo de incêndio, enchente e afins. • A informação é um ativo intangível fundamental para a sobrevivência da organização e desta forma precisa ser mantida segura. • A informação precisa ser disponibilizada de maneira precisa, completa e em tempo hábil para as pessoas autorizadas, por ser um catalisador para a eficiência dos negócios. • Ativo é tudo que tem valor para uma organização, podendo ser tangível ou intangível e de maneira lógica, física ou humana. • O termo segurança da informação, geralmente, é baseado em informações consideradas como um ativo, que possui um valor que exige proteção adequada, como contra a perda de Confidencialidade, Integridade e Disponibilidade (CID). • A Confidencialidade, Integridade e Disponibilidade (CID) formam os três pilares ou três princípios básicos da segurança da informação. • Os três princípios da segurança da informação também são conhecidos com a tríade CID ou CIA-triad, em referência aos termos Confidentiality, Integrity e Avalability. • O princípio da Confidencialidade se refere a certificar que somente os usuários autorizados tenham acesso à informação, dizendo respeito à ameaça de liberar informação não autorizada. • O princípio da Confidencialidade tem como objetivo “[...] garantir o acesso somente com autorização, ou seja, para que uma informação seja considerada segura é essencial que haja uma forma de garantir esta seja disponibilizada somente mediante autorização” (MACHADO JÚNIOR, 2018, p. 60). RESUMO DO TÓPICO 1 Famlia _SGI Realce 25 • O princípio da Integridade se refere à informação não ser adulterada. Portanto, a informação precisa ser mantida no estado em que ela foi disponibilizada pelo dono da informação (o proprietário), objetivando proteger a informação de qualquer tipo de alteração (acidental, intencional ou indevida). • O princípio da integridade tem como objetivo garantir que a informação não sofra alterações indevidas. • O princípioda Disponibilidade se refere à informação estar disponível, independente do seu desígnio. • Ao longo dos anos, outros modelos sugiram baseados na tríade CID e outras propriedades de segurança da informação foram acrescentadas a esses três princípios básicos da segurança da informação. • A Autenticidade visa garantir a verdadeira autoria, ou seja, visa atestar que a informação é de fato oriunda de determinada fonte, garantindo que a informação foi criada, expedida, alterada, removida por determinado órgão, sistemas ou entidade. • A Irretratabilidade visa garantir a autoria da informação fornecida, para que uma pessoa ou entidade não negue alguma atividade ou ação, como por exemplo: assinar ou mesmo criar um documento ou arquivo. • A Responsabilidade visa garantir que a pessoa responda por seus atos, incluso diante da lei. • A Confiabilidade visa garantir que a informação é proveniente de uma fonte autêntica, expressando uma mensagem fidedigna, ou seja, que a informação é confiável. • A Privacidade se refere ao sistema “[...] obedecer à legislação (em termos de privacidade) e deve permitir aos indivíduos controlar, sempre que possível, as suas informações pessoais” (MACHADO JÚNIOR, 2018, p. 70). • A Auditabilidade se refere a, “[...] capacidade de conduzir monitoramento persistente de todas ações realizadas por seres humanos e máquinas no ambiente” (MACHADO JÚNIOR, 2018, p. 70). • Devemos proteger tudo que tiver algum valor para o negócio da organização, ou seja, os ativos da informação. • A informação é um próprio ativo, sendo encontrada nas documentações dos sistemas, em manuais de utilização, nas bases de dados (relacionais e não relacionais), contratos e acordos, planos de contingência, de continuidade e assim por diante. • A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. Portanto, podemos entender a vulnerabilidade como uma fragilidade. • As vulnerabilidades podem ser físicas, naturais, hardware, software, meios de armazenamento, comunicação, humana. 26 • A vulnerabilidade física está relacionada às instalações prediais fora do padrão; salas de departamento de tecnologia mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio. • A vulnerabilidade natural se refere a que os computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc. • A vulnerabilidade de hardware está relacionada aos possíveis defeitos de configuração ou de fabricação dos equipamentos, permitindo que eles sejam atacados ou alterados. • A vulnerabilidade de software é referente todo e qualquer aplicativo que possui algum ponto fraco, permitindo acessos indevidos. • A vulnerabilidade de meios de armazenamento é referente a tudo que der suporte ao armazenamento da informação. • A vulnerabilidade de comunicação inclui “[...] todos os pontos fracos que abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de rádio, telefone, internet, wap, fax etc.)” (DANTAS, 2011, p. 29). • A vulnerabilidade humana constitui “[...] a maior preocupação dos especialistas, já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade” (DANTAS, 2011, p. 28). • “Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas” (DANTAS, 2011, p. 30). • As ameaças podem ser propositais ou acidentais. • As ameaças propositais são causadas por uma pessoa, podendo trazer consequenciais ao sistema, ao ambiente ou mesmo no ativo da informação. • As ameaças acidentais dizem respeito aos desastres naturais, são falhas de hardware, erros de programação etc. • As ameaças propositais se referem as fraudes, roubos, invasões etc., podendo ser do tipo ativa ou passiva. • A ameaça ativa envolve alterar os dados e a ameaça passiva diz respeito a invasão e/ou monitoramento, em que os dados não são alterados. • Dentre as ameaças existentes é necessário prestarmos atenção sobre os códigos maliciosos, destacando principalmente os vírus. • O vírus é um programa ou parte de um programa de computador, o qual se propaga por meio de cópias de si mesmo, infectando outros programas e arquivos de computador. • O cavalo de troia é um programa que executa funções maliciosas sem o conhecimento do usuário. 27 • O Adware é um tipo de software projetado para apresentar propagandas, seja por meio de um navegador, seja com algum outro programa instalado em um computador. • Keyloggers são programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. • Worm é um programa capaz de se propagar de forma automática por meio de redes, enviando cópias de si mesmo de computador para computador. • Bot é um programa capaz se propagar de maneira automática, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. • Botnets são as redes formadas por computadores infectados com bots. • Roorkit é um conjunto de programas que utiliza mecanismos para esconder e assegurar a presença do invasor no computador comprometido. • O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as organizações, geralmente com a intenção de obter informações. • Ataque é “[...] qualquer ação que comprometa a segurança de uma organização” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3). • “O ataque é um ato deliberado de tentar se desviar dos controles de segurança com o objetivo de explorar as vulnerabilidades” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). • O ataque pode ser do tipo ativo ou passivo e que podem existir quatro modelos de ataques: interrupção, interceptação, modificação e fabricação. • Incidente de segurança é um evento simples ou até uma série de eventos de segurança da informação que não desejadas ou não apropriados, bem como possivelmente comprometem as operações do negócio da organização, ameaçando a segurança da informação. • Impacto é a “[...] consequência avaliada de um evento em particular” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3) e a probabilidade “[...] é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativos” (TORRES, 2015, p. 17). • As probabilidades são provavelmente as oportunidades de uma vulnerabilidade ser uma ameaça. • A informação precisa ser classificada e essa classificação contribui para a manutenção dos princípios básicos da segurança. • Ao classificar uma informação deve-se levar em conta “[...] o seu valor, requisitos legais, sensibilidade e criticidade para a organização” (DANTAS, 2011, p. 15). 28 • As classificações são a fins pedagógicos, pois cada organização deve adaptar o nível de sigilo da informação de acordo com a realidade de seu negócio e deve divulgar amplamente, para que seus colaboradores saibam o significado de cada nível da informação e como lidar com eles. • A informação pode ser classificada como confidencial, restrita, interna e pública. • A informação confidencial diz respeito a ela não ser divulgada sem autorização, podendo causar impactos de imagem, em âmbitos financeiros e/ ou operacional, assim como sanções administrativas, criminosas e civis. • A informação é classificada como restrita por ser considerada um ativo “[...] para a empresa, ou por se tratar de conhecimento exclusivo, ou por normativos externos” (SCHNEIDER, 2015, p. 38). • O acesso ao conteúdo da informação restrita “[...] por pessoas ou processos não autorizados, pode gerar perdas para a organização” (SCHNEIDER, 2015, p. 38). • A informação interna é referente a organização não ter interesse de divulgar a informação, contudo, ela é fundamental para a pessoas internas da organização. • A informação pública possui tanto uma linguagemquanto um formato feito à divulgação do público em geral. • A seriedade adotada ao classificar as informações atribui mais chances de a organização ser bem-sucedida na proteção das informações. • O processo de segurança da informação e de sua proteção deve ser vista por meio de uma abordagem profissional. 29 1 Os três princípios básicos da segurança da informação são: Confidencialidade,Integridade e Disponibilidade (CID). Este conjunto é conhecido como o tripé da segurança da informação aqui no Brasil e internacionalmente conhecido como “CIA-triad”, devido aos termos Confidentiality, Integrity e Avalability. No contexto apresentado, analise as sentenças a seguir e indique a afirmativa com a ordem CORRETA das definições: I - Garantir que somente os usuários autorizados tenham acesso à informação. II - Garantir que a informação não seja adulterada indevidamente. III - Garantir que a informação esteja disponível, independente do seu desígnio. a) ( ) Confidencialidade – Integridade – Disponibilidade. b) ( ) Confidencialidade – Disponibilidade– Integridade. c) ( ) Integridade – Confidencialidade – Disponibilidade. d) ( ) Disponibilidade – Confidencialidade – Integridade. 2 A confidencialidade necessita que exista algum tipo de barreira para impedir o acesso direto. Ambiente que são controlados e acessíveis somente por algum tipo de chave de acesso como conta de e-mail, uma área específica de uma organização, um servidor de banco de dados, um cofre e afins são exemplos de confidencialidade. Qual recurso pode ser utilizado para aprimorar a confidencialidade? a) ( ) Criptografia. b) ( ) Malware. c) ( ) Spam. d) ( ) Notificação. 3 Ao longo dos anos, outros modelos sugiram baseados na tríade Confidencialidade, Integridade e Disponibilidade (CID) e outras propriedades de segurança da informação foram acrescentadas a esses três princípios básicos da segurança da informação. Com relação às propriedades adicionadas, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as sentenças falsas: ( ) A autenticidade visa garantir a verdadeira autoria. ( ) A irretratabilidade visa garantir a autoria da informação fornecida, para que uma pessoa ou entidade não negue alguma atividade ou ação. ( ) A responsabilidade visa garantir que a informação é proveniente de uma fonte autêntica, expressando uma mensagem fidedigna, ou seja, que a informação é confiável. ( ) A confiabilidade visa garantir que a pessoa responda por seus atos, incluso diante da lei. Assinale a alternativa com a sequência CORRETA: AUTOATIVIDADE 30 a) ( ) V – F – V – F. b) ( ) V – V – F – F. c) ( ) F – V – V – F. d) ( ) F – F – V – V. 4 A informação é um próprio ativo, sendo encontrada nas documentações dos sistemas, em manuais de utilização, nas bases de dados (relacionais e não relacionais), contratos e acordos, planos de contingência, de continuidade e assim por diante. Além desses ativos, existem outros ativos. Com relação a esses outros ativos, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas: ( ) Os ativos de software são aqueles como ferramentas, sistemas, aplicativos etc. ( ) Os ativos físicos dizem respeito a reputação da organização. ( ) Os ativos intangíveis se referem aos equipamentos de comunicação e computacionais, mídias removíveis etc. ( ) Os ativos de serviços de forma geral estão relacionados a refrigeração, eletricidade, iluminação etc. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) V – F – V – F. c) ( ) F – V – V – F. d) ( ) V – F – F – V. 5 A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. Portanto, podemos entender a vulnerabilidade como uma fragilidade. Precisamos saber identificar nossas vulnerabilidades, devido a elas comprometerem os princípios da segurança da informação são rompidos. Com relação às possíveis vulnerabilidades, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas: ( ) Instalações prediais fora do padrão; salas de departamento de tecnologia mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de ex- plosões, vazamento ou incêndio são exemplos de vulnerabilidades naturais. ( ) Falha nos recursos tecnológicos como desgaste, obsolescência, má utilização ou erros durante a instalação são exemplos de vulnerabilidade de software. ( ) Discos, fitas, relatórios e impressos podem ser perdidos ou danificados são exemplos de vulnerabilidades de meios de armazenamento. ( ) A inexistência de sistemas de criptografia nas comunicações; a escolha er- rônea dos sistemas de comunicações que são utilizados para enviar men- sagens são exemplos de vulnerabilidades de comunicação. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) F – F – V – V. c) ( ) F – V – V – F. d) ( ) V – F – V – F. 31 TÓPICO 2 — UNIDADE 1 CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 1 INTRODUÇÃO Em cibernética, o elemento humano é considerado o elo mais fraco da segurança, contudo, há formas significativas de reduzir o risco. De fato, os ataques estão presentes no cotidiano das pessoas e das organizações, sendo necessário que os colaboradores se tornem firewalls humanos. Os hackers estão plenamente conscientes de que o erro humano é o fruto que eles podem explorar para obter acesso irrestrito até às mais sofisticadas infraestruturas técnicas. Os fatores humanos acabam ficando em segundo plano. “Um dos principais problemas que a segurança da informação deve tratar é a segurança em pessoas. A cooperação dos usuários é essencial para a eficácia da segurança” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). O fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade CID, devido a, “[...] o usuário que não mantiver a confidencialidade da senha, não evitar o registro da mesma em papéis que não estão guardados em locais seguros, não utilizar senhas de qualidade ou ainda que compartilhe senhas individuais, compromete a segurança da informação” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). A tecnologia sozinha não pode ser a solução. Segundo Rabelo Júnior e Vieira (2015, p. 47), “A solução efetiva para integrar pessoas requer ações gradativas e constantes visando criar e fortalecer a cultura de segurança da informação”. Quando uma organização incorpora a cultura da segurança da informação, as ameaças de hoje, e os emergentes de amanhã não parecerão mais tão ameaçadores. “Esta cultura não pode ficar restrita às organizações, é um trabalho cujo resultado positivo é certo, mas não é imediato e requer planejamento” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). As pessoas geralmente mudam a maneira de se portarem quando estão em situações de risco, e suas decisões são fundamentadas em situações que exigem confiança. Rabelo Júnior e Viera (2015, p. 47) colocam que “A engenharia social se aproveita dessas brechas e da falta de consciência com relação à segurança”. A informação é o melhor jeito de enfrentar a engenharia social. Dessa forma, os colaboradores de uma organização precisam estar bem informados referente à engenharia social. Mas afinal de contas, o que é a engenharia social? Famlia _SGI Realce 32 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 2 ENGENHARIA SOCIAL A associação dos termos engenharia e social contêm um sentido diferenciado referente à segurança da informação. Esses termos juntos concebem a forma que os engenheiros utilizam de burlar pessoas para obter informações sigilosas de maneira fácil e sem que as estas pessoas se deem conta. Pode-se dizer que o termo engenharia social é usado para caracterizar aquelas intrusões que não forem técnicas, enfatizando a interação humana. Além disso, a engenharia social está relacionada a ter habilidade de iludir as pessoas com o objetivoque os procedimentos de segurança da informação sejam violados (RABELO JÚNIOR; VIEIRA, 2015). A Figura 7 traz o perfil do engenheiro social, ou seja, pessoas com boa aparência, com habilidade em lidar com pessoas, bem educadas e agradáveis. FIGURA 7 - PERFIL DO ENGENHEIRO SOCIAL FONTE: Rabelo Júnior e Vieira (2015, p. 49) O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as organizações, geralmente, com a intenção de obter informações. ATENCAO TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 33 As organizações conectadas à rede de hoje enfrentam ameaças de segurança cada vez maiores, pois a tecnologia da informação provê diversas facilidades como porta de entrada para pessoas fraudulentas (BRECHT, 2019). Segundo Rabelo Júnior e Vieira (2015), os vírus que são implantados em computadores quando se realiza um download ou quando uma pessoa faz um clique, em determinando link recebido por meio e-mail malicioso, são maneiras de invadir uma rede corporativa. Essas invasões podem gerar prejuízos para toda organização, não somente em nível financeiro. Dessa forma, o treinamento de conscientização de segurança vale a pena. Todo o pessoal precisa estar ciente das ameaças comuns, para que, no mínimo, não sejam vítimas fáceis de golpes e tentativas do engenheiro social/phishing. Os colaboradores que possuem conscientização quando são vítimas de ataques mais sofisticados pelos engenheiros sociais conseguem minimizar os efeitos dos ataques, reunindo informações necessárias e notificando o departamento apropriado por meio dos canais certos. Cabe destacar ainda, que a organização depende de seus colaboradores para promover uma cultura consciente da segurança, reduzir riscos e prevenir ameaças cibernéticas (BRECHT, 2019). Portanto, é fundamental que exista a inclusão de conscientização de ataques de engenharia social (BRECHT, 2019). Uma maneira de um invasor usar a engenharia social é adquirir as credenciais de um usuário e percorrer a organização de uma área de baixa segurança para uma área de alta segurança. Acesso privilegiado é referente aos usuários que possuem direito de acesso acima de um usuário normal. Normalmente, é concedido acesso privilegiado aos usuários que precisam executar funções de nível administrativo ou acessar dados confidenciais, que podem incluir o acesso aos dados do titular do cartão. O acesso privilegiado pode incluir acesso físico e/ou lógico. • Grifters são aquelas pessoas que visam enganar pessoas, enquanto o engenheiro social visa enganar as organizações. • Phishing é um tipo de engenharia social na tentativa de se obter informações confidenciais, por exemplo, senhas, nomes de usuários, detalhes do cartão de pagamento, de uma pessoa por um canal de bate-papo, um fórum, por e-mail e afins. O agressor geralmente finge ser alguém confiável ou conhecido do indivíduo. IMPORTANT E NOTA 34 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO Adaptar essa conscientização para refletir os tipos de ataques que a organização pode encontrar fornece resultados mais eficazes. Pois de acordo com Rabelo Júnior e Vieira (2015, p. 50): Vale lembrar que o engenheiro social, visa conseguir informações valiosas com técnicas de enganar pessoas, sem se dar o trabalho de invadir um sistema. Através de um diálogo convincente e envolvente o indivíduo de um help desk por exemplo chega a gerar nova senha no sistema e informa ao transgressor, este consegue de forma fácil e rápida se passa pelo usuário final e tendo em mãos todas as informações precisas sem muito esforço. Mas, ainda não destacamos o principal, todas essas tentativas são realizadas com sucesso por conta de um ator principal que é o homem. No caso da engenharia social, do funcionário, colaborador de uma empresa corporativa. Estudos mostram o quanto é fácil distrair a atenção de uma pessoa, mesmo que aparentemente esteja atenta. São fórmulas usadas por mágicos para trazer a ilusão de suas apresentações. Uma das técnicas adquiridas por Kevin Mitnick, o que o ajudou a ser reconhecido como o rei da engenharia social. Dessa forma, os colaboradores devem estar cientes dos métodos comuns pelos quais fraudadores, hackers ou outras pessoas mal-intencionados podem tentar obter credenciais, dados de cartão de pagamento e outros dados confidenciais, para minimizar o risco de o pessoal disseminar informações confidenciais involuntariamente a terceiros (IMAN, 2020). Segundo Rabelo Júnior e Vieira (2015), a pessoa que é a vítima de uma extorsão é como uma marionete, só que manipulada pelo homem. Para isso, basta apenas que o engenheiro social (fraudador) consiga a confiança da pessoa, por meio de um conhecimento mínimo da organização para obter a informação quista. Entretanto, na maioria das vezes não é somente o colaborador que é explorado, Rabelo Júnior e Vieira (2015, p. 50) observam, que o engenheiro social “[...] começa do operacional até chegar ou se passar por um executivo”. Ou seja, a partir do momento que o engenheiro social tem sua primeira vítima, é fácil ele obter informações das demais pessoas da organização. E a organização, como pode lidar com esse tipo de situação? As organizações têm investido em treinamento de políticas e procedimentos organizacionais, especificando o manuseio adequado dos dados, incluindo o compartilhamento e a transmissão de dados confidenciais (SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP, 2014). Rabelo Júnior e Vieira (2015, p. 51) complementam que as organizações também contratam “[...] especialistas em segurança da informação, implantando políticas de segurança para o ambiente organizacional, treinando seus funcionários e bloqueando acessos Web em estações de trabalho”. Contudo, esses investimentos não terão a resposta esperada “[...] se a conscientização não partir do colaborador, este, se estiver desmotivado pode até dar uma forcinha ao engenheiro social, visando a uma vingança devido a sua insatisfação” (RABELO JÚNIOR; VIEIRA, 2015, p. 51). Rabelo Júnior e Vieira (2015) destacam as seguintes técnicas a serem utilizadas, tanto em separado quanto as combinando: TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 35 • Contato por telefone realizados por meio de ferramentas de mensagens simulando pessoa com afinidades com a vítima. • Obtenção de informações vazadas por parte da administração de rede e colaboradores em geral em listas de discussão ou comunidades virtuais na Internet, motivando também um contato posterior de forma mais estruturado. • Utilizar telefone público, dificultando detecção. • Varredura do lixo informático, visando obter informações adicionais para tentativas posteriores de contato. • Passar pela equipe de manutenção. • Realizar visita em pessoa, se passando por estudante, estagiário ou pessoa com disfarce de ingenuidade. • Contatos telefônicos, para simular algum tipo de atendimento de suporte ou uma ação de emergência. • Contato por meio de e-mail, se passando como estudante interessado em pesquisa referente determinado assunto ou como pessoa interessada em determinado assunto que for de conhecimento da vítima. 3 DISSEMINAÇÃO DA CONSCIENTIZAÇÃO Ao se tratar de pessoas, precisamos lembrar que seres humanos “[...] são imperfeitos e situações de risco modificam os comportamentos naturais e decisões serão fortemente baseadas em confiança ou grau de criticidade da situação” (RABELO JÚNIOR; VIEIRA, 2015, p. 52). Em detrimento destes aspectos, a engenharia social se faz eficaz, sendo necessário que a organização crie uma cultura corporativa forte, com priorização na conscientização e treinamento de seus colaboradores (BRECHT, 2019). A organização precisa treinar e educar seus colaboradores referente aos ativos da informação e como elas devem ser protegidas, para que os ataques de engenharia social sejam identificados como situações de risco. Para criar e disseminar essa consciência as organizações devem criar e divulgar suas políticas,normas e procedimentos de segurança da informação por meio de um plano (programa) de treinamento e conscientização constantes (RABELO JÚNIOR; VIEIRA, 2015). Estabelecer e manter a conscientização sobre segurança da informação por meio de um programa de conscientização sobre segurança é vital para o progresso e o sucesso de uma organização. Um programa de conscientização de segurança robusto e implementado adequadamente auxilia a organização na educação, monitoramento e manutenção contínua da conscientização de segurança dentro da organização (SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP, 2014, BRECHT, 2019). 36 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO As políticas de segurança são instruções claras que fornecem as orientações de comportamento do colaborador, visando proteger as informações. Essas políticas são um elemento fundamental no desenvolvimento de controles efetivos para conter possíveis ameaças à segurança e estão entre os instrumentos mais significativos para evitar e detectar os ataques da engenharia social. Já os controles efetivos de segurança devem ser definidos tanto nos procedimentos quanto nas políticas implementadas pelo treinamento dos colaboradores. Contudo, é importante observar que as políticas de segurança, mesmo que sejam seguidas rigorosamente por todos, não evitam todos os ataques da engenharia social (RABELO JÚNIOR; VIEIRA, 2015, BRECHT, 2019). Ao desenvolver uma política de segurança, deve-se levar em consideração que existem colaboradores que não têm conhecimento da linguagem técnica (PIVOT POINT SECURITY, 2020). Portando, os jargões técnicos não devem ser utilizados para que o documento seja de fácil entendimento por qualquer colaborador. Além disso, Rabelo Júnior e Viera (2015) colocam, que o documento precisa ser claro quanto a relevância da política de segurança, possibilitando que os colaboradores não encarem essas práticas como perca de tempo. Os colaboradores devem ser aconselhados sobre as consequências do não cumprimento dos procedimentos e das políticas de segurança. Assim, é aconselhável que seja desenvolvido um resumo das consequências da violação das políticas, bem como ele deve ser amplamente divulgado. Por conseguinte, um programa de recompensa deve ser criado para aqueles colaboradores que demonstram boas práticas de segurança ou que identificam e relatam um incidente de segurança. Sempre que um colaborador for recompensado por frustrar uma quebra de segurança, isso deve ser amplamente divulgado em toda organização. Essa divulgação pode ser feita com um artigo circular da organização (RABELO JÚNIOR; VIEIRA, 2015). A conscientização de segurança deve ser conduzida como um programa contínuo para garantir que o treinamento e o conhecimento não sejam entregues apenas como uma atividade anual e sim para manter um alto nível de conscientização de segurança diariamente. Um programa de conscientização estimula e motiva colaboradores treinados a se preocuparem com a segurança e os continua lembrando dos impactos e consequências de não levar a segurança a sério. Além disso, é provável que um programa de conscientização de segurança seja significativamente menos dispendioso do que outras medidas de segurança. Ou seja, ter um programa ou um plano de conscientização é o primeiro passo para proteger a organização e seus colaboradores (SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP, 2014, BRECHT, 2019). IMPORTANT E TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 37 Um dos objetivos de um programa de conscientização referente à segurança é a comunicação da importância das políticas de segurança e o dano que a falha em seguir essas regras pode causar (PIVOT POINT SECURITY, 2020). Dada à natureza do ser humano, os colaboradores ocasionalmente sabotam ou ignoram aquelas políticas que lhes parecem sem justificativas ou devido demandaram muito tempo. É de responsabilidade da gerência certificar que os colaboradores entendam a importância dos procedimentos e das políticas e sejam motivados para as atender, e não as tratar como obstáculos ou desafios a serem contornados (RABELO JÚNIOR; VIEIRA, 2015, BRECHT, 2019). As políticas de segurança devem sofrer mudanças ou serem suplementadas à medida que novas tecnologias de segurança da informação surgem ou à medida que as vulnerabilidades de segurança evoluem. Rabelo Júnior e Vieira (2015) apontam que deve ser estabelecido um processo de exame e atualização regular da política de segurança adotada. Cabe destacar ainda, que é necessário que sejam realizados testes periódicos de penetração e avaliações de vulnerabilidade, fazendo uso de táticas e métodos da engenharia social. Essas abordagens devem ser utilizadas para que se consigam expor os pontos fracos da capacitação de conscientização ou até mesmo a ausência de cumprimento do procedimento e das políticas da organização. Para que essas abordagens aconteçam, é necessário que os colaboradores sejam avisados de que tais testes podem ocorrer de tempos em tempos (RABELO JÚNIOR; VIEIRA, 2015). O objetivo central de um programa de conscientização referente segurança deve influenciar as pessoas para que elas mudem seu comportamento e suas atitudes, motivando cada colaborador a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização (RABELO JÚNIOR; VIEIRA, 2015). ATENCAO Um ótimo motivador nesse caso é explicar como a participação das pessoas beneficiará não apenas a organização, mas também os colaboradores de forma individual. Como a organização detém determinadas informações particulares sobre cada colaborador, quando os colaboradores fazem a sua parte para proteger as informações ou os sistemas de informações, na verdade eles estão protegendo também as suas próprias informações. IMPORTANT E 38 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO Em outra vertente, mas não menos importante, está o suporte necessário exigido pelo programa de conscientização. O esforço de treinamento precisa alcançar cada uma das pessoas que fazem parte da organização com acesso às informações confidenciais ou aos sistemas computacionais. Ele também precisa ser contínuo e sofrer revisões constantes para propiciar atualizações aos colaboradores referentes as novas ameaças e vulnerabilidades. Os colaboradores devem ver que a gerência e alta direção estão comprometidos com a conscientização (RABELO JÚNIOR; VIEIRA, 2015). A tecnologia está envolvida, de forma geral, com muitos aspectos da segurança da informação. Dessa forma, muitas vezes, os colaboradores pensam que o problema está sendo resolvido (tratado) por firewalls e por outras tecnologias de segurança. Um dos objetivos principais da conscientização é justamente para que o colaborador crie consciência que eles são a linha de frente na proteção da segurança geral da organização (RABELO JÚNIOR; VIEIRA, 2015). Brecht (2019) complementa que um aspecto importante a ser focado não é se a conscientização sobre segurança vale a pena e sim que ela deve ser realizada com as melhores práticas e de forma eficiente, para fortalecer a postura referente a conscientização. A conscientização deve ter um objetivo substancialmente maior do que simplesmente impor regras. O conhecimento das táticas da engenharia social e de como se defender dos ataques é importante, contudo, esse conhecimento não servirá para nada se o treinamento não se concentrar na motivação dos colaboradores para aplicarem os conhecimentos aprendidos. Portanto, as organizações precisam de conscientizações adaptadas aos distintos grupos de colaboradores, por exemplo: pessoal de segurança física, os recepcionistas, assistentes administrativas, os usuários de computadores, o pessoal de TI e os gerentes (RABELO JÚNIOR; VIEIRA, 2015). Outra característica importante que precisa ser levada em consideração na conscientização é referente aos colaboradores da segurança física de uma organização. Esses colaboradores geralmentenão são proficientes em tecnologia, ou utilizem a tecnologia de uma maneira limitada, não entrando em contato com os computadores da organização e em grande parte não são considerados ao se criar a conscientização. Contudo, esses colaboradores responsáveis pela segurança ou pela entrada predial podem ser enganados pelos engenheiros sociais justamente para terem acesso a organização. Esse acesso pode se dar de forma física ou de forma a executarem alguma ação que resulte na invasão de um computador. Portanto, é importante que a conscientização seja para todos os colaboradores da organização (RABELO JÚNIOR; VIEIRA, 2015). Rabelo Júnior e Vieira (2015) sugerem que após a sessão de treinamento inicial, sessões mais longas devem ser criadas para educar os colaboradores referente às vulnerabilidades específicas e técnicas de ataque sobre à sua posição na organização. A conscientização deve ser realizada no mínimo uma vez por ano. Pois, a natureza da ameaça e os métodos utilizados para explorar colaboradores de TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 39 uma organização estão em constante evolução, e consequentemente, o conteúdo da conscientização precisa ser devidamente atualizado (BRECHT, 2019). Além disso, com o passar do tempo, as pessoas voltam a zona de conforto e toda a conscientização das pessoas diminuem com o tempo, de modo que a conscientização deve ser realizada de tempos em tempos razoáveis, visando reforçar os princípios da segurança da informação (RABELO JÚNIOR; VIEIRA, 2015). Por definição, a engenharia social está relacionada a algum tipo de interação humana. Frequentemente, um engenheiro social (atacante) faz uso tanto de vários métodos de comunicação como de várias tecnologias, objetivando seu alvo. Desta forma, Rabelo Júnior e Vieira (2015) observam que um programa de conscientização bem elaborado deve estar atento aos seguintes itens: • As políticas de segurança relacionadas com senhas de computador e voice mail. • O procedimento de divulgação de informações ou material confidencial. • A política de uso do correio eletrônico, incluindo as medidas para evitar ataques maliciosos de código, tais com vírus, worms e Cavalos de Tróia. • Os requisitos de segurança física, tais como a utilização de crachás. • A responsabilidade de questionar as pessoas que estão nas instalações sem o crachá. • As melhores práticas de segurança para o uso do voice mail. • Como determinar a classificação das informações e as medidas adequadas para proteger as informações confidenciais. • A eliminação adequada de documentos confidenciais e mídia de computador que contenham, ou que já tenham contido material confidencial. Destacamos que a ênfase precisa estar em manter os colaboradores convencidos em relação a importância das políticas de segurança e motivados para que as sigam, além de expor as ameaças específicas e os métodos da engenharia social. Portanto, é fundamental que no plano de capacitação dos colaboradores sejam incluídos cursos de capacitação, crachás de identificação, termo de responsabilidade e de confiabilidade, procedimentos específicos para demissão e admissão de colaboradores, campanhas de divulgação da política de segurança, software de acesso, de monitoramento e de filtragem de conteúdo, seminários de sensibilização e conscientização. IMPORTANT E 40 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO Nesse sentido, segundo Brecht (2019), as técnicas utilizadas pela organização podem incluir uma ou mais ferramentas de conscientização instrucional e de avaliação, conforme sugerido pela Publicação Especial NIST 800-50, criando um programa de conscientização e treinamento em segurança da tecnologia da informação de outubro de 2003. Iremos abordar o referencial indicado em nossa unidade 3 de estudo. Iman (2020) ainda coloca que o programa de conscientização ideal deve incorporar os 10 exercícios de comportamento seguro apresentados no Quadro 7. IMPORTANT E QUADRO 7 – 10 EXERCÍCIOS DE COMPORTAMENTO SEGURO EXERCÍCIO DESCRIÇÃO 1. Política de secretaria limpa ou mesa limpa Notas adesivas, papéis e impressões podem ser facilmente capturadas por pessoas mal-intencionadas e vistas por olhares indiscretos. De acordo com o comportamento seguro da política de mesa limpa, os únicos documentos que devem ser deixados expostos são aqueles relevantes para o projeto atual em que você está trabalhando. Todas as informações sensíveis e confidenciais devem ser removidas da mesa ao final de cada dia útil. Durante o almoço ou qualquer partida de emergência durante o horário de expediente, todas as informações críticas devem ser colocadas em uma gaveta trancada. 2. Política de traga seu próprio dispositivo, também conhecida como Bring Your Own Device (BYOD) O BYOD abrange os bens de computação pessoal dos colaboradores que podem ser usados em um ambiente de trabalho. Eles podem incluir dispositivos móveis, reprodutores de áudio, câmeras digitais e vários outros dispositivos eletrônicos portáteis, que podem ser utilizados para roubar dados confidenciais. Os BYODs também fazem parte da "consumerização de TI", pela qual o hardware e/ou software de um colaborador é trazido para a organização. Garantir a segurança dos dispositivos no BYOD é uma tarefa assustadora. No entanto, as organizações podem alcançá-lo ao implementar o comportamento seguro de maneira proativa. 3. Gerenciamento de Dados Existem vários tipos de dados, como uma cópia de backup dos contratos dos clientes ou declarações da missão, e muitos colaboradores podem não estar cientes desses ativos da informação. Nesses casos, os colaboradores não percebem a importância desse dado ou dessa informação classificada. Por exemplo, do ponto de vista TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 41 financeiro, uma cópia de backup de um contrato de cliente é mais importante do que uma cópia de backup de uma declaração da missão. Os colaboradores devem aprender sobre os tipos de dados existentes, para que possam entender o valor daquela informação para o negócio da organização. 4. Mídia removível É mais comum do que se possa imaginar um colaborador encontrar um pen drive removível ou um disco rígido externo no estacionamento e o trazerem para dentro da organização e conectarem em seu computador para ver a quem ele pertence. Consequentemente, eles acabam descobrindo que o dispositivo foi plantado lá para destruir ou assumir o controle do computador com Malware. O uso seguro de dispositivos pessoais e corporativos é crucial. Mídia removível não autorizada pode ser um convite para problemas de segurança de dados, infecção por Malware, falha de hardware e violação de direitos autorais. A equipe corporativa deve ser informada sobre as ameaças à mídia removível não solicitada e proibir o acesso de qualquer mídia perdida, como um disco rígido externo. 5. Hábitos seguros da internet Quase todo trabalhador, especialmente em tecnologia, tem acesso à internet. Por esse motivo, o uso seguro da internet é de suma importância para as organizações. Os programas de conscientização em segurança devem incorporar hábitos seguros da internet, evitando que a rede corporativa seja invadida. Alguns comportamentos seguros que os colaboradores devem ter ao fazer uso da internet são: (i) os colaboradores devem estar familiarizados com ataques de phishing e aprender a não abrir anexos maliciosos ou clicar em links suspeitos. Isso é alcançado com uma compreensão mais profunda dos sinais de alerta de um ataque de phishing; (ii) é melhor desativar as janelas pop-up, pois elas convidam a riscos; (iii) colaboradores devem abster-se de instalar programas de software de fontes desconhecidas, especialmente links infectados por Malware. Atualmente, um número esmagador de sites oferece programas gratuitos de segurança na Internet de forma enganadora, pois na verdade o que eles fazem é infectar o sistema ao invés de o proteger. 6. Segurançafísica e controles ambientais A conscientização de segurança não é apenas sobre o que reside nos computadores ou dispositivos portáteis da organização. Os colaboradores devem estar cientes dos 42 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO possíveis problemas de segurança originados nos aspectos físicos do local de trabalho. Isso inclui consciência do ambiente e dos componentes físicos. Exemplos de questões de controle de ambiente incluem: (i) visitantes ou novos contratados assistindo os colaboradores digitarem senhas; (ii) entrada de visitantes que alegam ser inspetores, exterminadores ou outros visitantes incomuns que possam estar procurando entrar no sistema; (iii) deixar senhas em pedaços de papel na mesa; (iv) deixar o computador ligado e não protegido por senha ao sair do trabalho durante a noite; (v) deixar um telefone ou dispositivo pelo escritório à vista. A segurança física também pode abranger aspectos físicos do edifício, desde trancas de portas ativadas por cartão- chave, bancos de dados bloqueados e protegidos, com extintores de incêndio regularizado e vidro adequadamente reforçado. Mas mesmo essas defesas aparentemente inquebráveis têm um componente de conscientização de segurança. Por exemplo, os colaboradores devem ser cautelosos ao entrarem no prédio e deixarem pessoas desconhecidas entrarem ou saírem nesse momento. Uma técnica conhecida de uso não autorizada ocorre quando um colaborador da organização usa o cartão-chave e abre a porta, mas não sabe que alguém se escondeu atrás dele antes que a porta se fechasse. A manutenção da segurança física também é um aspecto importante, não apenas para a equipe de manutenção, mas também para classificar os colaboradores. Por exemplo, é importante que o colaborador tenha o hábito do comportamento seguro, relatando as devidas autoridades quando: perceber que uma porta habilitada para cartão-chave está presa e se abre mesmo sem a devida autorização ou uma câmera de segurança aparentemente está danificada ou desligada. 7. Perigos de redes sociais Atualmente, as organizações usam as redes sociais como uma ferramenta poderosa para criar uma marca, local ou globalmente, gerar vendas On-line e afins. Infelizmente, as redes sociais também abrem as portas para ataques de phishing que podem levar a organização a um imenso desastre. Por exemplo, o Facebook compartilhou os dados de seus usuários sem a permissão deles para desenvolvedores de aplicativos de terceiros. A News Corp TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 43 Australia Network informou em 1 de maio do ano de 2018 que não era apenas o Facebook, que o Twitter também vendeu os dados dos usuários para a Cambridge Analytica Ltda. (CA), uma organização britânica de consultoria política que estava influenciando as eleições nos EUA no ano de 2016. Para evitar a perda de dados críticos, a organização deve ter um programa viável de treinamento em redes sociais, limitando o uso dessas redes e orientando os colaboradores em relação à ameaça de ataques de phishing. Além disso, os colaboradores que não deve fornecer suas credenciais ou informações de login em sites desconhecidos ou similares aos originais. Por exemplo, o usuário deve ter o comportamento seguro e ver a diferença entre www. yahoo.com e www.yahooo.com. 8. Golpes por e-mail Os golpes de e-mail envolvem e-mails fraudulentos e não solicitados que oferecem uma pechincha por nada. Um e-mail fraudulento atrai um usuário para a oferta gratuita, oportunidades de negócios falsas, empréstimos ou créditos garantidos, dinheiro fácil, esquemas de saúde e dieta e assim por diante. Um hábito de comportamento seguro e que deve estar incorporado nos hábitos dos colaboradores da organização é a dica dos colaboradores tomarem conhecimento dos golpes de e-mail e que eles sejam instruídos sobre como evitá-los. O comportamento seguro é: (i) não confiar em e-mail não solicitado; (ii) não enviar fundos para pessoas que os solicitem por e-mail, principalmente antes de verificar com a liderança; (iii) filtrar spam; (iv) configurar o cliente de e-mail corretamente; (v) instalar programa antivírus e firewall e os manterem atualizados; (vi) não clicar em links desconhecidos em mensagens de e-mail; (vii) cuidar com anexos de e-mail. 9. Malware Uma sessão de treinamento sobre Malware deve ilustrar os tipos de Malware e suas implicações. Os tipos de Malware devem incluir adware, spyware, vírus, Trojans, backdoors, rootkits, ransomware, botnets, bombas lógicas e vírus blindados. Os colaboradores devem aprender a identificar Malware e o que fazer se seu dispositivo ou rede for infectado. O comportamento seguro imediato deve ser desligar o sistema ou dispositivo e informar a equipe de gerenciamento de segurança. 44 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 10. Hoaxes Uma farsa é definida como uma falsidade ou engano fabricada deliberadamente para subterfúgio e vitimização dos usuários. Os atacantes geralmente usam trotes por meio de e-mails para prejudicar os colaboradores. Um e-mail falso geralmente notifica os usuários sobre supostas ameaças iminentes. Por exemplo, uma farsa pode informá-lo de que o seu computador estará seriamente comprometido se você não o desligar às 3h da sexta-feira 13. Uma conscientização útil é aquela que ensina seus colaboradores sobre as possíveis fraudes. Em vez de confiar em uma farsa, os colaboradores devem aprender a responder a eles. Somente e-mails verificados pelo seu departamento de segurança e relevantes para os seus negócios corporativos devem ser confiáveis. Em caso de e-mail ameaçador, alerte imediatamente seu departamento de segurança de TI. FONTE: Adaptado de Iman (2020) Para saber mais sobre os golpes e os ataques na internet faça a leitura complementar desta unidade. ESTUDOS FU TUROS Cabe ainda destacar os testes que a organização deve realizar. Da mesma forma, se a organização pretender utilizar testes para determinar a eficiência das defesas contra os ataques da engenharia social, um aviso deve ser dado para que os colaboradores tomem conhecimento dessa prática. É importante que os colaboradores saibam que em algum momento eles podem receber uma ligação telefônica ou outra comunicação que utilizará as abordagens do engenheiro social (atacante) como parte de tal testes. Os resultados destes testes devem ser utilizados para definir a necessidade de conscientização adicional em algumas áreas e não como forma punitiva (RABELO JÚNIOR; VIEIRA, 2015). A maioria das pessoas sabe que o aprendizado, mesmo das questões importantes, tende a desaparecer, a menos que seja reforçado periodicamente. Devido à importância de manter os colaboradores atualizados frente a determinado assunto da defesa contra os ataques da engenharia social, um programa constante de conscientização é de grande relevância (BRECHT, 2019). Uma abordagem para manter a segurança sempre na mente do colaborador é fazer com que a segurança TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 45 da informação faça parte da vivência da função de cada um dos colaboradores da organização. Possivelmente, isso faz com ele reconheça não somente o seu papel individual na segurança da informação da organização, mas no seu papel de forma geral (RABELO JÚNIOR; VIEIRA, 2015). A engenharia social é difícil de ser evitada, contudo, é necessária uma conscientização contínua para que os colaboradores sempre saibam quais são as novas abordagens utilizadas e como se lida com cada uma delas (BRECHT, 2019). Outra maneira de prevenção da engenharia social é realização de pesquisas de perfis dos colaboradores antes deles serem admitidos efetivamente na organização, identificando eventuais problemas de conduta de falhas de segurança. A gestão dos perfis de acesso após a contratação dos colaboradores também deve ser constantemente realizada. Da mesma forma, os perfis são amplamente utilizados por organizações para descreveras pessoas nos sistemas de informação ou mesmo os atributos de cargos, sendo necessário que estejam constantemente atualizadas, evitando assim os acessos indevidos (RABELO JÚNIOR; VIEIRA, 2015). 46 RESUMO DO TÓPICO 2 Neste tópico, você aprendeu que: • Em cibernética, o elemento humano é considerado o elo mais fraco da segurança, contudo, há formas significativas de reduzir o risco. • Os ataques estão presentes no cotidiano das pessoas e das organizações, sendo necessário que os colaboradores se tornem firewalls humanos. • Os hackers estão plenamente conscientes de que o erro humano é o fruto que eles podem explorar para obter acesso irrestrito até às mais sofisticadas infraestruturas técnicas. • “Um dos principais problemas que a segurança da informação deve tratar é a segurança em pessoas. A cooperação dos usuários é essencial para a eficácia da segurança” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). • O fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade CID. • “A solução efetiva para integrar pessoas requer ações gradativas e constantes visando criar e fortalecer a cultura de segurança da informação” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). • As pessoas geralmente mudam a maneira de se portarem quando estão em situações de risco, e suas decisões são fundamentadas em situações que exigem confiança. • A informação é o melhor jeito de enfrentar a engenharia social. Dessa forma, os colaboradores de uma organização precisam estar bem informados referente à engenharia social. • O termo engenharia social é usado para caracterizar aquelas intrusões que não forem técnicas, enfatizando a interação humana. • A engenharia social está relacionada a ter habilidade de iludir as pessoas com o objetivo que os procedimentos de segurança da informação sejam violados. • O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as organizações, geralmente com a intenção de obter informações. • Grifter é aquela pessoa que visa enganar pessoas, enquanto o engenheiro social visa enganar as organizações. • Phishing é um tipo de engenharia social na tentativa de se obter informações confidenciais, por exemplo, senhas, nomes de usuário, detalhes do cartão de pagamento, de uma pessoa por um canal de bate-papo, um fórum, por e-mail e afins. O agressor geralmente finge ser alguém confiável ou conhecido do indivíduo. 47 • Acesso privilegiado é referente aos usuários que possuem direito de acesso acima de um usuário normal. • O acesso privilegiado é geralmente concedido aos usuários que precisam executar funções de nível administrativo ou acessar dados confidenciais, que podem incluir o acesso aos dados do titular do cartão. • O acesso privilegiado pode incluir acesso físico e/ou lógico. • Todos os colaboradores, sem exceção, precisam estar cientes das ameaças comuns, para que, no mínimo, não sejam vítimas fáceis de golpes e tentativas do engenheiro social/phishing. • Os colaboradores que possuem conscientização quando são vítimas de ataques mais sofisticados pelos engenheiros sociais conseguem minimizar os efeitos dos ataques, reunindo informações necessárias e notificando o departamento apropriado por meio dos canais certos. • A organização depende de seus colaboradores para promover uma cultura consciente da segurança, reduzir riscos e prevenir ameaças cibernéticas. • É fundamental que exista a inclusão de conscientização de ataques de engenharia social. • Uma maneira de um invasor usar a engenharia social é adquirir as credenciais de um usuário e percorrer a organização de uma área de baixa segurança para uma área de alta segurança. • Os colaboradores devem estar cientes dos métodos comuns pelos quais fraudadores, hackers ou outras pessoas mal-intencionados podem tentar obter credenciais, dados de cartão de pagamento e outros dados confidenciais, para minimizar o risco de o pessoal disseminar informações confidenciais involuntariamente a terceiros. • A pessoa que é a vítima de uma extorsão é como uma marionete, só que manipulada pelo homem. Para isso, basta apenas que o engenheiro social (fraudador) consiga a confiança da pessoa, por meio de um conhecimento mínimo da organização para obter a informação quista. • Ao se tratar de pessoas, precisamos lembrar que seres humanos “[...] são imperfeitos e situações de risco modificam os comportamentos naturais e decisões serão fortemente baseadas em confiança ou grau de criticidade da situação” (RABELO JÚNIOR; VIEIRA, 2015, p. 52). • A organização precisa treinar e educar seus colaboradores referente aos ativos da informação e como elas devem ser protegidas, para que os ataques de engenharia social sejam identificados como situações de risco. • Para criar e disseminar essa consciência as organizações devem criar e divulgar suas políticas, normas e procedimentos de segurança da informação por meio de um plano (programa) de treinamento e conscientização constantes. 48 • Um programa de conscientização de segurança robusto e implementado adequadamente auxilia a organização na educação, monitoramento e manutenção contínua da conscientização de segurança dentro da organização. • As políticas de segurança são instruções claras que fornecem as orientações de comportamento do colaborador, visando proteger as informações. • Os controles efetivos de segurança devem ser definidos tanto nos procedimentos quanto nas políticas implementadas pelo treinamento dos colaboradores. • Ao desenvolver uma política de segurança, deve-se levar em consideração que existem colaboradores que não têm conhecimento da linguagem técnica. • Jargões técnicos não devem ser utilizados para que o documento seja de fácil entendimento por qualquer colaborador. • Os colaboradores devem ser aconselhados sobre as consequências do não cumprimento dos procedimentos e das políticas de segurança. • O objetivo central de um programa de conscientização referente segurança deve influenciar as pessoas para que elas mudem seu comportamento e suas atitudes, motivando cada colaborador a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização. • Alguns exercícios seguros que devem ser incorporados são: política de secretaria limpa ou mesa limpa; política de traga seu próprio dispositivo, também conhecida como Bring Your Own Device (BYOD), gerenciamento de dados, mídia removível, hábitos seguros da internet, segurança física e controles ambientais, perigos de redes sociais, golpes por e-mail, Malware e Hoaxes. • Política de secretaria limpa ou mesa limpa são informações sensíveis em uma mesa, como notas adesivas, papéis e impressões, podem ser facilmente capturadas por mãos indevidas e vistas por olhares indiscretos. • Durante o almoço ou qualquer partida de emergência durante o horário de expediente, todas as informações críticas devem ser colocadas em uma gaveta trancada. • BYOD abrange os bens de computação pessoal dos colaboradores que podem ser usados em um ambiente de trabalho. • BYOD podem incluir dispositivos móveis, reprodutores de áudio, câmeras digitais e vários outros dispositivos eletrônicos portáteis que podem ser utilizados para roubar dados confidenciais. • Os BYODs também fazem parte da "consumerização de TI", pela qual o hardware e/ou software de um consumidor é trazido para a organização. • Os colaboradores devem aprender todos os tipos de dados, para que possam entender o valor da informação para o negócio da organização. Famlia _SGI Realce 49 • Existem vários tipos de dados, como uma cópia de backup dos contratos dos clientes ou declarações de missão, e muitos colaboradores podem não estar cientes desse fato. • Mídia removível não autorizada pode convidar problemas de segurança de dados, infecção por Malware, falha de hardware e violação de direitos autorais. • Mídia removível não autorizada pode ser um convite para problemas de segurança de dados, infecção por Malware,falha de hardware e violação de direitos autorais. • A equipe corporativa deve ser informada sobre as ameaças à mídia removível não solicitada e proibir o acesso de qualquer mídia perdida, como um disco rígido externo. • O uso seguro da internet é de suma importância para as organizações. Os programas de conscientização em segurança devem incorporar hábitos seguros da internet, evitando que a invasão na rede corporativa. • Colaboradores devem estar familiarizados com ataques de phishing e aprender a não abrir anexos maliciosos ou clicar em links suspeitos. • Colaboradores devem ter o comportamento seguro de desativar as janelas pop-up, pois elas convidam a riscos. • Colaboradores devem ter o comportamento seguro de abster-se de instalar programas de software de fontes desconhecidas, especialmente links infectados por Malware. • Exemplos de questões espaciais no comportamento seguro para se ter segurança física incluem: (i) visitantes ou novos contratados assistindo os colaboradores digitarem senhas; (ii) entrada de visitantes que alegam ser inspetores, exterminadores ou outros visitantes incomuns que possam procurar entrar no sistema; (iii) deixar senhas em pedaços de papel na mesa; (iv) deixar o computador ligado e não protegido por senha ao sair do trabalho durante a noite; (v) deixar um telefone ou dispositivo pelo escritório à vista. • Os colaboradores devem ser cautelosos ao entrarem no prédio e deixarem pessoas desconhecidas entrarem ou saírem nesse momento. • É importante que o colaborador tenha o hábito do comportamento seguro e relatar as devidas autoridades em situações como: perceber que uma porta habilitada para cartão-chave está presa e se abre mesmo sem a devida autorização ou se uma câmera de segurança aparentemente está danificada ou desligada. • As redes sociais também abrem as portas para ataques de phishing, que podem levar a organização a um imenso desastre. • Para evitar a perda de dados críticos, a organização deve ter um programa viável de treinamento em redes sociais, limitando o uso dessas redes e orientando os colaboradores em relação à ameaça de ataques de phishing. 50 • Um e-mail fraudulento atrai um usuário para a oferta gratuita, oportunidades de negócios falsas, empréstimos ou créditos garantidos, dinheiro fácil, esquemas de saúde e dieta e assim por diante. • O comportamento seguro referente aos golpes por e-mail envolve: (i) não confiar em e-mail não solicitado; (ii) não enviar fundos para pessoas que os solicitem por e-mail, principalmente antes de verificar com a liderança; (iii) filtrar spam; (iv) configurar o cliente de e-mail corretamente; (v) instalar um programa antivírus e firewall e os manterem atualizados; (vi) não clicar em links desconhecidos em mensagens de e-mail; (vii) cuidar com anexos de e-mail. • Os tipos de Malware vistos na conscientização devem incluir adware, spyware, vírus, Trojans, backdoors, rootkits, ransomware, botnets, bombas lógicas e vírus blindados. • Uma farsa é definida como uma falsidade ou engano fabricada deliberadamente para subterfúgio e vitimização dos usuários. • Uma conscientização útil é aquela que ensina seus colaboradores sobre as possíveis fraudes. • É importante que os colaboradores saibam que em algum momento eles podem receber uma ligação telefônica ou outra comunicação que será utilizará das abordagens do engenheiro social (atacante) como parte de tal testes. • A engenharia social é difícil de ser evitada, contudo, é necessária uma conscientização contínua para que os colaboradores sempre saibam quais são as novas abordagens utilizadas e como se lida com cada uma delas. • A gestão dos perfis de acesso após a contratação dos colaboradores também deve ser constantemente realizada. 51 1 A associação dos termos engenharia e social contém um sentido diferenciado referente à segurança da informação. Esses termos juntos concebem a forma que os engenheiros utilizam de burlar pessoas para obter informações sigilosas de maneira fácil e sem que estas pessoas se deem conta. O termo engenharia social é usado para caracterizar aquelas intrusões que não forem técnicas e enfatizam qual interação? a) ( ) Humana. b) ( ) Em dispositivo móvel. c) ( ) Computador. d) ( ) Tecnológica. 2 A engenharia social está relacionada a ter habilidade de iludir as pessoas com o objetivo que os procedimentos de segurança da informação sejam violados. Para isso, o engenheiro social tem o perfil de ser uma pessoa com boa aparência, com habilidade em lidar com pessoas, bem-educadas e agradáveis. Referente à engenharia social, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as sentenças falsas: ( ) Grifter é aquela pessoa que visa enganar pessoas, enquanto o engenheiro social visa enganar as organizações. ( ) Phishing é um tipo de engenharia social na tentativa de se obter informações confidenciais, por exemplo, senhas, nomes de usuário, detalhes do cartão de pagamento, de uma pessoa por um canal de bate-papo, um fórum, por e-mail e afins. ( ) O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as organizações, geralmente com a intenção de obter informações. ( ) As organizações não precisam se preocupar com a engenharia social apenas com hackers. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – V – F. b) ( ) V – F – V – F. c) ( ) F – V – V – F. d) ( ) F – F – V – V. 3 Estabelecer e manter a conscientização sobre segurança da informação por meio de um programa de conscientização sobre segurança é vital para o progresso e o sucesso de uma organização. Um programa de conscientização de segurança robusto e implementado adequadamente auxilia a organização na educação, monitoramento e manutenção contínua da conscientização de segurança dentro da organização. Portanto, a conscientização precisa fazer parte da cultura da organização. Como o programa de conscientização deve ser conduzido para que ela faça parte da cultura da organização? a) ( ) Projeto. b) ( ) Processo. AUTOATIVIDADE 52 c) ( ) Melhoria continuada (programa contínuo). d) ( ) Seminário. 4 O objetivo central de um programa de conscientização referente à segurança deve influenciar as pessoas para que elas mudem seu comportamento e suas atitudes, motivando cada colaborador a querer entrar no programa e fazer a sua parte para proteger os ativos de informações da organização. Referente ao comportamento seguro, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas: ( ) Política de secretaria limpa ou mesa limpa se preocupa com notas ade- sivas, papéis e impressões podem ser facilmente capturadas por pessoas mal-intencionadas e vistas por olhares indiscretos. ( ) O BYOD abrange os bens de computação pessoal dos colaboradores que podem ser usados em um ambiente de trabalho. ( ) Gerenciamento de dados está relacionado aos colaboradores não estarem cientes. ( ) Mídia removível não autorizada pode ser um convite para problemas de segurança de dados, infecção por Malware, falha de hardware e violação de direitos autorais. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) V – F – V – F. c) ( ) F – V – V – F. d) ( ) V – V – V – V. 5 Os golpes de e-mail envolvem e-mails fraudulentos e não solicitados que oferecem uma pechincha por nada. Um e-mail fraudulento atrai um usuário para a oferta gratuita, oportunidades de negócios falsas, empréstimos ou créditos garantidos, dinheiro fácil, esquemas de saúde e dieta e assim por diante. Um hábito de comportamento seguro e que deve estar incorporado nos hábitos dos colaboradores da organização é a dica dos colaboradores tomarem conhecimento dos golpes de e-mail e que eles sejam instruídos sobre como evitá-los. I - Não confiar em e-mail não solicitado. II - Os spams não precisam ser filtrados, pois não trazem golpes, apenas e-mails indesejados. III- Instalar programa antivírus e firewall e os manterem atualizados. IV - Cuidar com anexos de e-mail. Assinale a alternativa que contém somente sentenças corretas: a) ( ) As sentenças I, III e IV estão corretas. b) ( ) As sentenças I e II estão corretas. c) ( ) As sentenças II, III e IV estão corretas. d) ( ) As sentenças III e IV estão corretas. 53 TÓPICO 3 — UNIDADE 1 PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 1 INTRODUÇÃO A Security Awareness Program Special Interest Group (2014) traz práticas recomendadas a serem aplicadas no desenvolvimento em um plano de programa de conscientização, que iremos tratar neste tópico. Este programa pode ser utilizado como ponto de partida, tanto para organizações que estão iniciando na conscientização como para ser utilizado como um referencial dos requisitos mínimos sobre o Payment Card Industry – Data Security Standard (PCI – DSS), que é um Padrão de Segurança de Dados da Indústria de Pagamento com Cartão. Também abordaremos as práticas relacionadas às ameaças e vulnerabilidades enfrentadas pelas organizações, nesse ambiente em constante mudanças e as práticas para reforçar a cultura organizacional. Esta orientação se concentra principalmente nas seguintes práticas recomendadas: • Reconhecimento de segurança organizacional: nesse item deve-se dar atenção especial para formação da equipe de reconhecimento de segurança, fazer o reconhecimento, baseando-se nas funções organizacionais, ter métricas bem definidas e como elas serão avaliadas, ter um conteúdo apropriado de conscientização e a maneira que a conscientização será comunicada, ou seja, a comunicação da conscientização de segurança dentro da organização. • Conteúdo de conscientização de segurança: um aspecto crítico da conscientização é determinar o tipo de conteúdo que será utilizado. • Determinar as diferentes funções dentro de uma organização: é o primeiro passo para desenvolver um conteúdo apropriado e determinar as informações que devem estar inclusas na conscientização. • Lista de verificação do treinamento de conscientização de segurança: estabelecer uma lista de verificação pode ajudar uma organização a desenvolver, monitorar e/ou manter um programa de treinamento de conscientização de segurança de forma eficaz. Payment Card Industry – Data Security Standard (PCI – DSS) é um Padrão de Segurança de Dados da Indústria de Pagamento com Cartão. NOTA 54 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO 2 PRÁTICAS RECOMENDADAS DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA ORGANIZACIONAL Como vimos anteriormente, a conscientização de segurança da informação da organização deve ser tratada como uma melhoria continuada, garantindo que o treinamento e o conhecimento sejam mantidos diariamente em alto nível de conscientização de segurança. Outra boa prática, é que a proteção de dados do titular do cartão (Card Holder Data – CHD) deve fazer parte do programa de conscientização sobre segurança da informação em toda a organização. Garantir que a equipe esteja ciente da importância da segurança dos dados do titular do cartão é importante para o sucesso de um programa de conscientização de segurança. O objetivo desse item, a partir daqui, é trazer as práticas recomendadas para os três passos críticos do plano de programa de conscientização. 2.1 MONTAR A EQUIPE DE CONSCIENTIZAÇÃO DE SEGURANÇA O primeiro passo é montar uma equipe de conscientização. Essa equipe é responsável pelo desenvolvimento, entrega e manutenção do programa de conscientização de segurança. Recomenda-se que a equipe seja composta por pessoas de diferentes áreas da organização, com responsabilidades diferentes, representando uma seção transversal da organização. A presença de uma equipe ajudará a garantir o sucesso do programa de conscientização de segurança por meio da atribuição de responsabilidade pelo programa. O tamanho e a participação da equipe de conscientização de segurança dependerão das necessidades específicas de cada organização e de sua cultura. 2.2 DETERMINAR FUNÇÕES PARA CONSCIENTIZAÇÃO DE SEGURANÇA A conscientização de segurança baseada em funções provê às organizações de realizarem o treinamento nos níveis apropriados, baseando-se em suas funções de trabalho. O treinamento pode ser expandido, acontecer de alguma maneira combinada ou algo ser removido, conforme os níveis de responsabilidade e os papéis definidos na organização. O objetivo é criar um catálogo de referência de vários tipos e profundidades de treinamento, auxiliando as organizações a prover treinamento certo para as pessoas certas, na hora certa. Ao se fazer isso, a segurança da organização é melhorada e se mantém a conformidade com o PCI DSS. Quer o foco seja uma abordagem singular, holística ou em camadas, o conteúdo pode ter um escopo definido para atender aos requisitos de uma organização. Identificar níveis de responsabilidade TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 55 Segundo Security Awareness Program Special Interest Group (2014), a primeira tarefa ao definir um programa de conscientização de segurança baseado em funções é agrupar indivíduos de acordo com suas funções, ou seja, conforme as funções de trabalho, na organização. Um conceito simplificado disso é mostrado na Figura 8. FIGURA 8 - FUNÇÕES DE CONSCIENTIZAÇÃO DE SEGURANÇA PARA ORGANIZAÇÕES FONTE: Security Awareness Program Special Interest Group (2014, p. 4) A Figura 8 identifica três tipos de funções: todo o pessoal, funções especializadas e gerenciamento. Um programa sólido de conscientização ajudará todas as pessoas da organização a reconhecerem ameaças, verem a segurança como benéfica para a tomar como hábito no trabalho e em casa, e se sentirem confortável em relatarem possíveis problemas de segurança. Esse grupo de usuários deve estar ciente da sensibilidade dos dados do cartão de pagamento, mesmo que suas responsabilidades diárias não envolvam o trabalho com os dados do cartão de pagamento. O treinamento adicional para aqueles em Funções Especializadas deve se concentrar na obrigação das pessoas seguirem procedimentos seguros para lidar com informações confidenciais e reconhecer os riscos associados se o acesso privilegiado for mal utilizado. Exemplos de usuários, nessa categoria, podem incluir aqueles que processam cartões de pagamento, escrevem aplicativos que processam cartões de pagamento, constroem bancos de dados para manter o CHD ou projetam e constroem redes pelas quais o CHD atravessa. Cada uma dessas funções especializadas requer treinamento e conscientização adicionais para criar e manter um ambiente seguro. Além disso, pode ser necessário treinamento específico para incluir o entendimento dos requisitos do PCI DSS e PA-DSS. A gerência possui necessidades adicionais de treinamento que podem diferir das duas áreas anteriores. A gerência precisa entender a política de segurança da organização e os requisitos de segurança suficientemente bem, para que possam discutir e reforçar positivamente a mensagem para a equipe, assim como incentivar a conscientização, reconhecer e resolver problemas relacionados à 56 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO segurança, caso ocorram. O nível de conscientização para a gerência pode precisar que seja incluído no programa um entendimento de como as diferentes áreas estão relacionadas. Assim, os gerentes da equipe com acesso privilegiado devem ter um entendimento sólido dos requisitos de segurança de sua equipe, especialmente aqueles com acesso a dados confidenciais. O treinamento para a gerência também ajudará nas decisões de proteção das informações da organização. Estabelecer conhecimento mínimo de segurança Security Awareness Program Special Interest Group (2014) coloca, que estabelecer um nível mínimo de conscientização para todo o pessoal pode ser a base do programa de conscientização de segurança. Esse programa pode serrealizado de algumas maneiras, incluso com treinamento formal, treinamento baseado em computador, e-mails e circulares, memorandos, avisos, boletins, pôsteres etc. O programa de conscientização sobre segurança deve ser ministrado de maneira que se adapte à cultura geral de organização e que tenha o maior impacto para as pessoas da organização. A Figura 9 traz o treinamento de conscientização, que deve aumentar conforme o nível de risco associado a diferentes funções. FIGURA 9 - TREINAMENTO DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA FONTE: Security Awareness Program Special Interest Group (2014, p. 5) Determinar o conteúdo do treinamento e a aplicabilidade com base no PCI DSS Caso a organização queira implantar o PCI DSS, o conteúdo do treinamento pode ser subdividido para mapear os requisitos que lhe sejam aplicáveis do PCI DSS. O item 3 desta unidade, contém mais informações relacionadas ao conteúdo do treinamento para os diferentes níveis de uma organização (SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP, 2014). TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 57 2.3 CONSCIENTIZAÇÃO DE SEGURANÇA EM TODA ORGANIZAÇÃO Para Security Awareness Program Special Interest Group (2014), a chave para um programa eficaz de conscientização de segurança é direcionar a entrega de material relevante ao público apropriado de maneira oportuna e eficiente. Para ser eficaz, o canal de comunicação também deve se adequar à cultura da organização. Ao disseminar o treinamento de conscientização sobre segurança por meio de vários canais de comunicação, a organização garante que o pessoal seja exposto à mesma informação várias vezes de diferentes maneiras. Desta forma, as pessoas se lembram das informações a elas apresentadas. O conteúdo pode precisar ser adaptado dependendo do canal. Por exemplo, o conteúdo de um boletim eletrônico pode ser diferente do conteúdo de um seminário de treinamento ministrado por instrutor, mesmo que ambos tenham a mesma mensagem subjacente. O canal de comunicação usado deve corresponder ao público que recebe o conteúdo do treinamento e o tipo de conteúdo, bem como o próprio conteúdo. Os métodos de comunicação eletrônica podem ser de notificações por e-mail, e-Learning, mídia social interna etc. É importante direcionar notificações de conscientização de segurança eletrônica para o público apropriado, garantindo assim, que as informações sejam lidas e entendidas. Cabe destacar, que pessoas muito ocupadas acabam ignorando mais facilmente as notificações eletrônicas. Portanto, ao direcionar o canal de material e comunicação para o pessoal relevante, a equipe de conscientização de segurança pode adotar práticas mais eficazes do programa de conscientização de segurança (SECURITY AWARENESS PROGRAM SPECIAL INTEREST GROUP, 2014). As notificações não eletrônicas podem ser na forma de pôsteres, malas diretas internas, boletins e eventos de treinamento ministrados por instrutores. Eventos pessoais de conscientização de segurança envolvendo a participação ativa do pessoal podem ser extremamente eficazes. A inclusão de atividades envolvendo o público, como atividades baseadas em cenários, ajudam a garantir que os conceitos sejam entendidos e lembrados. Por exemplo, um exercício estruturado de engenharia social ensinará aos colaboradores de forma rápida a identificar um ataque de engenharia social e reagir adequadamente. Caso você queira se aprofundar nesse estudo, leia o Apêndice A de Security Awareness Program Special Interest Group (2014): Information supplement: best practices for implementing a security awareness program. Disponível em: https://www. pcisecuritystandards.org/documents/PCI_DSS_V1.0_Best_Practices_for_Implementing_ Security_Awareness_Program.pdf. Acesso em: 30 mar. 2020. DICAS 58 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO Seminários internos, treinamento fornecido durante os intervalos para o almoço, comumente chamado de "almoce e aprenda" e eventos sociais dos colaboradores também são ótimas oportunidades para a equipe de conscientização de segurança interagir com o pessoal e introduzir conceitos de segurança. Agora, tire uns minutos para ver o UNI NOTA e o UNI DICAS que preparamos para você. O tamanho da audiência em uma apresentação liderada por instrutor é importante: quanto maior o grupo, maior o risco de que o conteúdo não seja comunicado efetivamente, pois os indivíduos podem perder o foco no material apresentado se não se sentirem envolvidos. IMPORTANT E O “almoce e aprenda” ou “almoço e aprendizado” se refere à organização proporcionar aos colaboradores uma maneira de desenvolver o conhecimento dos colaboradores e despertar seu interesse por oportunidades de crescimento e desenvolvimento. O “almoce e aprenda” propicia o compartilhamento de informações de forma amigável e casual. O evento pode envolver alimentos fornecidos pela organização ou levados pelos colaboradores e podem incluir palestrantes convidados, vídeos educacionais e sessões finais de perguntas e respostas. Portanto, são momentos para oportunizar o aprendizado de colaborados interessados. NOTA Caso você queira se aprofundar nesse estudo, referente aos métodos de comunicar a conscientização de segurança em toda a organização, leia o Apêndice B de Security Awareness Program Special Interest Group (2014): Information supplement: best practices for implementing a security awareness program. Disponível em: https://www. pcisecuritystandards.org/documents/PCI_DSS_V1.0_Best_Practices_for_Implementing_ Security_Awareness_Program.pdf. Acesso em: 30 mar. 2020. DICAS TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 59 Security Awareness Program Special Interest Group (2014) recomenda que a comunicação da conscientização sobre segurança seja incluída nos processos de novos contratados, bem como quando os colabores mudam de função. O treinamento de conscientização de segurança pode ser combinado com outros requisitos organizacionais, como acordos de confidencialidade e ética. Cada cargo na organização deve ser identificado com base da sua necessidade de nível de acesso a dados. Para garantir que a equipe de conscientização de segurança seja notificada sempre que uma função identificada como necessitando de conscientização de segurança for preenchida, recomenda-se que essa etapa seja incluída no processo para todas as novas classificações ou reclassificações. A inclusão no processo de nova contratação ou reclassificação garante que as metas gerais de treinamento sejam promovidas sem depender de unidades organizacionais individuais. Security Awareness Program Special Interest Group (2014) observa que a liderança de gerenciamento e o suporte ao programa de conscientização de segurança são cruciais para que a equipe tenha sucesso. Os gerentes são incentivados a: • Incentivar ativamente o pessoal a participar e defender os princípios de conscientização de segurança. • Modelar a abordagem de conscientização de segurança apropriada para reforçar o aprendizado obtido com o programa. • Incluir métricas de conscientização de segurança nas análises de gerenciamento e desempenho da equipe. 3 CONTEÚDO DO TREINAMENTO DE CONSCIENTIZAÇÃO DE SEGURANÇA DA INFORMAÇÃO Conforme discutido no item 2 deste tópico, é recomendado que o conteúdo do treinamento seja determinado com base na função e na cultura da organização. A equipe de conscientização de segurança pode coordenar com as devidas unidades organizacionais a classificação por função, determinando o nível de treinamento de conscientização necessário para cada atividade de acordo com sua função. Isso é vital no desenvolvimento de conteúdo, pois é tão fácil "treinar demais" um colaborador quanto "treinar" um colaborador. Nos dois casos, se as informações não forem absorvidas adequadamente, a organização pode correr riscos desnecessários, independentemente da função. Portanto, é recomendávelque todos os colaboradores recebam treinamento básico de conscientização sobre segurança, desenvolvido de acordo com a política organizacional. Além do treinamento geral de conscientização sobre segurança, recomenda-se que a equipe seja exposta a conceitos gerais de segurança de dados do titular do cartão, promovendo o manuseio adequado dos dados em conformidade com a função exercida na organização. 60 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO Os materiais de treinamento devem estar disponíveis para todas as áreas da organização. Os materiais de conscientização e treinamento em segurança podem ser desenvolvidos internamente, adaptados de uma agência especializada ou adquiridos de um fornecedor. Existem fornecedores de conscientização de segurança que desenvolvem materiais como os de treinamento baseado em computador (Team-Based Learning – TBL), pôsteres e boletins. Por exemplo, o PCI SSC e outros fornecedores de e-Learning oferecem treinamento sobre tópicos como: compreensão do PCI DSS, práticas seguras de senha, como evitar a engenharia social, como evitar downloads maliciosos etc. Embora, o plano do programa de conscientização em segurança da informação de uma organização geralmente é específico e personalizado, é aconselhável que a organização incorpore as melhores práticas da área, utilizando materiais de referência confiáveis. O Quadro 8 traz alguns destes materiais, que serão aprofundados na nossa segunda unidade de estudo. Cabe destacar ainda, que devido ao aumento do foco na conscientização sobre segurança cibernética, muitas agências governamentais e órgãos da indústria fornecem materiais de treinamento de forma pública, sem nenhum custo. QUADRO 8 – REFERENCIAL CONFIÁVEL MATERIAL SITE DESCRIÇÃO Publicação Especial 800- 50 do Instituto Nacional de Padrões e Tecnologia (NIST) www.nist.gov Material para construir um plano de conscientização e treinamento em segurança de tecnologia da informação. Organização Internacional de Padrões (ISO) 27002: 2013 www.iso.org Código de práticas para técnicas de Segurança da Tecnologia da Informação para controles de Segurança da Informação. Organização Internacional de Padrões (ISO) 27001: 2013 www.iso.org Tecnologia da informação – Técnicas de segurança – Sistemas de gerenciamento de segurança da informação. COBIT www. isaca.org/cobit Orientação Detalhada: Ativador de Serviços, Infraestrutura e Aplicativos, Sensibilização para a Segurança. FONTE: Adaptado de Security Awareness Program Special Interest Group (2014) TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 61 Security Awareness Program Special Interest Group (2014) observa que a escolha dos materiais a serem utilizados irá depender da organização. Cada organização deve considerar o tempo, os recursos e a cultura ao selecionar os materiais a serem usados no treinamento de conscientização. Todas as práticas recomendadas, neste tópico, podem ser incluídas na conscientização, no entanto, essas melhores práticas não são um requisito obrigatório. 3.1 TODOS DA ORGANIZAÇÃO Security Awareness Program Special Interest Group (2014) recomenda como boa prática, que o treinamento geral de segurança para todos da organização inclua a definição do que constituem os dados do titular do cartão e os dados de autenticação confidenciais, bem como a responsabilidade da organização de proteger ambos. Para garantir que todos se envolvam é necessário que as funções e responsabilidades de cada um sejam descritas durante todo o treinamento de conscientização de segurança, em conformidade com a política organizacional. Como os dados estão em risco, tanto no formato eletrônico quanto no não eletrônico (papel), é recomendável que as diferentes maneiras de proteger as informações para diferentes mídias sejam cobertas em um nível básico para todo o pessoal. Por exemplo, considerações para proteger dados em formato eletrônico podem incluir armazenamento, transmissão e descarte seguros. As considerações para formatos baseados em papel também podem incluir armazenamento e descarte seguros, além de uma política de "mesa limpa". Sem entender como os diferentes tipos de mídia precisam ser protegidos, o pessoal pode inadvertidamente manipular os dados de maneira insegura. Security Awareness Program Special Interest Group (2014) ainda ressalta, que outra consideração importante para a inclusão no treinamento de segurança geral é a conscientização de ataques de engenharia social. Uma maneira de um invasor utilizar a engenharia social é adquirir as credenciais de um usuário e percorrer a organização de uma área de baixa segurança para uma área de alta segurança. Adaptar essa conscientização provê resultados mais eficazes quando se refletem os tipos de ataques que a organização pode encontrar. Portanto, os usuários precisam estar cientes dos métodos mais comumente utilizados pelos fraudadores, hackers ou outros indivíduos mal-intencionados, que podem tentar obter credenciais, dados de cartão de pagamento e outros dados confidenciais, visando minimizar o risco de o pessoal disseminar informações confidenciais involuntariamente a terceiros. Security Awareness Program Special Interest Group (2014) também recomenda que seja realizado o treinamento em políticas e procedimentos organizacionais, que especificam o manuseio adequado dos dados, incluso o compartilhamento e a transmissão de dados confidenciais. O programa de treinamento deve exigir que as pessoas reconheçam que receberam e compreenderam o conteúdo a eles entregue. Isso é crucial para o sucesso 62 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO do programa de conscientização. Se o conteúdo é entregue e não compreendido, o colaborador ainda poderá inadvertidamente colocar em risco as informações da organização. O feedback referente ao conteúdo e o entendimento do treinamento é essencial para garantir que a equipe compreenda o conteúdo e as políticas de segurança da organização. Nesse sentido, Security Awareness Program Special Interest Group (2014) traz o seguinte exemplo de conteúdo que normalmente consta em treinamento geral de conscientização referente a segurança: • Política de conscientização de segurança da organização. • Impacto do acesso não autorizado, por exemplo, sistemas ou instalações. • Conhecimento dos requisitos de segurança do CHD para diferentes ambientes de pagamento. • Ambientes presentes no cartão. • Ambientes sem cartão. • Telefone (individual ou central de atendimento). • Correio. • Fax. • On-line, comércio eletrônico. • Como obter mais informações sobre a proteção de CHD na organização, por exemplo, agente de segurança, gerenciamento etc. • Importância de senhas fortes e controles de senha. • Práticas de e-mail seguro. • Práticas para trabalhar remotamente de maneira segura. • Evitar software malicioso – vírus, spyware, adware etc. • Práticas de navegação segura. • Segurança de dispositivos móveis, incluindo BYOD. • Uso seguro das mídias sociais. • Como relatar um possível incidente de segurança e a quem o reportar. • Proteção contra-ataques de engenharia social. • Pessoal – Acesso físico. • Telefone – falsificação de identificação de chamadas. • E-mail – Phishing, Spear Phishing (Falsificação de endereço de e-mail). • Mensagens instantâneas. • Segurança física. • Shoulder surfing. • Dumpster Diving. • Shoulder surfing é o “espiar sobre os ombros”, ou seja, este tipo de ataque é ocasionado quando uma das pessoas envolvidas consegue (ou é capaz de) olhar sobre o ombro de outra pessoa e/ou espionar a tela do outro. • Dumpster Diving (ou trashing) é o termo utilizado para a ação de hackers que vasculham a lixeira. NOTA TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 63 3.2 GERÊNCIA Além do conteúdo utilizado para todos de forma geral, o treinamento voltado para gerência, segundo Security Awareness Program Special Interest Group(2014), deve incluir informações mais detalhadas referente às consequências de uma violação para as partes interessadas da gerência. A gerência deve entender não apenas as penalidades monetárias oriundas da não proteção do cartão, mas também os danos permanentes causados à organização, referente à reputação (marca). Esse fator geralmente é ignorado quando as organizações terceirizam o processamento de pagamentos, mas é extremamente importante. Conforme discutido anteriormente, a gerência precisa ter de compreender os requisitos de segurança de maneira conseguir discuti-los e reforçá-los, além de incentivar as pessoas a seguir os requisitos. Recomenda-se que o treinamento de conscientização referente à segurança da gerência inclua conteúdo específico relevante a área de responsabilidade, particularmente áreas com acesso a dados confidenciais. A gerência que tem conhecimento sobre segurança entende melhor quais são os fatores de risco para as informações da organização. Esse conhecimento os ajuda a tomar decisões bem fundamentadas referente às operações de negócios. Os gerentes com conhecimento de segurança também podem ajudar no desenvolvimento de políticas de segurança de dados, procedimentos seguros e treinamento de conscientização de segurança. 3.3 FUNÇÕES ESPECIALISTAS As categorias listadas no Quadro 9 são exemplos de algumas funções e conteúdo de treinamento que pode ser adequado para esses usuários. As funções especialistas de cada organização podem diferir, e o tipo de treinamento para cada função precisará ser considerado com precaução. QUADRO 9 – FUNÇÕES E CONTEÚDO FUNÇÃO DESCRIÇÃO Colaboradores de caixa -contabilidade Ao desenvolver um treinamento de conscientização de segurança da equipe de caixa/contabilidade, é importante lembrar que o pessoal nessas funções geralmente é a primeira linha de defesa, devido interagirem diretamente com os clientes e os cartões de pagamento desses clientes. O treinamento para caixas pode incluir como inspecionar dispositivos de ponto de venda, para adulteração no início de cada turno e se atentar a comportamentos suspeitos em áreas nas quais o público tem acesso a terminais de pagamento. 64 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO Equipe de compras Se uma organização compartilhar o CHD ou terceirizar uma função que possa impactar a segurança do ambiente dos CDE é necessário a compreensão de determinados requisitos para garantir a proteção contínua do CHD e do CDE. Cabe destacar, que as pessoas envolvidas no processo de compras de terceiros, precisa compreender como a segurança das informações compartilhadas com terceiros pode ser afetada e o papel que esses terceiros desempenham no programa de conscientização sobre segurança. Administradores e desenvolvedores de TI Os administradores de sistema, banco de dados, de redes e outras equipes com acesso privilegiado a sistemas de computador que podem armazenar, processar ou transmitir CHD exigirão um treinamento mais detalhado sobre conscientização de segurança, incluindo a compreensão da importância de se ter configurações seguras do sistema para a proteção de informações confidenciais. Apesar, do treinamento geral de conscientização sobre segurança, discutido no item 3.1 deste tópico constituir a base do programa de conscientização referente segurança para essas funções, um treinamento adicional pode ser necessário para abordar os diferentes métodos pelos quais a função lida com a CHD. Também pode ser apropriado que essas funções tenham uma visão geral de como a organização recebe e processa pagamentos. Para funções especializadas, como as que oferecem suporte a sistemas e a parte de redes, as recomendações dadas pelo fornecedor e os guias de melhores práticas do setor para configurações seguras podem ser vistas como um conteúdo útil para incluir no treinamento. Por exemplo, o Center for Internet Security (CIS) traz recomendações de segurança e de configurações. Os desenvolvedores de aplicativos, de sistemas e a equipe de teste têm acesso à base de código subjacente, o que é essencial para a segurança do ambiente. Esses usuários devem estar cientes de suas responsabilidades em seguir a política de segurança da organização, práticas seguras de codificação e procedimentos de controle de alterações, bem como precisam estar cientes das informações atualizadas referente ameaças à segurança e eficácia. FONTE: Adaptado de Security Awareness Program Special Interest Group (2014) TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 65 3.4 DEFINIR MÉTRICAS PARA AVALIAR O TREINAMENTO DE CONSCIENTIZAÇÃO As métricas podem ser uma ferramenta eficaz para medir o sucesso de um programa de conscientização de segurança e fornecer informações para manter o programa de conscientização de segurança atualizado e eficaz. As métricas específicas utilizadas para medir o sucesso de um programa de conscientização de segurança variam de organização para organização, baseando-se em considerações como tamanho, setor e tipo de treinamento. O Quadro 10 exibe algumas métricas de um programa de conscientização de segurança bem-sucedido e pode ser utilizada como ponto de partida para o desenvolvimento de métricas. QUADRO 10 – MÉTRICAS PARA AVALIAR TREINAMENTO DE CONSCIENTIZAÇÃO MÉTRICA INDICADOR DE EFICÁCIA DO TREINAMENTO MÉTRICAS OPERACIONAIS Tempo de inatividade e de rede reduzidos ou interrupções de aplicativos. Gerenciamento de alterações consistente e processos aprovados; menos surtos de Malware; melhores controles. Redução de surtos de Malware e problemas de desempenho do computador relacionados a Malware. Menos colaboradores abriram e-mails maliciosos; aumento de relatórios de colaboradores de e-mails maliciosos. Aumento no relatório de tentativa de fraude por e-mail ou telefone. Melhor reconhecimento pelos colaboradores de phishing e outras tentativas de engenharia social. Aumento no relatório de preocupações de segurança e acesso incomum aumentou no relatório. Maior entendimento dos colaboradores sobre riscos Aumento do número de consultas dos colaboradores sobre como implementar procedimentos seguros. Melhor conscientização dos colaboradores sobre possíveis ameaças. A digitalização Data Loss Prevention (DLP) e os rastreamentos de rede estão ativos, mas não detectam os dados do titular do cartão fora do CDE. Melhor entendimento dos colaboradores sobre ameaças em potencial. As verificações de vulnerabilidade estão ativas e detectam vulnerabilidades altas ou críticas. Diminuição do tempo entre a detecção e remediação. 66 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO As vulnerabilidades são tratadas ou atenuadas em tempo hábil. Melhor entendimento do pessoal sobre possíveis ameaças e riscos para informações confidenciais. MÉTRICAS DO PROGRAMA DE TREINAMENTO Aumento do número de pessoas concluindo o treinamento. Rastreamento de presença e avaliações de desempenho. Aumento do número de funcionários com acesso privilegiado que receberam o treinamento necessário Rastreamento de presença e avaliações de desempenho. Aumento da compreensão do pessoal sobre o material de treinamento. Feedback do pessoal; testes e avaliações de treinamento. FONTE: Adaptado de Security Awareness Program Special Interest Group (2014, p. 11) 4 LISTA DE VERIFICAÇÃO DO PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA Ter uma lista de verificação pode auxiliar as organizações a realizarem o planejamento e o gerenciamento do programa treinamento de conscientização sobre segurança. O Quadro 10 lista informações que podem auxiliar no treinamento de conscientização de segurança e no planejamento educacional. Cabe ressaltar, que não é um requisito a inclusão e utilização dessas informações. QUADRO 10 – LISTA DE VERIFICAÇÃO DO PROGRAMA ETAPA LISTA DE VERIFICAÇÃO Criando o programa de conscientização Identifique os padrões de conformidade oude auditoria aos quais sua organização deve aderir. Identifique os requisitos de conscientização de segurança para esses padrões. Data Loss Prevention (DLP) ou prevenção de perdas de dados. O DLP é um conjunto de ferramentas e processos utilizados com o objetivo de certificar que os dados confidenciais não sejam perdidos, ou utilizados de forma indevida ou ainda que não sejam acessados por usuários sem autorização. NOTA TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 67 Criando o programa de conscientização Identifique objetivos organizacionais, riscos e política de segurança. Identifique as partes interessadas e obtenha o apoio delas. Crie uma linha de base da conscientização de segurança da organização. Crie o termo de abertura do projeto para estabelecer o escopo do programa de treinamento de conscientização de segurança. Crie um comitê de direção para ajudar no planejamento, execução e manutenção do programa de conscientização. Identifique quem para quem será o treinamento, funções diferentes podem exigir treinamento diferente/ adicional, como por exemplo, colaboradores, pessoal de TI, desenvolvedores, liderança sênior. Identifique o que será comunicado aos diferentes grupos, o objetivo é o treinamento mais curto possível e com maior impacto. Identifique como será comunicado o conteúdo, como por exemplo, três categorias de treinamento: novo, anual e contínuo. Implementando a conscientização Se uma organização compartilhar o CHD ou terceirizar uma função que possa impactar a segurança do ambiente dos CDE é necessário a compreensão de determinados requisitos para Desenvolva e/ou adquira materiais e conteúdo de treinamento para atender aos requisitos identificados durante a criação do programa. Documente como e quando será medido o sucesso do programa. Identifique com quem comunicar os resultados, quando e como. Implante o treinamento de conscientização de segurança utilizando diferentes métodos de comunicação identificados durante a criação do programa. Implemente mecanismos de rastreamento para registrar quem conclui o treinamento e quando ele foi concluído. 68 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO Sustentando a conscientização Identifique quando o programa de conscientização de segurança será revisado anualmente. Identifique as ameaças novas ou decorrentes de mudança de padrões de conformidade e atualizações necessárias; as incluir na atualização anual. Realize avaliações periódicas da conscientização de segurança da organização e compare com a linha de base. Pesquise a equipe para obter feedback, como por exemplo, utilidade, eficácia, facilidade de entendimento, facilidade de implementação, alterações recomendadas, acessibilidade. Manter o compromisso da gerência de apoiar, endossar e promover o programa. Documentando o programa de conscientização Documente o programa de conscientização sobre segurança, incluindo todas as etapas listadas anteriormente. FONTE: Adaptado de Security Awareness Program Special Interest Group (2014) Fique agora com a leitura complementar, a qual traz os ataques da internet e os códigos maliciosos (Malware). Esse material foi retirado da Cartilha de Segurança para Internet, versão 4.0, elaborada pelo Cert.Br, que possui um extenso material sobre o tema. O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) é o grupo responsável, desde o ano de 1997, para tratar de questões relacionadas aos incidentes de segurança relacionadas a redes conectadas à Internet no Brasil. O Cert.br também realiza treinamento e conscientização. Para saber mais acesse o link https://www.cert.br/. DICAS TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 69 LEITURA COMPLEMENTAR CARTILHA DE SEGURANÇA PARA INTERNET, VERSÃO 4.0 Equipe CERT.br ATAQUES NA INTERNET Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um ataque, assim como qualquer computador com acesso a` Internet pode participar de um ataque. Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos, variando da simples diversão até a realização de ações criminosas. Alguns exemplos são: • Demonstração de poder: mostrar a uma organização que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente. • Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar-se serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo. • Motivações financeiras: coletar e utilizar informações confidenciais de usuários para aplicar golpes. • Motivações ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrário a opinião do atacante; divulgar mensagens de apoio ou contrarias a uma determinada ideologia. • Motivações comerciais: tornar inacessível ou invadir sites e computadores de organizações concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas organizações. Exploração de Vulnerabilidades Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Exemplos de vulnerabilidades são falhas no projeto, na implementação ou na configuração de programas, serviços ou equipamentos de rede. Um ataque de exploração de vulnerabilidades ocorre quando um atacante, utilizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível. 70 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO Varredura em redes (scan) Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços disponibilizados e programas instalados. Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados e aos programas instalados nos computadores ativos detectados. A varredura em redes e a exploração de vulnerabilidades associadas podem ser usadas de forma: • Legítima: por pessoas devidamente autorizadas, para verificar a segurança de computadores e redes e, assim, tomar medidas corretivas e preventivas. • Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos serviços disponibilizados e nos programas instalados para a execução de atividades maliciosas. Os atacantes também podem utilizar os computadores ativos detectados como potenciais alvos no processo de propagação automática de códigos maliciosos e em ataques de força bruta. Falsificação de e-mail (e-mail spoofing) Falsificação de e-mail, ou e-mail spoofing, é uma técnica que consiste em alterar campos do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra. Esta técnica é possível devido a características do protocolo Simple Mail Transfer Protocol (SMTP) que permitem que campos do cabeçalho, como From: (endereço de quem enviou a mensagem), Reply-To (endereço de resposta da mensagem) e Return-Path (endereço no qual possíveis erros no envio da mensagem são reportados), sejam falsificados. Ataques deste tipo são bastante usados para propagação de códigos maliciosos, envio de spam e em golpes de phishing. Atacantes utilizam-se de endereços de e-mail coletados de computadores infectados para enviar mensagense tentar fazer com que os seus destinatários acreditem que elas partiram de pessoas conhecidas. Exemplos de e-mails com campos falsificados são aqueles recebidos como sendo: • de alguém conhecido, solicitando que você clique em um link ou execute um arquivo anexo; • do seu banco, solicitando que você de dados da sua conta bancária; • Siga um link fornecido na própria mensagem e informe do administrador do serviço de e-mail que você utiliza, solicitando informações pessoais e ameaçando bloquear a sua conta caso você não as envie. Você também pode já ter observado situações na qual o seu próprio endereço de e-mail foi indevidamente utilizado. Alguns indícios disto são: TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 71 • você recebe respostas de e-mails que você nunca enviou; • você recebe e-mails aparentemente enviados por você mesmo, sem que você tenha feito isto; • você recebe mensagens de devolução de e-mails que você nunca enviou, reportando erros como usuário desconhecido e caixa de entrada lotada (cota excedida). Interceptação de tráfego (Sniffing) Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafega- dos em redes de computadores, por meio do uso de programas específicos chamados de sniffers. Esta técnica pode ser utilizada de forma: • Legítima: por administradores de redes, para detectar problemas, analisar desempenho e monitorar atividades maliciosas relativas aos computadores ou redes por eles administrados. • Maliciosa: por atacantes, para capturar informações sensíveis, como senhas, números de cartão de credito e o conteúdo de arquivos confidenciais que estejam trafegando por meio de conexões inseguras, ou seja, sem criptografia. Força bruta (Brute force) Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. Qualquer computador, equipamento de rede ou serviço que seja acessível via Internet, com um nome de usuário e uma senha, pode ser alvo de um ataque de força bruta. Dispositivos moveis, que estejam protegidos por senha, além de poderem ser atacados pela rede, também podem ser alvo deste tipo de ataque caso o atacante tenha acesso físico a eles. Se um atacante tiver conhecimento do seu nome de usuário e da sua senha ele pode efetuar ações maliciosas em seu nome como, por exemplo: • trocar a sua senha, dificultando que você acesse novamente o site ou computador invadido; • invadir o serviço de e-mail que você utiliza e ter acesso ao conteúdo das suas mensagens e a sua lista de contatos, além de poder enviar mensagens em seu nome; • acessar a sua rede social e enviar mensagens aos seus seguidores contendo códigos maliciosos ou alterar as suas opções de privacidade; • invadir o seu computador e, de acordo com as permissões do seu usuário, executar ações, como apagar arquivos, obter informações confidenciais e instalar códigos maliciosos. Mesmo que o atacante não consiga descobrir a sua senha, você pode ter problemas ao acessar a sua conta caso ela tenha sofrido um ataque de força bruta, pois muitos sistemas bloqueiam as contas quando várias tentativas de acesso sem sucesso são realizadas. Apesar dos ataques de força bruta poderem ser realizados 72 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO manualmente, na grande maioria dos casos, eles são realizados com o uso de ferramentas automatizadas facilmente obtidas na Internet e que permitem tornar o ataque bem mais efetivo. As tentativas de adivinhação costumam ser baseadas em: • dicionários de diferentes idiomas e que podem ser facilmente obtidos na Internet; • listas de palavras comumente usadas, como personagens de filmes e nomes de times de futebol; • substituições óbvias de caracteres, como trocar “a” por “@” e “o” por “0”’; • sequências numéricas e de teclado, como “123456”, “qwert” e “1qaz2wsx”; • informações pessoais, de conhecimento prévio do atacante ou coletadas na Internet em redes sociais e blogs, como nome, sobrenome, datas e números de documentos. Um ataque de força bruta, dependendo de como é realizado, pode resultar em um ataque de negação de serviço, devido à sobrecarga produzida pela grande quantidade de tentativas realizadas em um pequeno período de tempo. Desfiguração de página (Defacement) Desfiguração de página, defacement ou pichação, é uma técnica que consiste em alterar o conteúdo da página Web de um site. As principais formas que um atacante, neste caso também chamado de defacer, pode utilizar para desfigurar uma página Web são: • explorar erros da aplicação Web; explorar vulnerabilidades do servidor de aplicação Web; • explorar vulnerabilidades da linguagem de programação ou dos pacotes utilizados no desenvolvimento da aplicação Web; • invadir o servidor em que a aplicação Web está hospedada e alterar diretamente os arquivos que compõem o site; • furtar senhas de acesso a` interface Web usada para administração remota. Para ganhar mais visibilidade, chamar mais atenção e atingir maior número de visitantes, geral- mente, os atacantes alteram a página principal do site, porém páginas internas também podem ser alteradas. Negação de serviço (Dos e DDoS) Negação de serviço, ou Denial of Service (DoS), é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada a Internet. Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou Distributed Denial of Service (DDoS). TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 73 O objetivo destes ataques não é invadir e nem coletar informações, mas sim exaurir recursos e causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações desejadas. Nos casos já registrados de ataques, os alvos ficaram impedidos de oferecer serviços durante o período em que eles ocorreram, mas, ao final, voltaram a operar normalmente, sem que tivesse havido vazamento de informações ou comprometimento de sistemas ou computadores. Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utilizado em ataques. A grande maioria dos computadores, porém, participa dos ataques sem o conhecimento de seu dono, por estar infectado e fazendo parte de botnets. Ataques de negação de serviço podem ser realizados por diversos meios, como: • pelo envio de grande quantidade de requisições para um serviço, consumindo os recursos necessários ao seu funcionamento (processamento, número de conexões simultâneas, memória e espaço em disco, por exemplo) e impedindo que as requisições dos demais usuários sejam atendidas; • pela geração de grande trafego de dados para uma rede, ocupando toda a banda disponível e tornando indisponível qualquer acesso a computadores ou serviços desta rede; • pela exploração de vulnerabilidades existentes em programas, que podem fazer com que um determinado serviço fique inacessível. Nas situações nas quais há´ saturação de recursos, caso um serviço não tenha sido bem dimensionado, ele pode ficar inoperante ao tentar atender as próprias solicitações legítimas. Por exemplo, um site de transmissão dos jogos da Copa de Mundo pode não suportar uma grande quantidade de usuários que queiram assistir aos jogos finais e parar de funcionar. Prevenção O que define as chances de um ataque na Internet ser ou não bem-sucedido é o conjunto de medidas preventivas tomadas pelos usuários, desenvolvedores de aplicações e administradores dos computadores, serviços e equipamentos envolvidos. Se cada um fizer a sua parte, muitosdos ataques realizados vias Internet podem ser evitadas ou, ao menos, minimizados. A parte que cabe a você, como usuário da Internet, é proteger os seus dados, fazer uso dos mecanismos de proteção disponíveis e manter o seu computador atualizado e livre de códigos maliciosos. Ao fazer isto, você contribuirá para a segurança geral da Internet, pois: • quanto menor a quantidade de computadores vulneráveis e infectados, menor será a potência das botnets e menos eficazes serão os ataques de negação de serviço; 74 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO • quanto mais consciente dos mecanismos de segurança você estiver, menores serão as chances de sucesso dos atacantes; • quanto melhores forem as suas senhas, menores serão as chances de sucesso de ataques de força bruta e, consequentemente, de suas contas serem invadidas. • quanto mais os usuários usarem criptografia para proteger os dados armazenados nos computa- dores ou aqueles transmitidos pela Internet, menores serão as chances de tráfego em texto claro ser interceptado por atacantes; • quanto menor a quantidade de vulnerabilidades existentes em seu computador, menores serão as chances de ele ser invadido ou infectado. Faça sua parte e contribua para a segurança da Internet, incluindo a sua própria! CÓDIGOS MALICIOSOS (MALWARE) Códigos maliciosos (Malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são: • pela exploração de vulnerabilidades existentes nos programas instalados; • pela autoexecução de mídias removíveis infectadas, como pen drive; • pelo acesso a páginas Web maliciosas, utilizando navegadores vulneráveis; • pela ação direta de atacantes que, após invadirem o computador, incluem arquivos contendo códigos maliciosos; • pela execução de arquivos previamente infectados, obtidos em anexos de mensagens eletrônicas, via mídias removíveis, em páginas Web ou diretamente de outros computadores (por meio do compartilhamento de recursos). Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários, de acordo com as permissões de cada usuário. Os principais motivos que levam um atacante a desenvolver e a propagar códigos maliciosos são a obtenção de vantagens financeiras, a coleta de informações confidenciais, o desejo de autopromoção e o vandalismo. Além disto, os códigos maliciosos são muitas vezes usados como intermediários e possibilitam a prática de golpes, a realização de ataques e a disseminação de spam. Os principais tipos de códigos maliciosos existentes são apresentados aqui. Vírus Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já´ infectado seja executado. TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 75 O principal meio de propagação de vírus costumava ser os disquetes. Com o tempo, porém, estas mídias caíram em desuso e começaram a surgir novas maneiras, como o envio de e-mail. Atualmente, as mídias removíveis tornaram- se novamente o principal meio de propagação, não mais por disquetes, mas, principalmente, pelo uso de pen drive. Há diferentes tipos de vírus. Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. Há outros que permanecem inativos durante certos períodos, entrando em atividade apenas em datas específicas. Alguns dos tipos de vírus mais comuns são: • Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo, fazendo com que seja executado. Quando entra em ação, infecta arquivos e programas e envia cópias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador. • Vírus de script: escrito em linguagem de script, como Script e JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou como parte do próprio e-mail escrito em formato HyperText Markup Language (HTML). Pode ser automaticamente executado, dependendo da configuração do navegador Web e do programa leitor de e-mails do usuário. • Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que compõem o Microsoft Office (Excel, Word e PowerPoint, entre outros). • Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens Multimídia Message Service (MMS). A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa. Após infectar o celular, o vírus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações telefônicas e drenar a carga da bateria, além de tentar se propagar para outros celulares. Worm Worm é um programa capaz de se propagar automaticamente pelas redes, enviando copias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores. O processo de propagação e infecção dos worms ocorre da seguinte maneira: 76 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO • Identificação dos computadores alvos: após infectar um computador, o worm tenta se propagar e continuar o processo de infecção. Para isto, necessita identificar os computadores alvos para os quais tentara´ se copiar, o que pode ser feito de uma ou mais das seguintes maneiras: (i) efetuar varredura na rede e identificar computadores ativos; (ii) aguardar que outros computadores contatem o computador infectado; (iii) utilizar listas, predefinidas ou obtidas na Internet, contendo a identificação dos alvos; (iv) utilizar informações contidas no computador infectado, como arquivos de configuração e listas de endereços de e-mail. • Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e tenta enviá-las para estes computadores, por uma ou mais das seguintes formas: (i) como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo; (ii) anexadas a e-mails; (iii) via canais de Internet Relay Chat (IRC); (iv) via programas de troca de mensagens instantâneas; (v) incluídas em pastas compartilhadas em redes locais ou do tipo Peer to Peer (P2P). • Ativação das cópias: após realizado o envio da cópia, o worm necessita ser executado para que a infecção ocorra, o que pode acontecer de uma ou mais das seguintes maneiras: (i) imediatamente após ter sido transmitido, pela exploração de vulnerabilidades em programas sendo executados no computador alvo no momento do recebimento da cópia; (ii) diretamente pelo usuário, pela execução de uma das cópias enviadas ao seu computador; (iii) pela realização de uma ação específica do usuário, a qual o worm está condicionado como, por exemplo, a inserção de uma mídia removível. • Reinício do processo: após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a partir de agora, o computador queantes era o alvo passa a ser também o computador originador dos ataques. Bot e botnet Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remota- mente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Também pode ser chamado de spam zombie quando o bot instalado o transforma em um servidor de e-mails e o utiliza para o envio de spam. Botnet é uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots. Quanto mais zumbis participarem da botnet mais potente ela será. O atacante que TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 77 a controlar, além de usá-la para seus próprios ataques, também pode alugá-la para outras pessoas ou grupos que desejem que uma ação maliciosa especifica seja executada. Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço, propagação de códigos maliciosos (inclusive do próprio bot), coleta de informações de um grande número de computadores, envio de spam e camuflagem da identidade do atacante (com o uso de proxies instalados nos zumbis). O esquema simplificado apresentado a seguir exemplifica o funcionamento básico de uma botnet: • um atacante propaga um tipo específico de bot na esperança de infectar e conseguir a maior quantidade possível de zumbis; • os zumbis ficam então à disposição do atacante, agora seu controlador, à espera dos comandos a serem executados; • quando o controlador deseja que uma ação seja realizada, ele envia aos zumbis os comandos a serem executados, usando, por exemplo, redes do tipo P2P ou servidores centralizados; • os zumbis executam então os comandos recebidos, durante o período predeterminado pelo controlador; • quando a ação se encerra, os zumbis voltam a ficar à espera dos próximos comandos a serem executados. Spyware Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso: • Legítimo: quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado. • Malicioso: quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador, como monitorar e capturar informações referentes à navegação do usuário ou inseridas em outros programas (por exemplo, conta de usuário e senha). Alguns tipos específicos de programas spyware são: • Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua ativação, em muitos casos, é condicionada a uma ação prévia do usuário, como o acesso a um site específico de comercio eletrônico ou de Internet Banking. • Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição em que o mouse é clicado. É bastante utilizado 78 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de Internet Banking. • Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito. Backdoor Backdoor é um programa que permite o retorno de um invasor a um computador com- prometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na maioria dos casos, sem que seja notado. A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administração remota, como BackOrifice, NetBus, Sub-Seven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usuário, também podem ser classificados como backdoors. Há casos de backdoors incluídos propositalmente por fabricantes de programas, sob alegação de necessidades administrativas. Esses casos constituem uma séria ameaça à segurança de um computador que contenha um destes programas instalados pois, além de comprometerem a privacidade do usuário, também podem ser usados por invasores para acessarem remotamente ao computador. Cavalo de troia (Trojan) Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem em um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans também podem ser instalados por atacantes que, após invadirem um computador, alteram programas já existentes para que, além de continuarem a desempenhar as funções originais, também executem ações maliciosas. Há diferentes tipos de trojans, classificados de acordo com as ações maliciosas que costumam executar ao infectar um computador. Alguns destes tipos são: TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 79 • Trojan Downloader: instala outros códigos maliciosos, obtidos de sites na Internet. • Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio código do trojan. • Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador. • Trojan dos: instala ferramentas de negação de serviço e as utiliza para desferir ataques. • Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco rígido e pode deixar o computador fora de operação. • Trojan Clicker: redireciona a navegação do usuário para sites específicos, com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas. • Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegação anônima e para envio de spam. • Trojan Spy: instalaprogramas spyware e os utiliza para coletar informações sensíveis, como senhas e números de cartão de credito, e enviá-las ao atacante. • Trojan Banker ou Bancos: coleta dados bancários do usuário, por meio da instalação de programas spyware que são ativados quando sites de Internet Banking são acessados. É similar ao Trojan Spy, porém com objetivos mais específicos. Rootkit Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para: • remover evidências em arquivos de logs; • instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado; • esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede etc.; • mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; • capturar informações da rede na qual o computador comprometido está localizado, pela interceptação de tráfego. É muito importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo. Rootkits inicialmente eram usados por atacantes que, após invadirem um computador, os instalavam para manter o acesso privilegiado, sem precisar recorrer novamente aos métodos utilizados na invasão, e para esconder suas atividades do responsável e/ou dos usuários do computador. Apesar de ainda serem bastante usados por atacantes, os rootkits atualmente têm sido também utilizados e incorporados por outros códigos maliciosos para ficarem ocultos e não serem detectados pelo usuário e nem por mecanismos de proteção. Há casos de rootkits instalados propositalmente por organizações distribuidoras de Compact Disc (CD) 80 UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO de música, sob a alegação de necessidade de proteção aos direitos autorais de suas obras. A instalação nestes casos costumava ocorrer de forma automática, quando um dos CDs distribuídos contendo o código malicioso era inserido e executado. É importante ressaltar que estes casos constituem uma séria ameaça à segurança do computador, pois os rootkits instalados, além de comprometerem a privacidade do usuário, também podem ser reconfigurados e utilizados para esconder a presença e os arquivos inseridos por atacantes ou por outros códigos maliciosos. Prevenção Para manter o seu computador livre da ação dos códigos maliciosos existe um conjunto de medidas preventivas que você precisa adotar. Essas medidas incluem manter os programas instalados com as versões mais recentes e com todas as atualizações disponíveis aplicadas e usar mecanismos de segurança, como antiMalware e firewall pessoal. Além disso, há alguns cuidados que você e todos que usam o seu computador devem tomar sempre que forem manipular arquivos. Novos códigos maliciosos podem surgir, a velocidades nem sempre acompanhadas pela capacidade de atualização dos mecanismos de segurança. Resumo Comparativo Cada tipo de código malicioso possui características próprias que o define e o diferencia dos demais tipos, como forma de obtenção, forma de instalação, meios usados para propagação e ações maliciosas mais comuns executadas nos computadores infectados. Para facilitar a classificação e a conceituação, a tabela a seguir apresenta um resumo comparativo das características de cada tipo. É importante ressaltar, entretanto, que definir e identificar essas características têm se tornado tarefas cada vez mais difíceis, devido às diferentes classificações existentes e ao surgimento de variantes que mesclam características dos demais códigos. Desta forma, o resumo apresentado na tabela não e definitivo e baseia-se nas definições apresentadas nesta leitura complementar. TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA 81 FONTE: CERT.br. Cartilha de segurança para Internet, versão 4.0. São Paulo: Comitê Gestor da Internet no Brasil, 2012, p. 17-31. Disponível em: https://cartilha.cert.br/livro/cartilha-seguranca-in- ternet.pdf. Acesso em: 5 jun. 2020. 82 RESUMO DO TÓPICO 3 Neste tópico, você aprendeu que: • A conscientização de segurança da informação da organização deve ser tratada como um processo de melhoria continuada, garantindo que o treinamento e o conhecimento sejam mantidos diariamente em alto nível de conscientização de segurança. • A proteção de dados do titular do cartão (Card Holder Data – CHD) deve fazer parte do programa de conscientização sobre segurança da informação em toda a organização. • Garantir que a equipe esteja ciente da importância da segurança dos dados do titular do cartão é importante para o sucesso de um programa de conscientização de segurança. • Um aspecto crítico da conscientização é determinar o tipo de conteúdo que será utilizado. • Determinar as diferentes funções dentro de uma organização é o primeiro passo para desenvolver um conteúdo apropriado e determinar as informações que devem estar inclusas na conscientização. • Estabelecer uma lista de verificação pode ajudar uma organização a desenvolver, monitorar e/ou manter um programa de treinamento de conscientização de segurança de forma eficaz. • O primeiro passo para criar um plano de programa de conscientização é montar uma equipe de conscientização. • A equipe de conscientização é responsável pelo desenvolvimento, entrega e manutenção do programa de conscientização de segurança. • A equipe de conscientização de ser formada por pessoas de diferentes áreas e com responsabilidades diferentes, representando uma seção transversal da organização. • A presença de uma equipe ajudará a garantir o sucesso do programa de conscientização de segurança por meio da atribuição de responsabilidade pelo programa. • O tamanho e a participação da equipe de conscientização de segurança dependerão das necessidades específicas de cada organização e de sua cultura. • A conscientização de segurança baseada em funções provê às organizações de realizarem o treinamento nos níveis apropriados, se baseando em suas funções de trabalho. 83 • A primeira tarefa ao definir um programa de conscientização de segurança baseado em funções é agrupar indivíduos de acordo com suas funções, ou seja, conforme as funções de trabalho, na organização. • O plano do programa de conscientização pode ser pensado para três tipos de funções: Todo o pessoal, Funções especializadas e Gestão (Gerência). • Um programa sólido de conscientização ajudará todas as pessoas da organização a reconhecerem ameaças, verem a segurança como benéfica para a tomar como hábito no trabalho e em casa, e se sentirem confortável em relatarem possíveis problemas de segurança. • O treinamento adicional para aqueles em Funções Especializadas deve se concentrar na obrigação das pessoas seguirem procedimentos seguros para lidar com informações confidenciais e reconhecer os riscos associados se o acesso privilegiado for mal utilizado. • A gerência precisa entender a política de segurança da organização e os requisitos de segurança suficientemente bem, para que possam discutir e reforçar positivamente a mensagem para a equipe, assim como incentivar a conscientização, reconhecer e resolver problemas relacionados à segurança, caso ocorram. • Os gerentes da equipe com acesso privilegiado devem ter um entendimento sólido dos requisitos de segurança de sua equipe, especialmente aqueles com acesso a dados confidenciais. • Estabelecer um nível mínimo de conscientização para todo o pessoal pode ser a base do programa de conscientização de segurança. • O programa de conscientização sobre segurança deve ser ministrado de maneira que se adapte à cultura geral de organização e que tenha o maior impacto para as pessoas da organização. • A chave para um programaeficaz de conscientização de segurança é direcionar a entrega de material relevante ao público apropriado de maneira oportuna e eficiente. • Ao disseminar o treinamento de conscientização sobre segurança por meio de vários canais de comunicação, a organização garante que o pessoal seja exposto à mesma informação várias vezes de diferentes maneiras. • O canal de comunicação usado deve corresponder ao público que recebe o conteúdo do treinamento e o tipo de conteúdo, bem como o próprio conteúdo. • Os métodos de comunicação eletrônica podem ser de notificações por e-mail, e-Learning, mídia social interna etc. • As notificações não eletrônicas podem ser na forma de pôsteres, malas diretas internas, boletins e eventos de treinamento ministrados por instrutores. 84 • Eventos pessoais de conscientização de segurança envolvendo a participação ativa do pessoal podem ser extremamente eficazes. • A inclusão de atividades envolvendo o público, como atividades baseadas em cenários, ajudam a garantir que os conceitos sejam entendidos e lembrados. • Um exercício estruturado de engenharia social ensinará aos colaboradores de forma rápida a identificar um ataque de engenharia social e reagir adequadamente. • Seminários internos, treinamento fornecido durante os intervalos para o almoço, comumente chamado de "almoce e aprenda" e eventos sociais dos colaboradores também são ótimas oportunidades para a equipe de conscientização de segurança interagir com o pessoal e introduzir conceitos de segurança. • O tamanho da audiência em uma apresentação liderada por instrutor é importante: quanto maior o grupo, maior o risco de que o conteúdo não seja comunicado efetivamente, pois os indivíduos podem perder o foco no material apresentado se não se sentirem envolvidos. • A comunicação da conscientização sobre segurança seja incluída nos processos de novos contratados, bem como quando os colabores mudam de função. • O treinamento de conscientização de segurança pode ser combinado com outros requisitos organizacionais, como acordos de confidencialidade e ética. • É recomendável que todos os colaboradores recebam treinamento básico de conscientização sobre segurança, desenvolvido de acordo com a política organizacional. • Além do treinamento geral de conscientização sobre segurança, recomenda- se que a equipe seja exposta a conceitos gerais de segurança de dados do titular do cartão, promovendo o manuseio adequado dos dados em toda a organização e conforme com sua função na organização. • Embora, o plano do programa de conscientização em segurança da informação de uma organização geralmente é específico e personalizado, é aconselhável que a organização incorpore as melhores práticas da área, utilizando materiais de referência confiáveis. • Publicação Especial 800-50 do Instituto Nacional de Padrões e Tecnologia (NIST), Organização Internacional de Padrões (ISO) 27002: 2013, Organização Internacional de Padrões (ISO) 27001: 2013 e COBIT são materiais de referência confiáveis e que as práticas contidas devem ser incorporadas no plano de conscientização. • Cada organização deve considerar o tempo, os recursos e a cultura ao selecionar os materiais a serem usados no treinamento de conscientização sobre segurança. 85 Ficou alguma dúvida? Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão. Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo. CHAMADA • Shoulder surfing é o “espiar sobre os ombros”, ou seja, este tipo de ataque é ocasionado quando umas das pessoas envolvidas consegue (ou é capaz de) olhar sobre o ombro de outra pessoa e/ou espionar a tela do outro. • Dumpster Diving (ou trashing) é o termo utilizado para a ação de hackers que vasculham a lixeira. • As métricas podem ser uma ferramenta eficaz para medir o sucesso de um programa de conscientização de segurança e fornecer informações para manter o programa de conscientização de segurança atualizado e eficaz. • Data Loss Prevention (DLP) ou prevenção de perdas de dados é um conjunto de ferramentas e processos utilizados com o objetivo de certificar que os dados confidenciais não sejam perdidos, ou utilizados de forma indevida ou ainda que não sejam acessados por usuários sem autorização. • Ter uma lista de verificação pode auxiliar as organizações a realizarem o planejamento e o gerenciamento do programa treinamento de conscientização sobre segurança. • Que a lista de verificação deve ser realizada para cada uma das quatro etapas do programa, sendo: Criando o programa de conscientização, implementando a conscientização, sustentando a conscientização de segurança e documentando o programa de conscientização. • Ataques na internet acontecem por diferentes objetivos, alvos e são utilizadas as mais variadas técnicas. • Os códigos Malware são programas que foram escritos de forma específica com objetivo de causar dano e tarefas maliciosas em um computador. • Algumas das várias maneiras como os Malware podem infectar um computador. 86 1 A primeira tarefa ao definir um programa de conscientização de segurança baseado em funções é agrupar indivíduos de acordo com suas funções, ou seja, conforme as funções de trabalho, na organização. Essas funções podem ser de três tipos: todas as pessoas, pessoal especializado e gerência. Com relação a esses três tipos, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas: ( ) Todos da organização devem estar cientes da sensibilidade dos dados do cartão de pagamento, mesmo que suas responsabilidades diárias não envolvam o trabalho com os dados do cartão de pagamento. ( ) A conscientização referente às funções especializadas deve se concentrar na obrigação das pessoas seguirem procedimentos seguros para lidar com informações confidenciais e reconhecer os riscos associados se o acesso privilegiado for mal utilizado. ( ) A gerência possui necessidades adicionais de treinamento que podem diferir das duas áreas anteriores. ( ) A gerência precisa ter uma visão geral e não se preocupar em entender a política de segurança da organização, pois é a equipe de conscientização que possui esse papel. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – V – F. b) ( ) V – F – V – F. c) ( ) F – V – V – F. d) ( ) F – F – V – V. 2 A chave para um programa eficaz de conscientização de segurança é dire- cionar a entrega de material relevante ao público apropriado de maneira oportuna e eficiente. Para ser eficaz, o canal de comunicação também deve se adequar à cultura da organização. Ao disseminar o treinamento de cons- cientização sobre segurança por meio de vários canais de comunicação, a organização garante que o pessoal seja exposto à mesma informação vá- rias vezes de diferentes maneiras. Desta forma, as pessoas se lembram das informações a elas apresentadas. O conteúdo pode precisar ser adaptado dependendo do canal. Escolha a sentença CORRETA referente aos métodos de comunicação. a) ( ) Pôsteres não devem ser utilizados como métodos de comunicação. b) ( ) Os boletins e malas diretas internas são métodos de comunicação eletrônica. c) ( ) Atividades baseadas em cenários é um método de comunicação eletrônica que ajuda que os conceitos sejam entendidos e lembrados. d) ( ) Notificações por e-mail, e-Learning, mídia social interna etc. são métodos de comunicação eletrônica. AUTOATIVIDADE 87 3 As métricas podem ser uma ferramenta eficaz para medir o sucesso de um programa de conscientização de segurança e fornecer informações para manter o programa de conscientização de segurança atualizado e eficaz. As métricas específicas utilizadas para medir o sucesso de um programa de conscientização de segurança variam de organização para organização, baseando se em considerações como tamanho, setor e tipo de treinamento. Analise as afirmações quanto às métricas operacionais que podem ser utilizadas como pontode partida para o desenvolvimento de métricas, classificando com V as sentenças verdadeiras e com F as sentenças falsas. ( ) A métrica de tempo de inatividade e de rede reduzidos ou interrupções de aplicativos pode ser medida com indicadores como gerenciamento de alterações consistente e processos aprovados; menos surtos de Malware; melhores controles. ( ) A métrica de redução de surtos de Malware e problemas de desempenho do computador relacionados a Malware pode ser medida com indicadores como menos colaboradores abriram e-mails maliciosos e aumento de relatórios de colaboradores de e-mails maliciosos. ( ) A métrica de aumento no relatório de preocupações de segurança e acesso incomum aumentou no relatório pode ser medida com indicadores como diminuição do tempo entre a detecção e remediação. ( ) A métrica das verificações de vulnerabilidade estão ativas e detectam vulnerabilidades altas ou críticas pode ser medida com indicadores como melhor conscientização dos colaboradores sobre possíveis ameaças. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) V – F – V – F. c) ( ) F – V – V – F. d) ( ) F – F – V – V. 5 Além das métricas operacionais como: tempo de inatividade e de rede reduzidos ou interrupções de aplicativos, redução de surtos de Malware e problemas de desempenho do computador relacionados a Malware, aumento do número de consultas dos colaboradores sobre como implementar procedimentos seguros entre outras, que são utilizadas para medir o sucesso de um programa eficaz, podemos utilizar métricas do programa de treinamento. Analise as sentenças a seguir quanto às métricas do programa de treinamento, classificando com V as sentenças verdadeiras e com F as sentenças falsas. ( ) A métrica de aumento do número de pessoas concluindo o treinamento pode ser medida com indicadores rastreamento de presença e avaliações de desempenho. ( ) A métrica de aumento do número de funcionários com acesso privilegiado que receberam o treinamento necessário pode ser medida com indicadores como feedback do pessoal; testes e avaliações de treinamento. ( ) A métrica de aumento da compreensão do pessoal sobre o material de treinamento pode ser medida com indicadores como rastreamento de presença e avaliações de desempenho. 88 Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F. b) ( ) V – F – V. c) ( ) F – V – V. d) ( ) V – F – F. 89 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade, você deverá ser capaz de: • compreender a estrutura capaz de fornecer governança de TI, ou seja, com- preender o Control Objectives for Information and Related Technology (COBIT); • conhecer as principais práticas referente à ABNT NBR ISO/IEC 27001:2013, que faz parte da grande família da ABNT NBR ISO/IEC 27000:2018; • conhecer as principais práticas referente à ABNT NBR ISO/IEC 27002:2013, que faz parte da grande família da ABNT NBR ISO/IEC 27000:2018; • conhecer as principais práticas relacionadas ao ciclo de vida do plano programa de conscientização e treinamento da publicação Especial 800- 50 do Instituto Nacional de Padrões e Tecnologia; • conhecer as quatro etapas do ciclo de vida do plano programa de cons- cientização e treinamento da publicação Especial 800-50 do Instituto Nacional de Padrões e Tecnologia. Esta unidade está dividida em três tópicos. No decorrer da unidade, você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado. TÓPICO 1 – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 TÓPICO 3 – CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL ] INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 90 91 UNIDADE 2 1 INTRODUÇÃO As mudanças tecnológicas fazem parte do dia a dia das organizações. Aliado a essas mudanças estão os riscos e as vulnerabilidades no cotidiano das organizações. Desta forma, é necessário ter conhecimento da legislação que a organização precisa seguir, bem como elicitar os requisitos referentes à segurança necessários para atendê-la. Ao se saber quais são os requisitos legais é necessário identificar quais são os controles apontados pelas normas de segurança. “A partir dos controles identificados, é necessário gerar as políticas, normas e procedimentos para a implementação dos controles” (COELHO; ARAÚJO; BEZERRA, 2014, p. 8). Agora, acadêmico, vamos visualizar graficamente na Figura 1 esta visão geral. FIGURA 1 – VISÃO GERAL DA SEGURANÇA DA INFORMAÇÃO FONTE: Coelho, Araújo e Bezerra (2014, p. 7) Outro ponto, que queremos que você tenha em mente, é a existência de três fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de uma organização, sendo elas: • Análise e avaliação de riscos: deve-se levar em consideração quais são “[...] os objetivos e estratégias de negócio da organização, resultando na identificação TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 92 de vulnerabilidades e ameaças aos ativos. Nesse contexto, leva-se em conta a probabilidade de ocorrência de ameaças e o impacto para o negócio” (COELHO; ARAÚJO; BEZERRA, 2014, p. 9). • Legislação vigente: é necessário identificar os “[...] estatutos, regulamentação e cláusulas contratuais que devem atender à organização, seus parceiros, terceirizados e fornecedores” (COELHO; ARAÚJO; BEZERRA, 2014, p. 9). • Conjunto de princípios: é necessário identificar os “[...] objetivos e requisitos de negócio para o processamento de dados que a organização deve definir para dar suporte às suas operações” (COELHO; ARAÚJO; BEZERRA, 2014, p. 9). O objetivo, a partir daqui, é trazer o conhecimento que você precisa referente às melhores práticas a serem utilizadas para criar um plano do programa de conscientização e treinamento, conforme identificamos no Tópico 3, da Unidade 1. Assim, iremos abordar, agora, neste tópico, o Cobit. 2 FRAMEWORK COBIT O Control Objectives for Information and related Technology (COBIT) é um conjunto de melhores práticas para o gerenciamento de TI, que foi criado pela Information Systems Audit and Control Association (ISACA), uma Associação de Auditoria e Controle de Sistemas de Informação internacional, e pelo Information Technology Governance Institute (ITGI). A ISACA desenvolve e mantém o framework Cobit, reconhecido internacionalmente, ajudando profissionais de Tecnologia da Informação (TI) e líderes empresariais no cumprimento de suas responsabilidades de Governança de TI e para que agreguem valor aos negócios (ISACA, 2018a). Isaca (2018b) coloca que a equipe de desenvolvimento do Cobit ® 2019 analisou os padrões e estruturas apresentados na Figura 2 para alinhar o Cobit ® 2019, evoluindo para uma estrutura de governança e gerenciamento (gestão) de Informações & Tecnologias (I&T), de forma abrangente e mais ampla. No Tópico 2 abordaremos o código de práticas para técnicas de Segurança da Tecnologia da Informação para controles de Segurança da Informação, referente às normas ABNT NBR ISO/IEC 270001:2013 e ABNT NBR ISO/IEC 270002:2013. Por fim, em nosso Tópico 3 abordaremos a publicação Especial 800-50 do NIST — Construindo um plano de programa de conscientização e treinamento em segurança de tecnologia da informação. ESTUDOS FU TUROS TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 93 FIGURA 2 – PADRÕES E ESTRUTUADAS ANALISADAS NO COBIT 2019 FONTE: Isaca (2018b, p. 8) O framework Cobit ® 2019 fornece aos profissionais de segurança de informação e para as partes interessadas da organização, orientações e práticasdetalhadas a serem aplicadas na segurança da informação, fundamentadas nas melhores práticas acadêmicas, além de ele ser reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de maneira eficaz. O framework Cobit ® 2019 foi atualizado com novas informações e orientações, visando a uma implementação mais fácil e personalizada do Cobit ® 2019 (ISACA, 2018a). A Figura 3 traz a estrutura do Cobit ® 2019 e a Figura 4 apresenta as maiores diferenças entre a versão do Cobit ® 2019 e a versão do Cobit 5 (ISACA, 2018b). Essa estrutura se refere a: (i) a introdução e metodologia, que trazem o detalhamento dos princípios de governança, oferecendo conceitos e a exemplificação básica, bem como lança a construção da estrutura de maneira geral, incluso o Cobit Core Model, modelo central; (ii) objetivos de governança e gerenciamento, que proveem a descrição de maneira detalhada do Cobit Core Model, bem como os seus 40 objetivos de governança/gerenciamento. Eles são estabelecidos e acordados com o processo, metas da organização e com as práticas de governança e gerenciamento; (iii) a guia de design, que traz o desenho de uma solução de governança de informação e tecnologia, provendo informação referente de como criar um sistema de governança sob medida; (iv) guia de implementação que traz a forma de implementar e otimizar uma solução de governança de informação e tecnologia, provendo um roteiro para melhoria contínua da governança. Famlia _SGI Realce UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 94 FIGURA 3 - ESTRUTURA DO COBIT 2019 FONTE: A autora FIGURA 4 – MAIORES DIFERENTEÇAS ENTRE COBIT 2019 E COBIT 5 FONTE: Isaca (2018a, p. 5) Basicamente podemos dizer que o modelo de habilitador foi removido, contudo, estruturas similares ainda farão parte do modelo conceitual do Cobit, mas de forma oculta. Além dos habilitadores, os objetivos do processo foram removidos e seu papel passa a ser assumido pelas declarações de prática de processo. Cabe destacar ainda que o modelo de avaliação de capacidade de processo fundamentado no Cobit 5 e na ABNT NBR ISO/IEC 15504, agora ABNT NBR ISO/IEC 33000, foi TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 95 substituído por um modelo de capacidade inspirado no Capability Maturity Model® Integration (CMMI). Por fim, ainda referente a esta figura, veja o que preparamos para você, no Quadro 1, os termos e significados da Figura 4. QUADRO 1 - TERMOS E SIGNIFICADOS DA FIGURA 4 TERMO SIGNIFICADO Framework Estrutura Enabling processes Facilitadores Implementation Guide Guia de implementação Design Guide Guia de desenho Introduction & Methodology Introdução & Metodologia Governance & Management Objectives Objetivos de Gerenciamento e Governança Designing Your Information & Technology Governance System Desenhando o sistema de Governança de Informação & Tecnologia Implementaing and Optimizing Your Information & Technology Governance System Implementando e Otimizando o Sistema de Governança de Informação & Tecnologia Focus Area Áreas foco Small and Medium-sized Enterprises (SME) Empresas de pequeno ou médio porte Developments and Operations (DevOps) Desenvolvimento e Operações Risk Risco Security Segurança FONTE: A autora Você deve se perguntar, por que é importante vermos essas diferenças e como a orientação da ISACA viabiliza a boa prática da conscientização? É importante entendermos quais são as diferenças existentes devido que o ISACA viabilizava as boas práticas de conscientização pelos habilitadores no Cobit 5 (inclusive processos), fornecendo orientação sobre as exigências relativas ao comportamento humano. Segundo Isaca (2012): • Os habilitadores do Cobit 5 incluem pessoas, habilidades e competências, bem como cultura, ética e comportamento. • O processo do Cobit 5 (Align, Plan and Organize – APO) APO07, se refere ao gerenciamento de recursos humanos. UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 96 • O processo do Cobit 5 (Build, Acquire and Implement – BAI) BAI02, se refere ao gerenciamento na definição de requisitos. • Os processos Cobit 5 BAI05, se refere ao gerenciamento da capacidade de mudança organizacional. • O processo Cobit BAI08, se refere ao gerenciamento do conhecimento. De acordo com Isaca (2018c), essas práticas referentes à implementação permanecem iguais e voltaremos nesse assunto no Item 3 deste tópico. Agora, vamos falar de outra característica importante, os Fatores de Desenho e Área de Foco, que permitem criar uma solução de governança sob medida e são justamente estes componentes que eram referidos como habilitadores no Cobit 5. Para que você possa compreender melhor essas questões, apresentamos visualmente o overview do Cobit ® 2019, na Figura 5. FIGURA 5 - OVERVIEW DO COBIT 2019 FONTE: Isaca (2018c, p. 6) Veja o que preparamos para você, que traz no Quadro 2 os termos e significados da Figura 5. QUADRO 2 - TERMOS E SIGNIFICADOS DA FIGURA 5 TERMO SIGNIFICADO Inputs Entrada Standards, frameworks, regulations Padrões, estruturas, regulamentos Community contribution Contribuição da comunidade TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 97 Core publication Publicação central (principal) Reference model of governance and management objective Modelo de referência dos objetivos de governança e gerenciamentos (gestão) Enterprise strategy Estratégia empresarial Enterprise goals Objetivos da empresa Enterprise size Tamanho da empresa Role of it Papel da TI Sourcing model for IT Modelo fornecido para TI Compliance requirements Requisitos de conformidade Design factors Fatores de desenho Tailored enterprise governance system for information and technology Sistema de governança corporativa de Informação e Tecnologia sob medida Priority governance and management objectives Objetivos prioritários de governança e gerenciamento Specific guidance from focus areas Orientação das áreas foco Target capability and performance management guidance Orientação sobre o gerenciamento de capacidade e o nível de desempenho FONTE: A autora Pela Figura 5 é possível perceber que o Cobit ® 2019 sofreu alterações significativas nos fatores de desenho. O desenho aborda desde a estratégia corporativa até os objetivos referentes à organização, tamanho, o papel exercido pela TI, o modelo de prestação de serviços da TI, os requisitos de conformidade e afins. Em contrapartida, a área de foco (antigos habilitadores) tem como objetivo definir o componente principal do seu sistema de Governança, ou seja, se é referente à segurança, ao risco, ao desenvolvimento e operações (Developments and Operations – DevOps), ou mesmo se é sobre uma empresa pequena ou de médio porte (ISACA, 2018c). Segundo Isaca (2018c) são seis os principais princípios para um Sistema de Governança (Governance System): • Provide stakeholder value: cada organização precisa de um sistema de governança para satisfazer as necessidades das partes interessadas e gerar valor a partir do uso da informação e da tecnologia. • Holistic approach: um sistema de governança corporativa de TI é construído a partir de vários componentes de diferentes tipos e trabalhando em conjunto de maneira holística. • Dynamic Governance System: um sistema de governança deve ser dinâmico, ou seja, sempre que um ou mais dos fatores de projeto são alterados, o impacto dessas alterações no sistema deve ser considerado. UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 98 • Governance Distinct from Management: um sistema de governança deve distinguir de forma clara entre as atividades e as estruturas de governança e de gerenciamento. • Tailored to enterprise needs: um sistema de governança deve se adaptar às necessidades da organização, utilizando um conjunto de fatores de design como parâmetros para personalizare priorizar os componentes do sistema de governança. • End-to-End Governance System: um sistema de governança deve cobrir a atividade fim da organização, concentrando-se não só nas funções desempenhadas por ela, mas sim por toda tecnologia e processamento de informações que a organização precisa para alcançar seus objetivos. A Figura 6 traz esses seis princípios do sistema de governança. FIGURA 6 – PRINCÍPIOS DO SISTEMA DE GOVERNANÇA FONTE: Adaptada de Isaca (2018c, p. 11) Além dos seis princípios do sistema de governança, existem três princípios do Framework de Governança (Governance Framework) ilustrados na Figura 7 e descritos aqui (ISACA, 2018c): • Based on conceptual model: uma estrutura de governança deve estar fundamentada em um modelo conceitual, identificando os principais componentes e as relações existentes entre esses componentes, maximizando a consistência e possibilitando a automação. • Open and flexible: uma estrutura de governança deve ser aberta e flexível, permitindo adicionar novo conteúdo e ter a capacidade de resolver novos problemas da maneira mais flexível, mantendo a integridade e a consistência. • Aligned to major standards: uma estrutura de governança deve estar alinhada aos principais padrões, estruturas e regulamentos relacionados. FIGURA 7 – PRINCÍPIOS DO FRAMEWORK DE GOVERNANÇA FONTE: Adaptada de Isaca (2018c, p. 11). TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 99 Assim, para que um plano de programa de conscientização tenha sucesso, temos que pensar que a informação e a tecnologia precisam trazer contribuições significativas para os objetivos da organização, e para que isso aconteça, vários objetivos de governança e gerenciamento devem ser alcançados (ISACA, 2018c). Agora, tire uns minutos para ver o UNI-IMPORTANTE e os dois UNI- DICA que preparamos para você. Semelhante ao Cobit 5, os objetivos de governança e gerenciamento do Cobit ® 2019 estão agrupados em cinco domínios. Os domínios têm nomes que expressam o objetivo principal e as áreas de atividade dos objetivos contidos nele, ou seja, as áreas de foco. Para que você tenha o melhor entendimento do tema, a Figura 8 traz a representação desses domínios e a Figura 9 traz o Modelo Central ou Modelo Essencial, que representa o modelo básico dos processos do Cobit ® 2019. FIGURA 8 – OBJETIVOS DE GOVERNANÇA E GESTÃO FONTE: Isaca (2018c, p. 15) • Um objetivo de governança ou gerenciamento sempre está relacionado a um processo e a uma série de componentes que se relacionam a outros tipos para ajudar a alcançar o objetivo (ISACA, 2018c). • Um objetivo de governança se refere a um processo de governança, enquanto um objetivo de gerenciamento se relaciona a um processo de gestão (ISACA, 2018c). IMPORTANT E Os objetivos cascata de tecnologia e informação do Cobit 5 foram substituídos pelos objetivos de alinhamento no Cobit ® 2019, dizendo respeito ao alinhamento da tecnologia da informação com os objetivos corporativos. Já os objetivos dos habilitadores do Cobit 5 passam a se chamar de Objetivos de Governança e Gerenciamento no Cobit ® 2019. ATENCAO UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 100 FI G U R A 9 – M O D E LO C E N T R A L (C O R E ) D O C O B IT ® 2 0 19 FO N T E : Is ac a (2 0 18 c , p . 1 6 ) TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 101 Veja o que preparamos para você, que traz no Quadro 3 os termos e significados da Figura 8 e Figura 9. QUADRO 3 - TERMOS E SIGNIFICADOS DA FIGURA 8 E FIGURA 9 TERMO SIGNIFICADO Governance objectives Objetivos de governança Evaluate, Direct and Monitor (EDM) Avaliar, Direcionar e Monitorar Management objectives Objetivos de gerenciamento (gestão) Align, Plan and Organize (APO) Alinhar, Planejar e Organizar Build, Acquire and Implement (BAI) Construir, Adquirir e Implementar Deliver, Service and Support (DSS) Entregar, Serviço e Suporte Monitor, Evaluate and Assess (MEA) Monitorar, Avaliar e Analisar EDM01 – Ensured Governance Framework Setting and Maintenance EDM01 – Garantir a definição e manutenção do modelo de Governança EDM02 – Ensured Benefits Delivery EDM02 – Garantir a realização de benefícios EDM03 – Ensured Risk Optimization EDM03 – Garantir a otimização do risco EDM04 – Ensured Resource Optimization EDM04 – Garantir a otimização dos recursos EDM05 – Ensured Stakeholder Engagement EDM05 – Garantir a transparência para as partes interessadas APO01 – Managed I&T Management Framework APO01 – Gerenciar a estrutura de gestão de I&T APO02 – Managed Strategy APO02 – Gerenciar a estratégia APO03 – Managed Enterprise Architecture APO03 – Gerenciar a estrutura da organização APO04 – Managed Innovation APO04 – Gerenciar inovação APO05 – Managed Portfolio APO05 – Gerenciar portfólio APO06 – Managed Budget and Costs APO06 – Gerenciar orçamento e custos APO07 – Managed Human Resources APO07 – Gerenciar recursos humanos APO08 – Managed Relationships APO08 – Gerenciar relacionamentos APO09 – Managed Service Agreements APO09 – Gerenciar contratos de prestação de serviço UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 102 APO10 – Managed Vendors APO10 – Gerenciar fornecedores APO11 – Managed Quality APO11 – Gerenciar qualidade APO12 – Managed Risk APO12 – Gerenciar riscos APO13 – Managed Security APO13 – Gerenciar segurança APO14 – Managed Data APO14 – Gerenciar dados MEA01 – Managed Performance and Conformance Monitoring MEA01 – Gerenciar o monitoramento de desempenho e conformidade BAI01 – Managed Programs BAI01 – Gerenciar Programas BAI02 – Managed Requirements Definition BAI02 – Gerenciar definição de requisitos BAI03 – Managed Solutions Identification and Build BAI03 – Gerenciar identificação e desenvolvimento de soluções BAI04 – Managed Availability and Capacity BAI04 – Gerenciar disponibilidade e Capacidade BAI05 – Managed Organizational Change BAI05 – Gerenciar a capacidade de mudança organizacional BAI06 – Managed IT Changes BAI06 – Gerenciar mudanças de TI BAI07 – Managed IT Change Acceptance and Transitioning BAI07 – Gerenciar aceitação e transição da mudança de TI BAI08 – Managed Knowledge BAI08 – Gerenciar conhecimento BAI09 – Managed Assets BAI09 – Gerenciar ativos BAI10 – Managed Configuration BAI10 – Gerenciar configuração BAI11 – Managed Projects BAI11 – Gerenciar projetos MEA02 – Managed System of Internal Control MEA02 – Gerenciar sistema de controle interno MEA03 – Managed Compliance with External Requirements MEA03 – Gerenciar conformidade com os requisitos externos DSS01 – Managed Operation DSS01 – Gerenciar operações DSS02 – Managed Service Requests and Incidents DSS02 – Gerenciar solicitações de incidentes de serviços DSS03 – Managed Problems DSS03 – Gerenciar problemas DSS04 – Managed Continully DSS04 – Gerenciar continuidade DSS05 – Managed Security Services DSS05 – Gerenciar serviços de segurança TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 103 DSS06 – Managed Business Process Controls DSS06 – Gerenciar controles do processo de negócio MEA04 – Managed Assurance MEA04 – Gerenciar avaliação FONTE: A autora Como falamos anteriormente, precisamos conhecer como o Cobit ® 2019 está estruturado, para que quando estivermos em posse dele, possamos encontrar o referencial referente à conscientização. Desta forma, elencamos, no Quadro 4, os conceitos-chave referentes aos objetivos de governança e gerenciamento. No referido quadro é possível identificar que os componentes relacionados estão contemplando as práticas referentes à conscientização. QUADRO 4 - CONCEITOS CHAVES DOS OBJETIVOS DE GOVERNANÇA E GERENCIAMENTO CONCEITO-CHAVE CONTEMPLA Informação de alto nível • Nome do domínio • Área de foco • Nome do objetivo de governança ou gerenciamento • Descrição • Declaração de propósito Cascatade objetivos (Objetivos de alinhamento) • Metas de alinhamento aplicáveis • Objetivos aplicáveis da empresa • Exemplo de métricas Componentes relacionados • Processos, práticas e atividades • Estruturas organizacionais • Fluxos de informação e itens • Pessoas, habilidades e competências • Políticas e frameworks • Cultura, ética e comportamento • Serviços, infraestrutura e aplicativos Orientação relacionada • Local dos links e referências cruzadas aplicáveis são fornecidos a outros padrões e estruturas de cada um dos componentes de governança dentro de cada objetivo de governança e gerenciamento. FONTE: Adaptado de Isaca (2018c) A cascata de objetivos citada no Quadro 4 são apresentadas na Figura 10 para que você possa compreender esse alinhamento enfatizando-o dos esforços de TI com os objetivos de negócio. Isaca (2018c) coloca que: UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 104 • essas eram metas relacionadas à TI no Cobit 5; • a atualização procura evitar o entendimento frequente de que essas metas indicam objetivos puramente internos do departamento de TI em uma organização; • as metas de alinhamento também foram consolidadas, reduzidas, atualizadas e esclarecidas quando necessário. FIGURA 10 – CASCATA DE OBJETIVOS FONTE: Adaptada de Isaca (2018c, p. 18) Cabe destacar ainda, que o sistema de governança de cada organização é construído a partir de vários componentes que podem ser de tipos diferentes, podendo interagir entre si, resultando em um sistema holístico de governança para informação e tecnologia; e que anteriormente eles eram conhecidos como facilitadores no Cobit 5. Os componentes podem ser genéricos ou variações dos componentes genéricos. Os componentes genéricos são descritos no modelo principal do Cobit ® 2019, sendo aplicados em princípio a qualquer situação, contudo, eles são de natureza genérica e geralmente precisam de personalização antes de serem implementados. Já os componentes variantes são baseados em componentes genéricos, mas adaptados para um propósito ou contexto específico dentro de uma área de foco (por exemplo, para segurança da informação, DevOps, um regulamento específico e afins). Agora, acadêmico, analise a Figura 11, que exemplifica essa questão (ISACA, 2018c). TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 105 FIGURA 11 – COMPONENTES GENÉRICOS E VARIÁVEIS FONTE: Isaca (2018c, p. 20) Os componentes de governança relevantes passaram a ser agrupados no Cobit ® 2019 em Áreas de Foco. Mas o que é uma Área de Foco? Veja o UNI- NOTA sobre o tema. Uma Área de Foco descreve um determinado tópico, domínio ou problema de governança que pode ser tratado por uma coleção de objetivos de governança e gerenciamento e seus componentes. As áreas de foco podem conter uma combinação de componentes e variantes genéricos de governança. Destacamos ainda que o número de áreas de foco é praticamente ilimitado. É isso que torna o Cobit ® 2019 aberto. Novas áreas de foco podem ser adicionadas conforme necessário ou conforme especialistas e profissionais do assunto. NOTA Isaca (2018c) destaca os fatores de desenho no Cobit ® 2019 como conceitos- chave e por isso, os apresentamos para você na Figura 12. Eles influenciam o desenho do sistema de governança de uma organização e que eles precisam estar devidamente posicionados para que a organização consiga obter sucesso no uso da informação e da tecnologia. Portanto, podemos dizer que é necessário que exista uma conscientização referente a esses fatores. Acadêmico, acesse o UNI que preparamos para você. UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 106 FIGURA 12 – FATORES DE DESENHO FONTE: Isaca (2018c, p. 22) Os diferentes estágios e etapas do processo de desenho apresentados na Figura 12 resultarão em recomendações para priorizar os objetivos de governança e gerenciamento ou nos componentes do sistema de governança relacionados, podendo ser gerenciadas nos níveis de maturidade e capacidade que demandam um novo modelo de maturidade fundamentado no Capability Maturity Model Integration (CMMI), ou seja, na Integração do modelo de maturidade de capacidade (ISACA, 2018c). Tire uns minutos, para ver a exemplificação do desenho de um sistema de governança sob medida apresentada na Figura 13. FIGURA 13 – FLUXO DE TRABALHO DO PROJETO DO SISTEMA DE GOVERNANÇA FONTE: Isaca (2018c, p. 29) O Cobit Design Guide traz informações e orientações detalhadas sobre como usar os fatores de design para projetar um sistema de governança. Para mais informações acesse o link https://www.isaca.org/bookstore/bookstore-cobit_19-digital/wcb19dgd. DICAS TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 107 Isaca (2018c) traz a abordagem de implementação, que se baseia em capacitar as partes interessadas de negócios e de TI e os participantes para assumir a propriedade das decisões e atividades de governança e gerenciamento relacionadas à TI, facilitando e possibilitando mudanças. Isaca (2018c) ainda coloca que o guia de implementação é uma abordagem em fases com três perspectivas: • Melhoria contínua. • Gerenciamento de programas. • Alterar ativação. Isaca (2018c) complementa que o guia de implementação do Cobit ® 2019 enfatiza uma visão corporativa da governança de informação e tecnologia, reconhecendo que a informação e tecnologia precisam ser difundidas nas organizações. Além disso, reconhece que não é possível e nem é uma boa prática separar as atividades comerciais das atividades relacionadas à TI. 3 COMPORTAMENTO HUMANO E O COBIT Você pode se perguntar, o que isso de fato significa na prática? A implementação de qualquer mudança habilitada por TI, inclusive na governança de TI em si, geralmente exige uma mudança cultural e comportamental significativa das organizações e na relação com seus clientes e parceiros comerciais. Isso pode causar medo e mal-entendido entre as equipes, de modo que a implementação deve ser administrada cuidadosamente a fim de manter o pessoal positivamente engajado. A alta direção deverá comunicar claramente os objetivos e ser percebidos como apoiando positivamente as mudanças propostas. Treinamento e capacitação dos colaboradores são aspectos chave da mudança – especialmente em função da natureza de mudança rápida da tecnologia. Pessoas são afetadas pela TI em todos os níveis da organização, como as partes interessadas, gestores e usuários, ou especialistas que prestam serviços e soluções de TI para a organização. Além da organização, a TI afeta clientes e parceiros comerciais e permite cada vez mais o autoatendimento em serviços de TI e as transações automatizadas entre organizações em nível doméstico e internacional. Já os processos de negócios habilitados por TI trazem novos benefícios e oportunidades, eles também ampliam os tipos de riscos. O interesse das pessoas por questões sobre privacidade e fraudes está aumentando, e estes e os demais tipos de riscos devem ser geridos para que as pessoas tenham confiança nos sistemas de TI que utilizam. Sistemas de informação também podem afetar drasticamente os métodos de trabalho por meio da automação dos procedimentos manuais. FONTE: ISACA. Cobit 5 – Modelo Corporativo para Governança e Gestão de TI da Organi- zação. Schaumburg: Isaca, 2012, p. 63. Disponível em: http://sti.tjrr.jus.br/arqpdf/governanca/ guias/COBIT-5_res_Por_0914.pdf. Acesso em: 12 abr. 2020. UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 108 3.1 CULTURA, ÉTICA E COMPORTAMENTO e PESSOAS, HABILIDADES E COMPETÊNCIAS “Cultura, ética e comportamento das pessoas e da organização são muitas vezes subestimados como um fator de sucesso nas atividades de governança e gestão” (ISACA, 2012, p. 29). Para Isaca (2012, p. 33), “O comportamento também é um habilitador essencial da boa governança e gestão da organização. Ele fica no topo —liderando por exemplos — e é, portanto, uma interação importante entre a governança e a gestão”. A “Cultura, ética e comportamento determinam a eficiência e eficácia das estruturas organizacionais e de suas decisões” (ISACA, 2012, p. 79). Nesse sentido, Isaca (2012, p. 72) coloca que é necessário que: • A composição das estruturas organizacionais seja considerada, exigindo um conjunto de habilidades adequadas de seus membros. • Os princípios de ordem e operação das estruturas organizacionais são orientados pelos modelos de políticas adotado. Portanto, você precisa conhecer os papéis e quais são as estruturas definidas para cada um deles. Para isso, preparamos o Quadro 5 para que você possa conhecer essas definições. Isaca (2012) ressalta que essas definições servem como base e não necessariamente representam os papéis reais desempenhadas nas organizações. Lembre-se, elas agregam valor por serem utilizadas em grande parte das organizações. QUADRO 5 - PAPÉIS E SUAS ESTRUTURAS ORGANIZACIONAIS PAPEL/ESTRUTURA DEFINIÇÃO/DESCRIÇÃO Conselho de Administração O grupo de executivos mais antigos e/ou conselheiros não executivos da organização responsáveis pela governança da organização e controle geral dos seus recursos. Diretor Executivo (Chief Executive Officer – CEO) Diretor com o maior nível de autoridade, responsável pela administração da organização como um todo. Diretor Financeiro (Chief Financial Officer – CFO) O diretor mais graduado da organização na área, responsável por todos os aspectos da administração financeira, inclusive riscos e controles financeiros bem como pela confiabilidade e exatidão das contas. Diretor Operacional (Chief Operation Officer – COO) O diretor mais graduado da organização na área, responsável pela operação da organização. TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 109 Diretor de Riscos (Chief Risk Officer – CRO) O diretor mais graduado da organização na área, responsável por todos os aspectos da gestão de risco da organização. A função do diretor de risco de TI pode ser criada para supervisionar os riscos de TI. Diretor de TI (Chief Information Officer – CIO) O diretor mais graduado da organização na área, responsável pelo alinhamento de TI com as estratégias de negócios e responsável pelo planejamento, mobilização de recursos e administração da prestação de serviços e soluções de TI em apoio aos objetivos corporativos. Diretor de Segurança da Informação (Chief Information Security Officer – CISO) O diretor mais graduado da organização na área, responsável pela segurança das informações da organização em todas as suas formas. Executivo de Negócios O administrador sênior responsável pela operação de uma unidade de negócios ou subsidiária específica. Responsável pelo Processo de Negócios Pessoa responsável pela execução de um processo e consecução de seus objetivos, orientação de melhorias no processo e aprovação de mudanças no processo. Comitê Estratégico (Executivo Estratégico de TI) Grupo de executivos seniores nomeados pelo conselho de administração para garantir que o conselho participe e seja informado sobre as principais questões e decisões de TI. O comitê é responsável pela administração dos portfólios de investimentos habilitados pela TI, serviços de TI e ativos de TI, garantindo a criação de valor e a gestão de riscos. O comitê é geralmente presidido por um membro do conselho e não pelo Diretor de TI. UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 110 Comitês Diretivos (Projeto e Programa) Grupo departes interessadas e especialistas responsáveis pela orientação de programas e projetos, inclusive monitoramento e administração de planos, alocação de recursos, realização de benefícios e criação de valor bem como a gestão do risco do programa e do projeto. Conselho de Arquitetura Grupo departes interessadas e especialistas responsáveis pela orientação dos assuntos e decisões sobre a arquitetura corporativa da organização e pela definição das políticas e padrões arquitetônicos. Comitê de Riscos da Organização Grupo de executivos da organização responsáveis pela colaboração em nível organizacional e pelo consenso exigido para apoiar as atividades e decisões da governança de riscos organizacionais (Enterprise Risk Management – ERM). Um conselho de risco de TI pode ser criado para considerar os riscos de TI de forma mais detalhada e aconselhar o comitê de riscos da organização. Chefe de RH O diretor mais graduado de uma organização na área responsável pelo planejamento e pelas políticas de recursos humanos daquela organização Conformidade Papel na organização responsável pela orientação sobre a conformidade legal, regulatória e contratual. Auditor Papel na organização responsável pela realização de auditorias internas. Chefe de Arquitetura Colaborador mais graduado responsável pelos processos de arquitetura da organização. Chefe de Desenvolvimento Colaborador mais graduado responsável pelos processos de desenvolvimento de soluções de TI. Chefe de Operações de TI Colaborador mais graduado responsável pelos ambientes operacionais e pela estrutura de TI. TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 111 Chefe de Administração de TI Colaborador graduado responsável pelos registros de TI e pelos assuntos administrativos relacionados à TI. Escritório de Gerenciamento de Projetos (Project Management Office –PMO) Órgão responsável pelo apoio aos gerentes de programa e de projeto, levantamento, avaliação e relatório das informações sobre a conduta de seus programas e projetos constituintes. Escritório de Gestão de Valor (Value Management Office – VMO) Órgão que atua na gestão de portfólios de investimentos e serviços, inclusive avaliando e aconselhando sobre oportunidades de investimentos e estudos de caso, recomendando métodos e controles de valores de governança/ gestão e informando sobre o progresso na sustentação e criação de valores gerados pelos investimentos e serviços. Gerente de Serviços Pessoa que gerencia o desenvolvimento, implementação, avaliação e o controle contínuo de produtos e serviços novos e já existentes para um cliente específico (usuário) ou grupo de clientes (usuários). Gerente de Segurança da Informação Pessoa que administra, projeta, prevê e/ou avalia a segurança da informação de uma organização. Gerente de Continuidade dos Negócios Pessoa que administra, projeta, prevê e/ ou avalia a capacidade de continuidade dos negócios de uma organização para garantir que as funções críticas daquela empresa continuem a operar após eventos de interrupção. Diretor de Privacidade (Chief Privacy Officer – CPO) Pessoa responsável pelo monitoramento dos riscos e impacto nos negócios de leis de privacidade, e pela orientação e coordenação da implementação de políticas e atividades que garantam que as diretrizes de privacidade serão cumpridas. Também conhecido como diretor de proteção de dados. FONTE: Adaptado de Isaca (2012, p. 80-81) UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 112 Em outra vertente, mas ainda relacionado ao tema estão as pessoas, habilidades e competências, que para Isaca (2012, p. 33), estão relacionadas com “As atividades de governança e gestão requerem conjuntos de habilidades diferentes, mas uma habilidade essencial para os membros do órgão de governança e de gestão é entender as duas tarefas e como elas se diferenciam”. Assim é importante identificar quais são os controles de desempenho. Controle de desempenho Organizações esperam resultados positivos da aplicação e uso dos habilitadores. Para controlar o desempenho dos habilitadores, as perguntas a seguir terão de ser monitoradas e posteriormente respondidas — com base em indicadores — periodicamente: • As necessidades das partes interessadas foram consideradas?• As metas do habilitador foram atingidas? • O ciclo de vida do habilitador é controlado? • Boas práticas foram aplicadas? Os dois primeiros pontos tratam do resultado efetivo do habilitador. Os indicadores usados para aferir em que medida as metas foram atingidas podem ser chamadas de ‘indicadores de resultado. Os dois últimos pontos tratam do funcionamento efetivo do próprio habilitador, e estes indicadores podem ser chamadas de ‘indicadores de progresso. Agora, vamos ilustrar o exemplo adaptado de Isaca (2012, p. 31-32) referente aos objetivos, suas interligações e as dimensões, e como usá-los para benefício prático. Uma organização nomeou ‘gerentes de processo’ de TI, encarregados de definir e operar processos de TI eficientes e eficazes, no contexto da boa governança e gerenciamento de TI da organização. Primeiramente, os gerentes de processo se concentraram no habilitador do processo, considerando as dimensões do habilitador: • Partes interessadas: partes interessadas incluem todos os atores do processo, ou seja, todas as partes Responsáveis, Consultadas ou Informadas (RACI) sobre, ou durante, as atividades do processo. • Metas: cada processo deve definir metas adequadas e indicadores correspondentes. Por exemplo, para o processo Gerenciar Relacionamentos (processo APO08) pode-se encontrar um conjunto de metas e indicadores de processo tais como: (i) Meta: bom entendimento, documentação e aprovação das estratégias, planos e requisitos do negócio. Métrica: percentual de programas alinhados com os requisitos/prioridades de negócios da organização; (ii) Meta: existência de bons relacionamentos entre a organização e a área de TI. Métrica: classificações de usuário e pesquisas de satisfação do pessoal de TI. TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 113 • Ciclo de Vida: cada processo tem um ciclo de vida, ou seja, ele deve ser criado, executado, monitorado e ajustado conforme necessário. Eventualmente, o processo deixa de existir. Neste caso, os gerentes de processo terão de conceber e definir o processo primeiro. Eles podem usar vários elementos do Cobit: o antigo habilitador de processos para conceber os processos, ou seja, definir responsabilidades e desmembrar o processo em práticas e atividades, bem como definir os produtos do trabalho do processo (entradas e saídas). Em um segundo momento, o processo deverá ser criado de forma mais sólida e eficiente e para isso os gerentes de processo podem elevar o nível de capacidade do processo. O Modelo de Capacidade de Processo do Cobit inspirado no ISO/IEC 15504 e os atributos de capacidade do processo podem ser usados para essa finalidade. • Boa prática: o Cobit descreve de forma bastante detalhada as boas práticas de processos no Cobit, conforme mencionado no item anterior. Inspiração e exemplos de processos podem ser encontrados ali, cobrindo todo o espectro de atividades necessárias para a boa governança e gerenciamento corporativo de TI. Além de orientação sobre o habilitador de processo, os gerentes de processo podem decidir observar diversos outros habilitadores tais como: As tabelas RACI, que descrevem as funções e responsabilidades. Outros habilitadores permitem aprofundar-se nesta dimensão, tais como: No habilitador competências e habilidades, as que são necessárias em cada função podem ser definidas com metas apropriadas (ex.: níveis de habilidade técnica e comportamental) e seus respectivos indicadores podem ser definidos. A tabela RACI também contém diversas estruturas organizacionais. Essas estruturas podem ser mais bem elaboradas no habilitador estruturas organizacionais, em que uma descrição mais detalhada da estrutura pode ser encontrada, resultados esperados e seus respectivos indicadores podem ser definidos (ex.: decisões) e boas práticas podem ser definidas (ex.: abrangência do controle, princípios operacionais da estrutura, nível de autoridade). Princípios e políticas formalizarão os processos e prescreverão porque o processo existe, a quem se aplica e como o processo deverá ser usado. Esta é a área de enfoque do habilitador de políticas e princípios. FONTE: Adaptado de ISACA. Cobit 5 – Modelo Corporativo para Governança e Gestão de TI da Organização. Schaumburg: Isaca, 2012, p. 31-32. Disponível em: http://sti.tjrr.jus.br/arqpdf/ governanca/guias/COBIT-5_res_Por_0914.pdf. Acesso em: 12 abr. 2020. Cultura, ética e comportamento Cultura, ética e comportamento referem-se ao conjunto de comportamentos individuais e coletivos de cada organização. O modelo do habilitador cultura, ética e comportamento evidência: UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 114 • Partes interessadas: As partes interessadas referentes à cultura, ética e comportamento podem ser internas e externas à organização. Partes interessadas internas incluem toda a organização, partes interessadas externas incluem reguladores, por exemplo, auditores externos ou órgãos de fiscalização. Há dois tipos de interesses: (i) algumas partes interessadas, por exemplo, representantes legais, gerentes de risco, administradores de RH, conselhos e diretores de remuneração, tratam da definição, implementação e execução dos comportamentos desejados; (ii) os demais devem alinhar-se às normas e regulamentos definidos. • Metas: as metas do habilitador cultura, ética e comportamento se referem: ᵒ À ética organizacional, determinada pelos valores que nortearão a existência da organização. ᵒ À ética individual, determinada pelos valores pessoais de cada colaborador da organização e dependente, em uma importante medida, de fatores externos como religião, etnia, contexto socioeconômico, geografia e experiências pessoais. ᵒ A comportamentos individuais, que determinam coletivamente a cultura de uma organização. Diversos fatores, tais como os fatores externos mencionados anteriormente, além das relações interpessoais nas organizações, objetivos e ambições pessoais, orientam o comportamento. Alguns tipos de comportamentos que podem ser significativos neste contexto incluem: (i) Comportamento relativo à assunção de riscos, em que medida a organização sente que pode absorver riscos e quais riscos ela está disposta a assumir? (ii) Comportamento relativo à adoção de políticas, em que medida as pessoas adotarão e/ou cumprirão a política? (iii) Comportamento no caso de resultados negativos, como a organização lida com resultados negativos, ou seja, prejuízos ou até mesmo perda de oportunidades? Ela aprende com essas perdas e tenta melhorar ou a culpa será atribuída sem tratar da causa raiz? • Ciclo de vida: cultura organizacional, postura ética e comportamento individual etc., todos possuem seus ciclos de vida. Partindo da cultura existente, uma organização pode identificar as mudanças necessárias e trabalhar em sua implementação. • Boas práticas: boas práticas para criação, incentivo e manutenção do comportamento desejado: ᵒ Comunicação para toda a organização dos comportamentos desejados e valores corporativos subjacentes. ᵒ Conscientização do comportamento desejado, reforçada por um exemplo de comportamento exercido pela alta administração e outras lideranças. ᵒ Incentivos para encorajar e convencer a adotar o comportamento desejado. Há uma conexão clara entre o comportamento individual e o esquema de recompensas de RH adotado pela organização. ᵒ Regulamentos e normas, que fornecem mais orientação sobre o comportamento organizacional desejado. Isso conecta de forma muita clara os princípios e políticas adotados pela organização. TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 115 ᵒ Relações com os demais: as interações com outros habilitadores incluem: (i) processos podem ser concebidos em um nível de perfeição, mas se as partes interessadas do processo não desejarem executar as atividades do processo conforme esperado. Por exemplo, se seu comportamento não estiverem conformidade, os resultados do processo não serão alcançados. Do mesmo modo, estruturas organizacionais podem ser projetadas e criadas de acordo com o manual, mas se suas decisões não forem implementadas, por motivos de agendas pessoais diferentes, falta de incentivos etc., elas não resultarão em uma governança e gerenciamento de TI da organização aceitável; (ii) princípios e políticas são um mecanismo de comunicação muito importante para os valores corporativos e o comportamento desejado. FONTE: ISACA. Cobit 5 – Modelo Corporativo para Governança e Gestão de TI da Organi- zação. Schaumburg: Isaca, 2012, p. 82-83. Disponível em: http://sti.tjrr.jus.br/arqpdf/gover- nanca/guias/COBIT-5_res_Por_0914.pdf. Acesso em: 12 abr. 2020. Agora, acadêmico, preparamos duas exemplificações para você. O Quadro 6 traz um exemplo de melhoria contínua e o Quadro 7 exemplifica o risco de TI. QUADRO 6 - EXEMPLO DE MELHORIA CONTÍNUA Uma organização enfrenta repetidamente sérios problemas de qualidade com novos aplicativos. Apesar do fato de uma sólida metodologia de desenvolvimento de projeto de software ter sido adotada, muitas vezes os problemas com o software geram problemas operacionais no cotidiano da organização. Uma pesquisa mostrou que os membros da equipe de desenvolvimento e a administração são avaliados e recompensados com base na pontualidade da entrega, dentro do orçamento, de seus projetos. Eles não são avaliados por critérios de qualidade ou critérios de benefícios para a organização. Consequentemente, eles se concentram diligentemente no prazo de entrega e na redução de custos durante o desenvolvimento, por exemplo, tempo dos testes. A pesquisa mostrou também que o cumprimento da metodologia e dos procedimentos estabelecidos praticamente não existe, uma vez que ela exigiria um pouco mais de tempo no desenvolvimento do orçamento (a favor da qualidade). Além disso, a estrutura organizacional é de tal forma que o envolvimento da área de desenvolvimento cessa uma vez que o desenvolvimento é transferido para a equipe de operações. A partir daí o envolvimento com a área de desenvolvimento é somente indireto, por meio dos processos criados para controle de incidentes e controle de problemas. A lição aprendida é que os melhores incentivos devem ser usados para solucionar a administração do desenvolvimento e incentivar as equipes melhorarem a qualidade do trabalho. FONTE: Isaca (2018, p. 83) UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 116 QUADRO 7 - EXEMPLO DE RISCO DE TI Alguns sintomas de uma cultura inadequada ou problemática em relação aos riscos de TI incluem: desalinhamento entre a real inclinação ao risco e a sua conversão em políticas. Os reais valores da administração em relação aos riscos podem ser razoavelmente agressivos e de assunção de riscos, ao passo que as políticas criadas refletem uma atitude muito mais conservadora. Por isso, há uma incompatibilidade entre os valores e os meios para se compreender esses valores, levando inevitavelmente ao conflito. Conflitos podem surgir, por exemplo, entre os incentivos definidos para a administração e a execução de políticas desalinhadas. A existência de uma “cultura de culpa”. Este tipo de cultura deve ser evitado de todas as formas; ela é o mais eficaz inibidor de comunicação significativa e eficaz. Em uma cultura de culpa, as unidades de negócios tendem a apontar o dedo para TI quando os projetos não são entregues no prazo ou não atendem às expectativas. Ao fazê-lo, elas não conseguem perceber como o envolvimento das unidades de negócios no início do projeto afeta o sucesso do processo. Em casos extremos, a unidade de negócios pode assumir a culpa por não atender às expectativas que a unidade nunca comunicou claramente. O “jogo de culpa” só prejudica a comunicação eficaz entre as unidades, fazendo aumentar os atrasos. A liderança executiva deve identificar e controlar rapidamente a cultura de culpa se a colaboração for fomentada em toda a organização. FONTE: Isaca (2018, p. 83) Pessoas, habilidades e competências As especificidades das pessoas, habilidades e competências são comparadas com a descrição do habilitador genérico. O modelo de pessoas, habilidades e competências destaca: • Partes interessadas: as habilidades e competências podem ser encontradas em Partes Interessadas internas e externas à organização. Cada interessado assume funções participantes, administradores de negócios, administradores de projeto, parceiros, concorrentes, recrutadores, instrutores, desenvolvedores, especialistas técnicos em TI etc.; e cada papel exige um conjunto de habilidades distintas. • Metas: as metas das habilidades e competências estão relacionadas com os níveis de educação e qualificação, habilidades técnicas, níveis de experiência, conhecimento e habilidades comportamentais necessários para realizar e desenvolver as atividades do processo com sucesso, os papéis organizacionais etc. As metas dos colaboradores incluem níveis corretos de disponibilidade de pessoal e índice de rotatividade. • Ciclo de vida: habilidades e competências têm um ciclo de vida. Uma organização tem que saber qual é sua atual base de habilidades e planejar o que ela deve ser. Isto é influenciado pela estratégia (entre outras coisas) e pelos objetivos corporativos. As habilidades devem ser desenvolvidas (por exemplo, com treinamento) ou adquiridas (por exemplo, com recrutamento) TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 117 e implantadas nos diversos papéis da estrutura organizacional. As habilidades devem ser transferidas, por exemplo, se uma atividade for automatizada ou terceirizada. Periodicamente, por exemplo, anualmente, a organização deve avaliar a base de competências para compreender a evolução ocorrida, que será informada no processo de planejamento do próximo período. Esta avaliação também pode ser incluída no processo de recompensa e reconhecimento de recursos humanos. • Boas práticas: as boas práticas de habilidades e competências incluem a definição de requisitos de qualificação claros e objetivos de cada papel desempenhado pelas diversas partes interessadas. Isto pode ser descrito em diferentes níveis de habilidades em diversas categorias. Para cada nível de habilidade apropriado em cada categoria de habilidade, uma definição da habilidade deverá ser disponibilizada. As categorias de habilidade correspondem às atividades de TI assumidas, por exemplo, gestão da informação, análise de negócios. Outras boas práticas: Há fontes externas de boas práticas, como Skills Framework for the Information Age (SFIA), que fornece definições detalhadas de habilidades. Exemplos de potenciais categorias de habilidades, mapeados nos domínios de processo do Cobit 5 são apresentados no Quadro 8. Conforme vimos anteriormente, essa parte continua igual no Cobit ® 2019. QUADRO 8 - DOMÍNIO DO PROCESSO E EXEMPLOS DE CATEGORIAS DE HABILIDADES DOMÍNIO DO PROCESSO EXEMPLOS DE CATEGORIAS DE HABILIDADES Avaliar, Dirigir e Monitorar (Evaluating Direction and Monitoring – EDM) • Governança corporativa de TI Alinhar, Planejar e Organizar (Align, Plan and Organize – APO) • Formulação da política de TI • Estratégia de TI • Arquitetura corporativa • Inovação • Gestão financeira • Gestão de portfólio Construir, Adquirir e Implementar (Build, Acquire and Implement – BAI) • Análise de negócios • Gerenciamento de projetos • Avaliação de usabilidade • Definição e gestão de requisitos • Programação • Ergonomia do sistema • Desativação de software • Gestão da capacidade UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 118 Entregar, Serviços e Suporte (Deliver, Service and Support – DSS) • Gestão da disponibilidade • Gestão de problemas • Central de Atendimento e gestão de incidentes • Administração de segurança • Operações de TI • Administração do banco de dados Monitorar, Avaliar e Analisar(Monitor, Evaluate and Assess – MEA) • Análise de conformidade • Monitoramento de desempenho • Auditoria de controles FONTE: Isaca (2012, p. 91) • Relações com outros habilitadores: as interações com outros habilitadores incluem: ᵒ Habilidades e competências são necessárias para realizar as atividades do processo e tomar decisões em estruturas organizacionais. Reciprocamente, alguns processos visam apoiar o ciclo de vida das habilidades e competências. ᵒ Há ainda uma relação com a cultura, ética e comportamento por meio das habilidades comportamentais, que orientam o comportamento do indiví- duo e são influenciadas pela ética da pessoa e pela ética da organização. ᵒ As definições de habilidades também são informações, para as quais boas práticas do habilitador de informação devem ser consideradas. FONTE: ISACA. Cobit 5 – modelo corporativo para governança e gestão de ti da organização. Isaca, 2012, p. 90-91. Disponível em: https://www.isaca.org/bookstore/cobit-5/wcb5b. Acesso em: 12 abr. 2020. 3.2 PROCESSOS REFERENTE À CONSCIENTIZAÇÃO O processo APO07: “Gerenciar recursos humanos explica como o desempenho dos indivíduos deve ser alinhado aos objetivos corporativos, como as habilidades dos especialistas em TI devem ser mantidas, e como e responsabilidades devem ser definidas” (ISACA, 2012, p. 63). Dessa forma, ele fornece uma abordagem estruturada para garantir a estruturação ideal, colocação, direitos de decisão e as habilidades dos recursos humanos. Isso inclui a comunicação tanto dos papéis como das responsabilidades definidas, planos de aprendizagem e de crescimento, bem como as expectativas de desempenho, apoiado por pessoas que se encontram motivadas e são competentes. O processo BAI02: “Gerenciar definição de requisitos ajuda a assegurar que o projeto dos aplicativos atenda às exigências de uso e operação por pessoas” (ISACA, 2012, p. 65). Assim, ele identifica soluções e analisa os requisitos anteriormente a aquisição ou a criação, assegurando que eles estão em conformidade com os requisitos estratégicos corporativos e cobrindo os processos TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 119 de negócio, aplicações, dados/informações, os serviços e a infraestrutura. Esse processo também visa a coordenar com as partes interessadas afetadas a revisão de opções viáveis, incluso custos e benefícios, análise de risco e aprovação de requisitos e soluções propostas. O processo BAI05: “Gerenciar capacidade de mudança organizacional e BAI08 gerenciar conhecimento estão relacionados com capacitar a mudança” (ISACA, 2012, p. 65). Segundo ISACA (2012, p. 38-39) capacitar a mudança diz respeito que: O sucesso da implementação depende da implantação da mudança adequada (dos habilitadores da governança ou gestão apropriados) de forma correta. Em muitas organizações, há um foco significativo no primeiro aspecto – núcleo de governança ou gestão de TI – mas há pouca ênfase na gestão dos aspectos humanos, comportamentais e culturais da mudança e motivação das partes interessadas para aceitar a mudança. Não se deve pressupor que as várias partes interessadas envolvidas com os habilitadores novos ou revisados, ou afetados por eles, os aceitarão prontamente e adotarão a mudança. A possibilidade de ignorarem e/ou resistirem à mudança deve ser tratada por meio de uma abordagem estruturada e proativa. Além disso, a conscientização ideal do programa de implementação deve ser alcançada por meio de um plano de comunicação eficiente que defina o que será comunicado, de que forma e por quem, ao longo das várias fases do programa. Melhoria sustentável pode ser conseguida obtendo-se o compromisso das partes interessadas (investimento na conquista de corações e mentes, do tempo dos líderes, e na comunicação e resposta à força de trabalho) ou, se ainda for necessário, aplicando-se em conformidade (investimento em processos para administrar, monitorar e executar). Em outras palavras, as barreiras humanas, comportamentais e culturais devem ser superadas de modo que haja um interesse comum em adotar corretamente a mudança, infundir a vontade de adotar a mudança e garantir a capacidade de adotar a mudança. O processo BAI005 visa maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a organização, de maneira rápida e reduzindo risco. Além disso, busca cobrir o ciclo de vida completo da mudança e de todas as partes interessadas que são afetadas no negócio e a TI. Já o processo BAI08 mantém a disponibilidade de conhecimento relevante, atual, válida e confiável para suportar todas as atividades do processo e facilitar a tomada de decisão. 120 Neste tópico, você aprendeu que: • É necessário ter conhecimento da legislação que a organização precisa seguir, bem como elicitar os requisitos referentes à conscientização em segurança da informação necessários para atendê-la. • Ao se saber quais são os requisitos legais é necessário identificar quais são os controles apontados pelas normas de segurança. • “A partir dos controles identificados, é necessário gerar as políticas, normas e procedimentos para a implementação dos controles” (COELHO; ARAÚJO; BEZERRA, 2014, p. 8). • Existem três fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de uma organização, sendo elas: (i) análise e avaliação de riscos; (ii) legislação vigente; (iii) conjunto de princípios. • O Control Objectives for Information and related Technology (COBIT) são um conjunto de melhores práticas para o gerenciamento de TI, que foi criado pela Information Systems Audit and Control Association (ISACA), uma Associação de Auditoria e Controle de Sistemas de Informação internacional, e pelo IT Governance Institute (ITGI). • A ISACA desenvolve e mantém o framework Cobit, reconhecido internacionalmente, ajudando profissionais de TI e líderes empresariais no cumprimento de suas responsabilidades de Governança de TI e para que agreguem valor aos negócios. • O Cobit ® 2019 é a versão atual do Cobit e que Cobit 5 Implementation Guide passa a se chamar Cobit ® 2019 Implementation Guide, mantendo-se assim as práticas referente ao comportamento humano, ou seja, a conscientização. • O framework Cobit fornece aos profissionais de segurança de informação e para as partes interessadas da organização, orientações e práticas detalhadas a serem aplicadas na segurança da informação, fundamentadas nas melhores práticas acadêmicas. • O framework Cobit ® 2019 foi atualizado com novas informações e orientações, visando a uma implementação mais fácil e personalizada do Cobit ® 2019. • As práticas de conscientização se referem aos habilitadores do Cobit 5 incluem pessoas, habilidades e competências, bem como cultura, ética e comportamento e os processos APO07, BAI02, BAI05 e BAI08. • O processo do APO07 se refere ao gerenciamento de recursos humanos. • O processo BAI02 se refere ao gerenciamento na definição de requisitos. RESUMO DO TÓPICO 1 121 • O processo BAI05 se refere ao gerenciamento da capacidade de mudança organizacional. • O processo BAI08 se refere ao gerenciamento do conhecimento. • A área de foco (antigos habilitadores) tem como objetivo definir o componente principal do seu sistema de Governança, ou seja, se é referente à segurança, ao risco, DevOps, ou mesmo se é sobre uma média ou pequena empresa e assim sucessivamente • São seis princípios em um sistema de governança e três princípios do framework de governança. • Cada organização precisa de um sistema de governança para satisfazer as necessidades das partes interessadas e gerar valor a partir do uso da informação e da tecnologia. • Um sistema de governança para informação e tecnologia corporativa é construído a partir de vários componentes de diferentes tipos e trabalhando em conjunto de maneira holística. • Um sistema de governança deve ser dinâmico, ou seja, sempreque um ou mais dos fatores de projeto são alterados, o impacto dessas alterações no sistema deve ser considerado. • Um sistema de governança deve distinguir de forma clara entre atividades e estruturas de governança e gerenciamento. • Um sistema de governança deve se adaptar às necessidades da organização, utilizando um conjunto de fatores de design como parâmetros para personalizar e priorizar os componentes do sistema de governança. • Um sistema de governança deve cobrir a atividade fim da organização, concentrando-se não só nas funções desempenhadas pela, mas por toda tecnologia e processamento de informações que a organização precisa para alcançar seus objetivos. • Uma estrutura de governança deve estar fundamentada em um modelo conceitual, identificando os principais componentes e as relações existentes entre esses componentes, maximizando a consistência e possibilitando a automação. • Uma estrutura de governança deve ser aberta e flexível, permitindo adicionar novo conteúdo e ter a capacidade de resolver novos problemas da maneira mais flexível, mantendo a integridade e a consistência. • Uma estrutura de governança deve estar alinhada aos principais padrões, estruturas e regulamentos relacionados. • Um objetivo de governança ou gestão sempre está relacionado a um processo e a uma série de componentes que se relacionam a outros tipos para ajudar a alcançar o objetivo. 122 • Um objetivo de governança se refere a um processo de governança, enquanto um objetivo de gestão se relaciona a um processo de gestão. • Os objetivos de tecnologia e informação na cascata do Cobit 5 foram substituídos pelos objetivos de alinhamento, dizendo respeito ao alinhamento da tecnologia da informação com os objetivos corporativos. • Os objetivos dos Habilitadores do Cobit 5 passam a se chamar de Objetivos de Governança e Gestão. • Semelhante ao Cobit 5, os objetivos de governança e gerenciamento do Cobit ® 2019 estão agrupados em cinco domínios. • O sistema de governança de cada organização é construído a partir de vários componentes que podem ser de tipos diferentes, podendo interagir entre si, resultando em um sistema holístico de governança para informação e tecnologia; e que anteriormente eles eram conhecidos como facilitadores no Cobit 5. Os componentes podem ser genéricos ou variações dos componentes genéricos. • Os componentes genéricos são descritos no modelo principal do Cobit, sendo aplicados em princípio a qualquer situação, contudo, eles são de natureza genérica e geralmente precisam de personalização antes de serem implementados. • Os componentes variantes são baseados em componentes genéricos, mas adaptados para um propósito ou contexto específico dentro de uma área de foco (por exemplo, para segurança da informação, DevOps, um regulamento específico e afins). • Os componentes de governança relevantes passaram a ser agrupados no Cobit ® 2019 em Áreas de Foco. • Uma Área de Foco descreve um determinado tópico, domínio ou problema de governança que pode ser tratado por uma coleção de objetivos de governança e gerenciamento e seus componentes. • As áreas de foco podem conter uma combinação de componentes e variantes genéricas de governança. • A abordagem de implementação está baseada em capacitar as partes interessadas de negócios e de TI e os participantes para assumir a propriedade das decisões e atividades de governança e gerenciamento relacionadas à TI, facilitando e possibilitando mudanças. • O guia de implementação é uma abordagem em fases com três perspectivas: melhoria contínua, gerenciamento de programas e alterar ativação. • O guia de implementação do Cobit ® 2019 enfatiza uma visão corporativa da governança de informação e tecnologia, reconhecendo que a informação e tecnologia precisam ser difundidas nas organizações. 123 • A implementação de qualquer mudança habilitada por TI, incluso na governança de TI em si, na maioria das vezes exige uma mudança cultural e comportamental significativa das organizações e na relação com seus clientes e parceiros comerciais. • A alta direção deverá comunicar de forma clara os objetivos e ser percebidos por toda organização como apoiando positivamente as mudanças propostas. • “Cultura, ética e comportamento das pessoas e da organização são muitas vezes subestimados como um fator de sucesso nas atividades de governança e gestão” (ISACA, 2012, p. 29). • “Cultura, ética e comportamento determinam a eficiência e eficácia das estruturas organizacionais e de suas decisões” (ISACA, 2012, p. 79). • “As atividades de governança e gestão requerem conjuntos de habilidades diferentes, mas uma habilidade essencial para os membros do órgão de governança e de gestão é entender as duas tarefas e como elas se diferenciam” (ISACA, 2012, p. 33). • O processo APO07 “Gerenciar recursos humanos explica como o desempenho dos indivíduos deve ser alinhado aos objetivos corporativos, como as habilidades dos especialistas em TI devem ser mantidas, e como e responsabilidades devem ser definidas” (ISACA, 2012, p. 63). • O processo BAI02 “Gerenciar definição de requisitos ajuda a assegurar que o projeto dos aplicativos atenda às exigências de uso e operação por pessoas” (ISACA, 2012, p. 65). • O processo BAI05 “Gerenciar capacidade de mudança organizacional e BAI08 gerenciar conhecimento estão relacionados com capacitar a mudança” (ISACA, 2012, p. 65). • O processo BAI005 visa maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a organização, de maneira rápida e reduzindo risco. • O processo BAI08 mantém a disponibilidade de conhecimento relevante, atual, válida e confiável para suportar todas as atividades do processo e facilitar a tomada de decisão. 124 1 As mudanças tecnológicas fazem parte do dia a dia das organizações e aliadas a elas estão os riscos e as vulnerabilidades no cotidiano das organizações. Desta forma, é necessário ter conhecimento da legislação que a organização precisa seguir, bem como elicitar os requisitos referentes à segurança necessários para atendê-la. Ao se saber quais são os requisitos legais é necessário identificar quais são os controles apontados pelas normas de segurança. Destacamos ainda que são três fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de uma organização. Analise as sentenças a seguir, referentes a essas três principais fontes, classificando com V as sentenças verdadeiras e com F as falsas. ( ) Na análise e avaliação de riscos deve ser levado em consideração a probabilidade de ocorrência de ameaças e o impacto para o negócio. ( ) Conjunto de princípios está relacionado às necessidades de cláusulas contratuais, regulamentação e estatutos que devem atender à organização, terceirizados e fornecedores, bem como seus parceiros. ( ) Legislação vigente está relacionado à identificação dos objetivos e requisitos de negócio para o processamento de dados que a organização deve definir para dar suporte às suas operações. Assinale a alternativa com a sequência CORRETA: a) ( ) V – F – F. b) ( ) V – V – F. c) ( ) V – V – F. d) ( ) F – F – V. 2 O Control Objectives for Information and related Technology (COBIT) é um conjunto de melhores práticas para o gerenciamento de TI, que foi criado pela Information Systems Audit and Control Association (ISACA), uma Associação de Auditoria e Controle de Sistemas de Informação internacional, e pelo IT Governance Institute (ITGI). A versão anterior do Cobit ® 2019 era o Cobit 5. Com relação às principais mudanças dessas duas versões, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas: ( ) Introdução e Metodologia trazem o detalhamento dos princípios de governança, oferecendo conceitos e a exemplificação básica, bem como lança a construção da estrutura de maneira geral, incluso o Cobit Core Model. ( ) Objetivos de gestão e governançafornecem a descrição de maneira detalhada do Cobit Core Model, bem como os seus 40 objetivos de gestão/ governança. ( ) Guia de design traz a forma de implementar e otimizar uma solução de governança de informação e tecnologia, provendo um roteiro para a contínua melhoria da governança. AUTOATIVIDADE 125 ( ) Guia de implementação traz o desenho de uma solução de governança de informação e tecnologia, provendo informação referente de como se faz para desenhar um sistema de governança de forma específica para as organizações. Assinale a alternativa com a sequência CORRETA: a) ( ) V – F – V – F. b) ( ) F – V – V – F. c) ( ) F – F – V – V. d) ( ) V – V – F – F. 3 O Cobit traz boas práticas de conscientização e orientações sobre as exigências relativas ao comportamento humano. Essas práticas incluem pessoas, habilidades e competências, bem como cultura, ética e comportamento. Além disso, Cobit traz processos que tratam de orientações a serem utilizadas referente à conscientização. Analise as sentenças referente a esses processos, classificando com V as sentenças verdadeiras e com F as falsas. ( ) O processo Cobit BAI08 se refere ao gerenciamento na definição de requisitos. ( ) O processo do Cobit APO07 se refere ao gerenciamento de recursos humanos. ( ) O processo Cobit BAI05 se refere ao gerenciamento da capacidade de mudança organizacional. ( ) O processo do Cobit BAI02 se refere ao gerenciamento do conhecimento. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) V – F – V – F. c) ( ) F – V – V – F. d) ( ) F – F – V – V. 4 A eficiência e eficácia das estruturas organizacionais e de suas decisões são determinadas pela cultura, ética e comportamento das pessoas envolvidas na organização. Nesse sentido, é necessário que a composição das estruturas organizacionais seja considerada, exigindo um conjunto de habilidades adequadas de cada uma das pessoas; e os princípios de ordem e operação das estruturas organizacionais são regidos pelos modelos de políticas adotado. Assim, é necessário que você conheça os papéis e as estruturas definidas. Com relação a esses papéis e suas estruturas, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas: ( ) O diretor financeiro é responsável por todos os aspectos da administração financeira, inclusive riscos e controles financeiros, bem como pela confiabilidade e exatidão das contas. ( ) O diretor de TI é responsável por todos os aspectos da gestão de risco da organização 126 ( ) O diretor de riscos é responsável pelo alinhamento de TI com as estratégias de negócios e responsável pelo planejamento, mobilização de recursos e administração da prestação de serviços e soluções de TI em apoio aos objetivos corporativos. ( ) O diretor executivo é responsável pela administração da organização como um todo. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) V – F – F – V. c) ( ) F – V – V – F. d) ( ) F – F – V – V. 5 O Cobit traz orientações relevantes referentes à cultura, à ética e ao comportamento. Eles formam um conjunto de comportamentos tanto individuais como coletivos de cada. Os comportamentos das partes interessadas internas incluem toda a organização e nas partes interessadas externas incluem as questões de reguladores. Podemos citar como exemplos, auditores externos ou órgãos de fiscalização. Ainda existem dois tipos de interesses: representantes legais, gerentes de risco, administradores de RH, conselhos e diretores de remuneração e os demais interessados. Referente a esses dois tipos de interesse, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as sentenças falsas: ( ) Representantes legais, gerentes de risco, administradores de RH, conselhos e diretores de remuneração, tratam da definição, implementação e execução dos comportamentos desejados. ( ) As demais partes interessadas devem se alinhar às normas e regulamentos definidos. ( ) Representantes legais, gerentes de risco, administradores de RH, conselhos e diretores de remuneração devem se alinhar as normas e regulamentos definidos. ( ) As demais partes interessadas tratam da definição, implementação e execução dos comportamentos desejados. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) V – F – V – F. c) ( ) F – V – V – F. d) ( ) F – F – V – V. 127 UNIDADE 2 1 INTRODUÇÃO A International Organization for Standardization (ISO) homologou pela Associação Brasileira de Normas Técnicas (ABNT) a Norma Brasileira (NBR) no ano de 2000 e a publicou como ABNT NBR ISO/IEC 17799:2000. Destacamos, que alguns padrões da International Electrotechnical Commission (IEC) são desenvolvidos em conjunto com a ISO. Desta forma, no ano de 2005, a ISO atualizou ABNT NBR ISO/IEC 17799:2000 como ABNT NBR ISO/IEC 17799:2005 e no ano de 2006 publicou a norma BS7799-3:2006, de acordo com a ABNT NBR ISO/IEC 27001. No ano de 2007, criou a família ABNT NBR ISO/IEC 27000 e a ABNT NBR ISO/IEC 17799 passa a ser chamada de ABNT NBR ISO/IEC 27002 (OLIVEIRA et al., 2015). Agora, acadêmico, veja as quatro UNI-DICA que preparamos para você! TÓPICO 2 — PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 A International Organization for Standardization (ISO) é uma organização com sede em Genebra, na Suíça, que foi fundada no ano de 1946. A ISO tem como objetivo desenvolver e promover normas que possam ser usadas da mesma forma em todos os países do mundo. NOTA A International Electrotechnical Commission (IEC) é uma organização internacional de padronização de tecnologias elétricas, eletrônicas e afins. Desta forma, a IEC em conjunto com a ISO desenvolve alguns de seus padrões. NOTA 128 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO A Associação Brasileira de Normas Técnicas (ABNT) é uma entidade sem fins lucrativos, que representa a ISO. Ela ajuda a promover o desenvolvimento tecnológico do nosso país com a padronização de documentos e de processos produtivos, por meio do estabelecimento das NBR. NOTA As Normas Brasileiras (BNR) objetivam aumentar o processo produtivo das organizações, bem como entregar o produto de maior qualidade e aumentar a competitividade destes produtos. NOTA A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI) e os termos e definições comumente utilizados na família de padrões SGSI. A ABNT NBR ISO/IEC 27001:2013 e a ABNT NBR ISO/IEC 27002: 2013 fazem parte da família ABNT NBR ISO/IEC 27000, que abrangem a gestão da segurança da informação (ISO/ IEC 27000, 2018). Além da família ABNT NBR ISO/IEC 27000, o National Institute of Standards and Technology (NIST) traz normas referente à cultura de segurança da informação. A norma NIST 800-50 traz orientações quanto à construção e manutenção de um plano de conscientização e treinamento e a norma NIST 800-16 traz um framework conceitual referente ao treinamento em segurança (OLIVEIRA et al., 2015). Portando, o objetivo a partir daqui é entendermos as normas ABNT NBR ISO/IEC 27001:2013 e a ABNT NBR ISO/IEC 27002: 2013, que fazem parte da família ABNT NBR ISO/IEC 27000:2018. 2 ABNT NBR ISO/IEC 27001:2013 A ABNT NBR ISO/IEC 27001 específica formalmente um Sistema de Gerenciamento de Segurança da Informação (SGSI), contendo um conjunto de atividades relacionadas ao gerenciamento de riscos de informações, chamado dentro da norma de riscos à segurança da informação. O SGSI é uma estrutura de gerenciamento abrangente, por meio da qual a organização identifica, analisa e aborda seus riscos de informações. O SGSI garante que os arranjos de segurança sejam ajustados para acompanhar as mudanças nas ameaças à segurança, vulnerabilidades e impactos nos negócios (ISO/IEC 27000, 2018). TÓPICO 2 – PRINCIPAISNORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 129 Desta forma, a norma foi elaborada com o objetivo de especificar “[...] os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização” (ABNT NBR ISO/IEC 27001, 2013, p. 1). Cabe destacar ainda, que a “[...] Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização” (ABNT NBR ISO/IEC 27001, 2013, p. 1). A norma ISO 27001 faz referência ao modelo conhecido como Plan-Do- Check-Act (PDCA), apesar de não obrigar. O modelo PDCA é aplicado para estruturar todos os processos do SGSI. A Figura 14 traz este modelo, que é composto por um conjunto de ações de forma sequencial e é estabelecido pelas letras pertencentes a sigla: “P (Plan: planejar), D (Do: fazer, executar), C (Check: verificar, controlar) e finalmente o A (Act: agir, atuar corretivamente)” (COELHO; ARAÚJO; BEZERRA, 2014, p. 54). FIGURA 14 - MODELO PDCA FONTE: Coelho, Araújo e Bezerra (2014, p. 54) Para Coelho, Araújo e Bezerra (2014, p. 54) “É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização; por exemplo, uma situação simples requer uma solução de um SGSI simples”, devido seu processo ser estruturado para tratar a segurança da informação nos diversos setores. Portanto, esta norma abrange todos os tipos de organizações. Por exemplo, empresas comerciais, agências governamentais, organizações sem fins lucrativos. Cabe destacar ainda, que a ABNT NBR ISO/IEC 27001 não exige formalmente controles específicos de segurança da informação, uma vez que os controles necessários variam de acordo com o tipo da organização. As Famlia _SGI Realce 130 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO organizações que adotam a ABNT NBR ISO/IEC 27001 são livres para escolher os controles específicos de segurança da informação aplicáveis a seus riscos específicos, baseando-se nos controles existentes. Esses controles podem ser complementados com outras opções, conhecidas como conjuntos de controle estendidos. Nesta norma, assim como na norma ABNT NBR ISO/IEC 27002, a chave para selecionar os controles aplicáveis é realizar uma avaliação abrangente dos riscos de informações da organização, que é uma parte vital do SGSI (ISO/IEC 27000, 2018). Agora, tire uns minutos para ver o UNI-DICA e o UNI-IMPORTANTE que preparamos especialmente para você! “Os controles da norma são apresentados como boas práticas para que a organização adote uma postura preventiva e proativa diante das suas necessidades e requisitos de segurança da informação” (COELHO; ARAÚJO; BEZERRA, 2014, p. 20). IMPORTANT E A ABNT NBR ISO/IEC 27001 tem na sua estrutura as seções de 0 a 10, o anexo A — que lista 114 controles — e a bibliografia. Não podemos listar todos eles porque estaríamos violando os direitos de propriedade intelectual, mas deixe-nos somente colocar como brevemente os controles estão estruturados dentro da norma e para que servem as 14 seções do Anexo A. ATENCAO 2.1 ESTRUTURA DA ABNT NBR ISO/IEC 27001:2013 A ABNT NBR ISO/IEC 27001 tem na sua estrutura as seções de 0 a 10, o anexo A e as bibliografias (Figura 15). Na seção 0 Introdução é descrito um processo para gerenciar sistematicamente os riscos à informação; no 1 Escopo é especificado os requisitos genéricos do SGSI adequados para organizações de qualquer tipo, tamanho ou natureza; em 2 Referências normativas, apenas a ABNT NBR ISO/IEC 27000 é considerada essencial para os usuários da 27001, sendo as demais normas ISO27k opcionais; e na Seção 3 Termos e definições são colocadas as definições que devem ser utilizadas; e da quarta cláusula em diante se busca de maneira objetiva e de forma genérica apresentar os requisitos que são aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza da organização (SEC AWARE, 2020a). TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 131 FIGURA 15 - ESTRUTURA DA NORMA FONTE: A Autora Agora vamos ver as seções referente à gestão de um Sistema de Gestão da Segurança da Informação (SGSI). Seção 4 – Contexto da organização A Seção 4 se refere a compreender o contexto organizacional, as necessidades e expectativas das partes interessadas, que definem o escopo do SGSI; trazendo na sua seção 4.4 que a organização deve estabelecer, implementar, manter e ter melhoria contínua no SGSI (SEC AWARE, 2020a), conforme as etapas apresentadas na Figura 16. Aqui é abordada “[...] a necessidade de entender todo o contexto da organização, ou seja, interpretar ou analisar toda a organização para determinar as questões internas e externas que possam afetar a capacidade do sistema de gestão da segurança da informação” (COELHO; ARAÚJO; BEZERRA, 2014, p. 56). 132 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 16 - ETAPAS DA SEÇÃO CONTEXTO DA ORGANIZAÇÃO FONTE: Coelho, Araújo e Bezerra (2014, p. 56) Ao se iniciar um projeto do SGSI, geralmente, é preciso a aprovação pela direção da organização. Desta forma, segundo Coelho, Araújo e Bezerra (2014, p. 56), “[...] é importante que a primeira atividade a ser desempenhada seja coletar informações relevantes que demonstrem o valor de um SGSI para a organização, esclarecendo por que é necessária a implantação de um SGSI”. Outra consideração mais, diz respeito à organização determinar as partes interessadas importantes para SGSI e os requisitos demandados de segurança de informação por estas partes interessadas. Seção 5 – Liderança A Seção 5 está relacionada à alta gerência demonstrar liderança e compromisso com o SGSI, determinando políticas e atribuindo funções, responsabilidades e autoridades responsáveis pela segurança da informação (SEC AWARE, 2020a). Para isso, está seção possui as etapas apresentadas na Figura 17. FIGURA 17 - ETAPAS DA SEÇÃO LIDERANÇA FONTE: Coelho, Araújo e Bezerra (2014, p. 57) É necessário o envolvimento da alta direção da organização, por meio do seu comprometimento e da sua liderança, que devem ser demonstrados durante todo o processo do SGSI. Segundo Coelho, Araújo e Bezerra (2014, p. 57), “Essa liderança inicia-se pelo estabelecimento da política de segurança e os objetivos de segurança da TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 133 informação compatíveis com a direção estratégica da organização. A política deve ser formalizada e comunicada, e ainda ser apropriada ao propósito da organização [...]”. Seção 6 – Planejamento A Seção 6 descreve o processo de identificação, análise e planejamento de como os riscos às informações devem ser tratados e esclarece os objetivos de segurança das informações (SEC AWARE, 2020a). Para isso, está seção possui as etapas apresentadas na Figura 18. FIGURA 18 - ETAPAS DA SEÇÃO PLANEJAMENTO FONTE: Coelho, Araújo e Bezerra (2014, p. 57) A avaliação da segurança da informação é a atividade para identificar o nível existente de segurança da informação (ou seja, os atuais procedimentos organizacionais de tratamento da proteção da informação). O objetivo fundamental da avaliação de segurança da informação é fornecer informações de apoio necessárias para a descrição do sistema de gestão sob a forma de políticas e diretrizes. O desempenho de uma análise/avaliação de riscos de segurança dentro do contexto de negócios apoiado pelo escopo do SGSI é essencial para a conformidade e a implementação bem-sucedida do SGSI, de acordo com a ABNT NBR ISO/IEC 27001:2013 (COELHO; ARAÚJO; BEZERRA, 2014, p. 58). Seção 7 – Apoio A Seção 7 se refere à adequação dos recursos e às competências a serem atribuídas, bem como a realização da conscientização,a documentação e o controle (SEC AWARE, 2020a). Para isso, esta seção possui as etapas apresentadas na Figura 19. Ou seja, esta seção diz respeito a todos os recursos que são necessários para estabelecer, implementar, manter e para melhoria contínua do SGSI. FIGURA 19 - ETAPAS DA SEÇÃO APOIO FONTE: Coelho, Araújo e Bezerra (2014, p. 58) 134 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Coelho, Araújo e Bezerra (2014) colocam que a definição das competências necessárias das pessoas é uma característica relevante. Desta forma, apresentamos uma lista exemplificada de papéis e responsabilidades pela segurança informação (Quadro 9) e a lista completa consta no Anexo B (informativo) Papéis e responsabilidades pela Segurança da Informação, da norma ABNT NBR ISO/ IEC 27003:2011. QUADRO 9 – LISTA RESUMIDA DE PAPÉIS E RESPONSABILIDADE PAPEL BREVE DESCRIÇÃO DA RESPONSABILIDADE Alta administração (exemplo: COO, CEO, CSO e CFO) É o responsável pela visão, decisões estratégicas e pela coordenação de atividades para dirigir e controlar a organização. Gerentes de linha (isto é, o último nível de comando na escala hierárquica Tem a responsabilidade final pelas funções organizacionais. Diretor-executivo de Segurança da Informação Tem a responsabilidade e a governança globais em relação à segurança da informação, garantindo o correto tratamento dos ativos de informação. Comitê de Segurança da Informação (membro do comitê) É responsável por tratar ativos de informação e tem um papel de liderança no SGSI da organização. Equipe de Planejamento da Segurança da Informação (membro da equipe) É responsável durante as operações, enquanto o SGSI está sendo implantado. A Equipe de Planejamento trabalha em diversos departamentos e resolve conflitos até que a implantação do SGSI seja concluída. A Etapa 7.3 Conscientização trata especificamente da conscientização como seu próprio nome diz. IMPORTANT E TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 135 Parte interessada No contexto das outras descrições de papéis relativos à segurança da informação, a parte interessada é aqui definida primariamente como pessoas e/ou órgãos que estão fora das operações normais – como o conselho e os proprietários (tanto proprietários da organização, se esta for parte de um grupo de empresas ou se for governamental, quanto proprietários diretos, como acionistas de uma organização privada). Outros exemplos de partes interessadas podem ser companhias associadas, clientes, fornecedores e demais organizações públicas, como agências governamentais de regulação financeira ou bolsa de valores, se a organização não estiver listada. Administrador de sistema O administrador de sistema é responsável por um sistema de TI. Gerente de TI É o gerente de todos os recursos de TI. Por exemplo, o Gerente do Departamento de TI. Segurança Física A pessoa responsável pela segurança física, por exemplo, construções etc., normalmente chamado de Gerente de instalações. Gerência de Risco As pessoas que são responsáveis pela estrutura de gerenciamento de risco da organização, incluindo avaliação de risco, tratamento de risco e monitoramento de risco. Consultor Jurídico Muitos riscos de segurança da informação têm aspectos legais, e o consultor jurídico é responsável por levar esses riscos em consideração. Recursos Humanos São pessoas com responsabilidade global pelos colaboradores. Arquivo Todo tipo de organização tem arquivos contendo informações vitais e que precisam ser armazenadas por longo tempo. As informações podem estar localizadas em vários tipos de mídia, e convém que uma pessoa específica seja responsável pela segurança desse armazenamento. 136 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Dados Pessoais Se for exigência legal, pode haver uma pessoa responsável por ser o contato com um conselho de inspeção de dados ou organização oficial similar que supervisione a integridade pessoal e questões de privacidade. Desenvolvedor de Sistema Se uma organização desenvolve seus próprios sistemas de informação, alguém tem a responsabilidade por esse desenvolvimento. Especialista/Expert Convém que seja feita referência a especialistas e experts, responsáveis por determinadas operações em uma organização quanto ao interesse destes nos assuntos pertinentes ao uso do SGSI nas suas áreas específicas de atuação. Consultor Externo Consultores externos podem emitir opiniões com base em seus pontos de vista macroscópicos da organização e em suas experiências na indústria. Contudo, pode ser que os consultores não tenham conhecimento aprofundado da organização e suas operações. Empregado/Funcionário/ Colaborador/Usuário Cada colaborador é igualmente responsável pela manutenção da segurança da informação no seu local de trabalho e em seu ambiente. Auditor O auditor é responsável por avaliar o SGSI. Instrutor O instrutor ministra treinamentos e executa programas de conscientização. Responsável pela TI ou pelos Sistemas de Informação (SI) locais Em uma organização maior, há geralmente alguém na organização local que é responsável pelos assuntos de TI, e provavelmente também pela segurança da informação. Defensor (pessoa influente) Esse não é, em si, um papel de responsabilidade propriamente dito, mas, em uma organização maior, pode ser muito útil durante o estágio de implementação contar com pessoas que tenham conhecimento aprofundado sobre a implementação do SGSI e que possam apoiar o entendimento sobre a implementação e as razões que estiverem por trás dela. Essas pessoas podem influenciar positivamente a opinião das outras e podem também ser chamadas de “Embaixadoras”. FONTE: Adaptado de Coelho, Araújo e Bezerra (2014, p. 59-60) TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 137 A comunicação e as atividades de conscientização são etapas importantes para o sucesso de um SGSI. A organização deve implementar um programa de conscientização, treinamento e educação em segurança da informação para que toda a organização entenda seus papéis e suas competências para executarem as operações necessárias ao SGSI. A documentação dentro de um SGSI é um importante fator de sucesso, pois demonstrará a relação dos controles implementados com os resultados esperados. A documentação muitas vezes será a evidência necessária para averiguar que um SGSI está implementado de forma correta e eficiente, permitindo que as ações possam ser rastreáveis e passíveis de reprodução (COOELHO; ARAÚJO, BEZERRA, 2014, p. 63). Seção 8 – Operação A Seção 8 traz de forma um pouco mais detalhadamente sobre como avaliar e tratar riscos de informações, gerenciar mudanças e realizar a documentação (SEC AWARE, 2020a). Para isso, está seção possui as etapas apresentadas na FIGURA 20. FIGURA 20 - ETAPAS DA SEÇÃO OPERAÇÃO FONTE: Coelho, Araújo e Bezerra (2014, p. 62) Seção 9 – Avaliação do desempenho A Seção 9 se refere a monitorar, medir, analisar e avaliar/auditar/analisar os controles, processos do SGSI, melhorando sistematicamente as coisas sempre que necessário (SEC AWARE, 2020a). Para isso, está seção possui as etapas apresentadas na Figura 21. 138 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 21 - ETAPAS DA SEÇÃO AVALIAÇÃO DO DESEMPENHO FONTE: Coelho, Araújo e Bezerra (2014, p. 62) A norma ainda destaca a importância do monitoramento para verificar a eficácia do SGSI, por meio da determinação tanto do que deve ser monitorado como do medido. A Figura 22 traz o Fluxo do processo de Monitoramento segundo a norma ABNT NBR ISO/IEC 27003 – Diretrizes para implantação de um SGSI (COELHO; ARAÚJO; BEZERRA, 2014). FIGURA 22 – FLUXO DO PROCESSO DE MONITORAMENTO FONTE: Coelho, Araújo e Bezerra (2014,p. 62) Seção 10 – Melhoria A Seção 10 aborda as conclusões de auditorias e revisões, por exemplo, não conformidades e ações corretivas, tratando de fazer aprimoramentos contínuos no SGSI (SEC AWARE, 2020a). Para isso, está seção possui as etapas apresentadas na Figura 23. TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 139 FIGURA 23 - ETAPAS DA SEÇÃO MELHORIA FONTE: Coelho, Araújo e Bezerra (2014, p. 63) Anexo A O Anexo A traz os objetivos e controles de referência, apresentando uma lista de títulos das seções de controle na ABNT NBR ISO/IEC 27002 e o detalhamento dos controles, incluindo as orientações de como realizar a implementação fazem parte da ABNT NBR ISO/IEC 27002 para obter mais detalhes úteis sobre os controles, incluindo orientações de implementação. Segundo Coelho, Araújo e Bezerra (2014, p. 63): O Anexo A da norma ABNT NBR ISO/IEC 27001:2013 lista os controles que, de acordo com a norma, devem ser implementados na implementação de um SGSI. Os controles são semelhantes aos existentes na ABNT NBR ISO/IEC 27002:2013, com a diferença de que contém o verbo “dever”, que apresenta circunstâncias que são externas ao participante envolvido numa situação de segurança, mas que a tornam necessária, com um sentido de “dever”, “ter de”. Assim, os controlem “devem” ser implementados para que seja possível que se tenha um SGSI. Bibliografia A bibliografia aponta os cinco padrões relacionados, mais a parte 1 das diretivas da ISO/IEC. Além disso, a família ABNT NBR ISO/IEC 27000 é identificada no corpo da norma como uma norma normativa e existem referências à ISO 31000 na gestão de riscos. 2.2 VISÃO GERAL DO ANEXO A DA ABNT NBR ISO/IEC 27001:2013 O Anexo A da ABNT NBR ISO/IEC 27001:2013 apresenta uma visão geral de quais controles podemos aplicar, de maneira a não esquecermos algum controle que poderia passar desapercebido. É importante que você também tenha em mente a flexibilidade existente, fazendo com que você escolha somente aqueles controles que identificar como aplicáveis a sua organização, de maneira a não desperdiçar recursos em controles que não sejam importantes para você (KOSUTIC, 2020, p. 1). De acordo com Kosutic (2020, p. 1), “A melhor forma de entender o Anexo A é pensar nele como um catálogo de controles de segurança que você pode 140 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO selecionar – dos 114 controles que estão listados no Anexo A, você pode escolher aqueles que são aplicáveis a sua organização”. Esses 114 controles estão dispostos em quatorze seções do Anexo A da ABNT NBR ISO/IEC 27001:2013. O Quadro 10 traz as 14 seções e o propósito correspondente a cada uma delas. QUADRO 10 – 14 SEÇÕES DO ANEXO A DA ABNT NBR ISO/IEC 27001:2013 SEÇÃO PROPÓSITO A.5 Políticas de segurança da informação Controles referente como as políticas são escritas e revisadas. A.6 Organização da segurança da informação Controles referentes como as responsabilidades são designadas; bem como inclui os controles para dispositivos móveis e realização de trabalho remoto. A.7 Segurança em recursos humanos Controles para antes de se realizar uma contratação, durante e após a contratação. A.8 Gestão de ativos Controles referente ao inventário de ativos e utilização aceitável, bem como para a classificação de informação e manuseio de mídias. A.9 Controle de acesso Controles para criar a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e as responsabilidades dos usuários. A.10 Criptografia Controles referentes a gestão de chaves criptográficas. A.11 Segurança física e do ambiente Controles para definição de áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa e afins. A.12 Segurança nas operações Controles diversos referentes a gestão da produção de Tecnologia de Informação (TI): gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades e afins. A.13 Segurança nas comunicações Controles referentes a segurança em rede, segregação, serviços de rede, transferência de informação, mensageria e afins. A.14 Aquisição, desenvolvimento e manutenção de sistemas Controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte. TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 141 A.15 Relacionamento na cadeia de suprimento Controles relacionados o que incluir em acordos e como realizar a monitoração dos fornecedores. A.16 Gestão de incidentes de segurança da informação Controles para relatar os eventos e as fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências. A.17 Aspectos da segurança da informação na gestão da continuidade do negócio Controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e revisão e as redundâncias da TI. A.18 Conformidade Controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação. FONTE: Adaptado de Kosutic (2020) Agora, acadêmico, tire uns minutos para ver o UNI IMPORTANTE que preparamos para você! Como falamos anteriormente, que nem todos estes 114 controles são de fato obrigatórios. A organização que vai determinar quais controles ela identifica como sendo aplicáveis em seu plano e então deve implementá-los. De acordo com Kosutic (2020), o principal critério utilizado para selecionar os controles deve ser referente ao uso do levantamento de riscos, o qual é definido nas seções de 6 e 8 da parte principal da ABNT NBR ISO/IEC 27001:2013. Cabe destacar ainda, que a Seção 5 da parte principal da ABNT NBR ISO/IEC 27001:2013 coloca a definição das responsabilidades para a gestão referente aos controles, e a Seção 9 está relacionado a medir se os controles estão cumprindo o seu propósito. Por fim, a Seção 10 requer que você repare qualquer coisa que esteja errada com estes controles, assegurando que você consiga atingir os objetivos de segurança da informação com estes controles. IMPORTANT E 3 ABNT NBR ISO/IEC 27002:2013 A ABNT NBR ISO/IEC 27002:2013 fornece uma lista de objetivos de controles comumente aceitos e de melhores práticas como forma de orientar a implementação de controles na obtenção da segurança da informação (ISO/IEC 27000, 2018). Cabe destacar, que a norma ABNT NBR ISO/IEC 27002:2013 “[...] foi preparada para servir como um guia prático para o desenvolvimento e a implementação de procedimentos e controles de segurança da informação em uma organização” (COELHO; ARAÚJO; BEZERRA, 2014, p. 19). 142 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Acadêmico, visando a sua atualização constante, preparamos o UNI- DICA referente aos avanços tecnológicos que afetam diretamente a forma de conscientização. Verifique! FIGURA 24 - ESTRUTURA DO NOVO PADRÃO FONTE: SEC AWARE (2020b, p. 1) 3.1 ESTRUTURA DA ABNT NBR ISO/IEC 27002:20131 A norma ABNT NBR ISO/IEC 27002:2013 é estruturada de maneira que forneça um código de boas práticas para que se possa gerir a segurança. Segundo Coelho, Araújo e Bezerra (2014, p. 19), “[...] a norma é organizada em capítulos de 0 a 18. Os capítulos de 0 a 4 apresentam os temas de introdução (0), Escopo (1), Referência normativa (2), Termos e definições (3) e Estrutura desta norma (4). A partir do Capítulo 5, a norma passa a chamar cada capítulo de seção”. Atualmente, o padrão está sendo revisado para contemplar coisas como Bring Your Own Device (BYOD), trazer seu próprio dispositivo, computação em nuvem, virtualização, redes sociais, pocket Information andCommunication Technology (ICT) e Internet of Things (IoT). O padrão será renomeado como "Controles de segurança da informação" e terá a estrutura apresentada na Figura 24 e terceira edição deve ser publicada no final do ano de 2021 (SEC AWARE, 2020b). ATENCAO TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 143 A Figura 25, acadêmico, traz a sequência estrutural da norma, trazendo as “[...] catorze seções específicas apresentando os códigos de práticas da gestão da segurança. Cada seção define um ou mais objetivos de controle. As catorze seções formam o total de 35 objetivos de controle. A Seção 4 da norma apresenta sua estrutura” (COELHO; ARAÚJO; BEZERRA, 2014, p. 19). FIGURA 25 – SEQUÊNCIA ESTRUTURAL DA NORMA FONTE: Coelho, Araújo e Bezerra (2014, p. 20) De forma específica, as seções 5 a 18 fornecem conselhos e orientações de implementação específicos sobre as melhores práticas de suporte aos controles especificados na ABNT NBR ISO/IEC 27001: 2013, A.5 a A.18. Seção 5 – Políticas de segurança da informação Esta seção da norma trata da política de segurança da informação e seus requisitos. O objetivo da categoria de controle é prover orientação e apoio da direção para a segurança da informação, por meio do estabelecimento de uma política objetiva e clara, de acordo com os objetivos de negócio da organização. Nesta seção é apresentado como deve ser desenvolvido, mantido e atualizado o documento referente a política de segurança da informação da organização (COELHO; ARAÚJO; BEZERRA, 2014). Para isso, a seção da política de segurança da informação possui uma categoria principal, conforme Figura 26 e esta categoria por sua vez, traz dois controles. 144 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 26 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO FONTE: Coelho, Araújo e Bezerra (2014, p. 21) O controle 5.1.1 traz nas “Diretrizes para implementação”, o que convém que o documento da política contenha e a importância de que ela seja comunicada a todos. Além disso, coloca exemplos de políticas específicas para apoiarem as políticas de segurança da informação. Já O controle 5.1.2 apresenta como convém que seja realizada a análise crítica pela direção da organização a intervalos planejados ou quando mudanças importantes ocorrerem (COELHO; ARAÚJO; BEZERRA, 2014). Seção 6 – Organização da segurança da informação Esta seção da norma objetiva trazer os controles referentes à organização ter a estrutura necessária para realizar o gerenciamento da segurança da informação tanto de dentro da organização assim como os controles para manter a segurança dos recursos de processamento da informação, quando forem disponibilizados por meio de trabalho remoto ou de dispositivos móveis (COELHO; ARAÚJO; BEZERRA, 2014). Portanto, a seção da organização da segurança da informação traz os controles referentes à estrutura funcional em duas categorias principais, conforme apresentadas na Figura 27, que possui cinco controles na categoria 6.1 e dois controles na categoria 6.2. Além disso, a referida figura traz o objetivo de cada categoria e os seus respectivos controles. TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 145 FIGURA 27 - CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO ORGANIZAÇÃO DA SEGURAN- ÇA DA INFORMAÇÃO FONTE: Adaptado de Coelho, Araújo e Bezerra (2014, p. 22) Seção 7 – Segurança em recursos humanos Esta seção da norma trata dos controles referente a segurança da informação no decorrer do ciclo de vida que o profissional na organização irá prestar um serviço (COELHO; ARAÚJO; BEZERRA, 2014). Para isso, a seção em recursos humanos possui três categorias, conforme Figura 28, que se referem à fase antes de realizar a contratação, durante essa contração e no encerramento e mudança da contratação. A referida figura ainda traz os objetivos de cada categoria e os seus respectivos controles. 146 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 28 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA EM RECURSOS HUMANOS FONTE: Coelho, Araújo e Bezerra (2014, p. 24) Os controles em cada categoria são organizados dentro das necessidades mínimas de segurança a serem observadas em cada uma delas. Desta forma, a categoria 7.1 traz o processo de seleção e as condições dos contratos de recursos humanos; a categoria 7.2 apresenta os controles de responsabilidades, de capacitação dos recursos humanos em segurança da informação e do processo disciplinar, caso ocorra uma violação da segurança da informação; e por fim, a categoria 7.3 traz os controles referentes à mudança de área, de cargo, promoção, entre outras, destacando-se os controles de devolução de ativos e retirada de direitos de acesso (COELHO; ARAÚJO; BEZERRA, 2014). Veja o UNI IMPORTANTE que preparamos para você! O controle 7.2.2 trata especificamente da conscientização, educação e treinamento em segurança da informação. IMPORTANT E TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 147 Seção 8 – Gestão de Ativos Esta seção da norma trata dos controles de segurança de informação nas categorias 8.1 e 8.2 e traz os controles referentes a proteção dos ativos da organização na categoria 8.3. A Figura 29 traz cada uma dessas categorias, o objetivo e os controles de cada categoria. FIGURA 29 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO GESTÃO DE ATIVOS FONTE: Coelho, Araújo e Bezerra (2014, p. 26) Seção 9 – Controle de acesso Esta seção da norma trata dos controles de acesso lógico, que são tratados aspectos referentes a privilégios de acesso, acesso à rede, senhas e afins. A Figura 29 traz as quatro categorias desta seção, o objetivo e os controles de cada categoria. 148 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 30 - CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO CONTROLE DE ACESSO FONTE: Adaptado de Coelho, Araújo e Bezerra (2014, p. 28-29) Seção 10 – Criptografia Esta seção da norma tem como objetivo assegurar tanto o uso efetivo da criptografia quanto ela ser adequada. Para isso, a seção criptografia possui uma categoria principal, contendo os dois controles apresentados na FIGURA 31, assim como objetivo da categoria ali colocado. TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 149 FIGURA 31 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO CRIPTOGRAFIA FONTE: Coelho, Araújo e Bezerra (2014, p. 30) Seção 11 – Segurança física e de ambiente Esta seção da norma trata da segurança física e de ambiente. Para isso, a seção foi estruturada em duas categorias: uma, referente às áreas seguras e outra, referente aos equipamentos. A Figura 32 traz o objetivo de cada uma dessas categorias, bem como expõe os respectivos controles. FIGURA 32 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA FÍSICA E DO AMBIENTE FONTE: Coelho, Araújo e Bezerra (2014, p. 32) 150 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Seção 12 – Segurança nas operações Esta seção da norma trata das operações dos serviços tecnológicos da organização. Para isso, a seção possui sete categorias, que apresentam controles que convêm serem aplicados no dia a dia das operações e comunicações da organização. Cada umas dessas categorias, seus objetivos e os controles correspondentes estão contidos na Figura 33. De acordo com Coelho, Araújo e Bezerra (2014, p. 33), “É a seção que apresenta os controles de segurança que atendem à maioria das vulnerabilidades relativas a aspectos operacionais do cotidiano da área de TIC”. FIGURA 33 - CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA NAS OPERAÇÕES FONTE: Adaptado de Coelho, Araújo e Bezerra (2014,p. 34-36) TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 151 Veja agora, o UNI IMPORTANTE que preparamos para você! O controle 12.2.1 - controles contra malware se refere aos controles de detecção e prevenção para que a organização se proteja de malware aliado ao programa de conscientização do usuário que a organização deve realizar. IMPORTANT E Seção 13 – Segurança nas comunicações Esta seção da norma trata dos controles que são necessários para existir segurança nas comunicações, distribuídos em duas categorias Cada umas dessas categorias, seus objetivos e os controles correspondentes das categoria estão contidos na Figura 34. FIGURA 34 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO SEGURANÇA NAS COMUNICAÇÕES FONTE: Coelho, Araújo e Bezerra (2014, p. 38) Seção 14 – Aquisição, desenvolvimento e manutenção de sistemas Esta seção da norma trata os controles referentes às atividades de aquisição, desenvolvimento e manutenção de sistemas, tendo como objetivo desenvolver a segurança da informação nos aplicativos existentes da organização. Desta forma, ela possui seis categorias principais. Cada umas dessas categorias, seus objetivos e os controles correspondentes da categoria estão contidos na Figura 35. 152 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO FIGURA 35 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO AQUISIÇÃO, DESENVOLVI- MENTO E MANUTENÇÃO DE SISTEMAS FONTE: Adaptado de Coelho, Araújo e Bezerra (2014, p. 40-42) Seção 15 – Relacionamento na cadeia de suprimento Esta seção da norma se refere ao processo de segurança na relação com os fornecedores. Desta forma, ela possui duas categorias principais. Cada umas dessas categorias, seus objetivos e os controles correspondentes da categoria estão contidos na Figura 36. TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 153 FIGURA 36 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO RELACIONAMENTO NA CA- DEIA DE SUPRIMENTOS FONTE: Coelho, Araújo e Bezerra (2014, p. 43) Seção 16 – Gestão de incidentes de segurança da informação Esta seção da norma trata de como ocorre a notificação de eventos relacionados à segurança, as responsabilidades e a coleta de evidências. Desta forma, ela possui uma categoria principal e seis controles. A categoria, seu objetivo e os controles correspondentes da categoria estão contidos na Figura 37. FIGURA 37 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO FONTE: Coelho, Araújo e Bezerra (2014, p. 44) 154 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Seção 17– Aspectos da segurança da informação na gestão da continuidade do negócio Esta seção da norma se refere às questões de continuidade do negócio se ocorrer algum desastre. Desta forma, ela possui duas categorias principais. Cada umas dessas categorias, seus objetivos e os controles correspondentes da categoria estão contidos na Figura 38. FIGURA 38 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO ASPECTOS DA SEGURANÇA DA INFORMAÇÃO NA GESTÃO DA CONTINUIDADE DO NEGÓCIO FONTE: Coelho, Araújo e Bezerra (2014, p. 46) Seção 18 – Conformidade A Figura 39 traz a categoria, os objetivos e os controles da Seção 18 – conformidade. TÓPICO 2 – PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 155 FIGURA 39 – CATEGORIA, OBJETIVO E CONTROLES DA SEÇÃO CONFORMIDADE FONTE: Coelho, Araújo e Bezerra (2014, p. 47) Esta é a última seção da norma e ela trata de estabelecer que os requisitos de segurança da informação estejam em conformidade com qualquer tipo de legalidade (legislação), como as de estatutos, regulamentações ou obrigações contratuais. Desta forma, ela possui duas categorias principais. Por fim, trouxemos na Figura 39 cada umas dessas categorias, seus objetivos e os controles correspondentes. 156 RESUMO DO TÓPICO 2 Neste tópico, você aprendeu que: • A International Organization for Standardization (ISO) é uma organização com sede em Genebra, na Suíça, que foi fundada no ano de 1946. • A ISO tem como objetivo desenvolver e promover normas que possam ser usadas da mesma forma em todos os países do mundo. • A Associação Brasileira de Normas Técnicas (ABNT) é uma entidade sem fins lucrativos, que representa a ISO. • As Normas Brasileiras (BNR) objetivam aumentar o processo produtivo das organizações, bem como entregar o produto de maior qualidade e aumentar a competitividade destes produtos. • A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI) e os termos e definições comumente utilizados na família de padrões SGSI. • A ABNT NBR ISO/IEC 27001:2013 e a ABNT NBR ISO/IEC 27002: 2013 fazem parte da família ABNT NBR ISO/IEC 27000, que abrangem a gestão da segurança da informação. • A ABNT NBR ISO/IEC 27001 específica formalmente um Sistema de Gerenciamento de Segurança da Informação (SGSI), contendo um conjunto de atividades relacionadas ao gerenciamento de riscos de informações, chamado dentro da norma de riscos à segurança da informação. • O SGSI é uma estrutura de gerenciamento abrangente, por meio da qual a organização identifica, analisa e aborda seus riscos de informações. • O SGSI garante que os arranjos de segurança sejam ajustados para acompanhar as mudanças nas ameaças à segurança, vulnerabilidades e impactos nos negócios. • A “[...] Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização” (ABNT NBR ISO/IEC 27001, 2013, p. 1). • A ABNT NBR ISO/IEC 27001 não exige formalmente controles específicos de segurança da informação, uma vez que os controles necessários variam de acordo com o tipo da organização. • As organizações que adotam a ABNT NBR ISO/IEC 27001 são livres para escolher os controles específicos de segurança da informação aplicáveis a seus riscos específicos, baseando-se nos controles existentes. Famlia _SGI Realce 157 • “Os controles da norma são apresentados como boas práticas para que a organização adote uma postura preventiva e pró ativa diante das suas necessidades e requisitos de segurança da informação” (COELHO; ARAÚJO; BEZERRA, 2014, p. 20). • A ABNT NBR ISO/IEC 27001 tem na sua estrutura as seções de 0 a 10, o anexo A e as bibliografias. • Na Introdução (0) da ABNT NBR ISO/IEC 27001 é descrito um processo para gerenciar sistematicamente os riscos à informação. • No Escopo (1) da ABNT NBR ISO/IEC 27001 é especificado os requisitos genéricos do SGSI adequados para organizações de qualquer tipo, tamanho ou natureza. • Nas Referências normativas (2) da ABNT NBR ISO/IEC 27001, apenas a ABNT NBR ISO/IEC 27000 é considerada essencial para os usuários da 27001, sendo as demais normas ISO27k opcionais. • Nos Termos e definições (3) da ABNT NBR ISO/IEC 27001 são colocadas as definições que devem ser utilizadas. • Da quarta cláusula em diante da ABNT NBR ISO/IEC 27001 se busca de maneira objetiva e de forma genérica apresentar os requisitos que são aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza da organização. • A Seção 4 da ABNT NBR ISO/IEC 27001 se refere a compreender o contexto organizacional, as necessidades e expectativas das partes interessadas, que definem o escopo do SGSI e a etapa 4.4 desta secção traz o que a organização deve estabelecer, implementar, manter e ter melhoria contínua no SGSI. • A Seção 5 da ABNT NBR ISO/IEC 27001 está relacionada a alta gerência demonstrar liderança e compromisso com o SGSI, determinando políticas e atribuindo funções, responsabilidades e autoridades responsáveis pela segurança da informação. • A Seção 6 da ABNT NBR ISO/IEC 27001 descreve o processo de identificação, análise e planejamento de como os riscos às informaçõesdevem ser tratados e esclarece os objetivos de segurança das informações. • A Seção 7 da ABNT NBR ISO/IEC 27001 se refere a adequação dos recursos e as competências a serem atribuídas, bem como a realização da conscientização, a documentação e o controle. • A Etapa 7.3 Conscientização da seção 7 da ABNT NBR ISO/IEC 27001 trata especificamente da conscientização como seu próprio nome diz. • A Seção 8 da ABNT NBR ISO/IEC 27001 traz de forma um pouco mais detalhadamente sobre como avaliar e tratar riscos de informações, gerenciar mudanças e realizar a documentação. 158 • A Seção 9 da ABNT NBR ISO/IEC 27001 se refere a monitorar, medir, analisar e avaliar/auditar/analisar os controles, processos do SGSI, melhorando sistematicamente as coisas sempre que necessário. • A Seção 10 da ABNT NBR ISO/IEC 27001 aborda as conclusões de auditorias e revisões, como por exemplo, não-conformidades e ações corretivas, tratando de fazer aprimoramentos contínuos no SGSI. • O Anexo A da ABNT NBR ISO/IEC 27001:2013 apresenta uma visão geral de quais controles podemos aplicar, de maneira a não esquecermos algum controle que poderia passar desapercebido. • O Anexo A da ABNT NBR ISO/IEC 27001 traz os objetivos e controles de referência, apresentando uma lista de títulos das seções de controle na ABNT NBR ISO/IEC 27002 e o detalhamento dos controles, incluindo as orientações de como realizar a implementação fazem parte da ABNT NBR ISO/IEC 27002 para obter mais detalhes úteis sobre os controles, incluindo orientações de implementação. • A ABNT NBR ISO/IEC 27002:2013 fornece uma lista de objetivos de controles comumente aceitos e de melhores práticas como forma de orientar a implementação de controles na obtenção da segurança da informação • A norma ABNT NBR ISO/IEC 27002:2013 é estruturada de maneira que forneça um código de boas práticas para que se possa gerir a segurança. • “[...] a norma é organizada em capítulos de 0 a 18. Os capítulos de 0 a 4 apresentam os temas de introdução (0), Escopo (1), Referência normativa (2), Termos e definições (3) e Estrutura desta norma (4). A partir do capítulo 5, a norma passa a chamar cada capítulo de seção” (COELHO; ARAÚJO; BEZERRA, 2014, p. 19). • As Seções 5 a 18 da ABNT NBR ISO/IEC 27002:2013 fornecem conselhos e orientações de implementação específicos sobre as melhores práticas de suporte aos controles especificados na ABNT NBR ISO/IEC 27001: 2013, A.5 a A.18. • A Seção 5 da ABNT NBR ISO/IEC 27002:2013 trata da política de segurança da informação e seus requisitos. O objetivo da categoria de controle é prover orientação e apoio da direção para a segurança da informação, por meio do estabelecimento de uma política objetiva e clara, de acordo com os objetivos de negócio da organização. • A Seção 6 da ABNT NBR ISO/IEC 27002:2013 objetiva trazer os controles referentes à organização ter a estrutura necessária para realizar o gerenciamento da segurança da informação tanto de dentro da organização assim como os controles para manter a segurança dos recursos de processamento da informação, quando forem disponibilizados por meio de trabalho remoto ou de dispositivos móveis. • A Seção 7 da ABNT NBR ISO/IEC 27002:2013 trata dos controles referentes à segurança da informação no decorrer do ciclo de vida que o profissional na organização irá prestar um serviço. 159 • A Seção 8 da ABNT NBR ISO/IEC 27002:2013 trata dos controles de segurança de informação nas categorias 8.1 e 8.2 e traz os controles referentes a proteção dos ativos da organização na categoria 8.3. • A Seção 9 da ABNT NBR ISO/IEC 27002:2013 trata dos controles de acesso lógico, que são tratados aspectos referentes a privilégios de acesso, acesso à rede, senhas e afins. • A Seção 10 da ABNT NBR ISO/IEC 27002:2013 tem como objetivo assegurar tanto o uso efetivo da criptografia quanto ela ser adequada e adequado da criptografia. • A Seção 11 da ABNT NBR ISO/IEC 27002:2013 trata da segurança física e de ambiente. Para isso, a seção foi estruturada em duas categorias, uma, referente às áreas seguras e outra, referente aos equipamentos. • A Seção 12 da ABNT NBR ISO/IEC 27002:2013 trata das operações dos serviços tecnológicos da organização. • A Seção 13 da ABNT NBR ISO/IEC 27002:2013 trata dos controles que são necessários para existir segurança nas comunicações, distribuídos em duas categorias. • A Seção 14 da ABNT NBR ISO/IEC 27002:2013 trata os controles referentes às atividades de aquisição, desenvolvimento e manutenção de sistemas. • A Seção 15 da ABNT NBR ISO/IEC 27002:2013 se refere ao processo de segurança na relação com os fornecedores. • A Seção 16 da ABNT NBR ISO/IEC 27002:2013 trata de como ocorre a notificação de eventos relacionados à segurança, às responsabilidades e à coleta de evidências. • A Seção 17 da ABNT NBR ISO/IEC 27002:2013 se refere às questões de continuidade do negócio se ocorrer algum desastre. • A Seção 18 da ABNT NBR ISO/IEC 27002:2013 trata de estabelecer que os requisitos de segurança da informação estejam em conformidade com qualquer tipo de legalidade (legislação), como as de estatutos, regulamentações ou obrigações contratuais. 160 1 A International Organization for Standardization (ISO) é uma organização com sede em Genebra, na Suíça, que foi fundada no ano de 1946. A ISO tem como objetivo desenvolver e promover normas que possam ser usadas da mesma forma em todos os países do mundo. Já a Associação Brasileira de Normas Técnicas (ABNT) é uma entidade sem fins lucrativos, que representa a ISO. Ela ajuda a promover o desenvolvimento tecnológico do nosso país com a padronização de documentos e de processos produtivos, por meio do estabelecimento das Normas Brasileiras (NBR). Qual sigla tem em sua definição o objetivo de aumentar o processo produtivo das organizações brasileiras, bem como entregar o produto de maior qualidade e aumentar a competitividade destes produtos? a) ( ) NBRs. b) ( ) ISO. c) ( ) ABNT. d) ( ) NIST. 2 A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI) e os termos e definições comumente utilizados na família de padrões SGSI. A ABNT NBR ISO/IEC 27001:2013 e a ABNT NBR ISO/IEC 27002: 2013 fazem parte da família ABNT NBR ISO/IEC 27000, que abrangem a gestão da segurança da informação. Referente à ABNT NBR ISO/IEC 27001:2013, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as falsas: ( ) A ABNT NBR ISO/IEC 27001 específica formalmente um Sistema de Gerenciamento de Segurança da Informação (SGSI). ( ) A ABNT NBR ISO/IEC 27001 contém um conjunto de atividades relacionadas ao gerenciamento de riscos de informações, chamado dentro da norma de riscos à segurança da informação. ( ) A ABNT NBR ISO/IEC 27001 adota o modelo conhecido como Plan-Do- Check-Act (PDCA). ( ) A ABNT NBR ISO/IEC 27001 é aplicada para estruturar todas as políticas da organização. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V– V– F. b) ( ) V – F – V – F. c) ( ) F – V – V – F. d) ( ) F – F – V – V. 3 A norma ISO 27001 adota o modelo conhecido como Plan-Do-Check-Act (PDCA). O modelo PDCA é aplicado para estruturar todos os processos do SGSI. Este modelo é composto por um conjunto de ações de forma sequencial e é estabelecido pelas letras pertencentes a sigla. Referente ao modelo, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as sentenças falsas: AUTOATIVIDADE 161 ( ) O P se refere ao Plan, de planejar. ( ) O D se refere ao Do, de verificar. ( ) O C se refere ao Check, de controlar. ( ) O A se refere ao Act, de agir, atuar corretivamente. Assinale a alternativa com a sequência CORRETA: a) ( ) V – V – F – F. b) ( ) V – F – V – F. c) ( ) V– F – V – V. d) ( ) F – F – V – V. 4 A ABNT NBR ISO/IEC 27001 não exige formalmente controles específicos de segurança da informação, uma vez que os controlesnecessários variam de acordo com o tipo da organização. As organizações que adotam a ABNT NBR ISO/IEC 27001 são livres para escolher os controles específicos de segurança da informação aplicáveis a seus riscos específicos, baseando-se nos controles existentes. Referente a esses controles, analise as sentenças a seguir, classificando com V as sentenças verdadeiras e com F as sentenças falsas: ( ) Os controles da norma são apresentados como boas práticas para que a organização adote uma postura preventiva diante das necessidades e requisitos de segurança da informação. ( ) Os controles da norma são apresentados como boas práticas para que a organização adote uma postura proativa diante das necessidades e requisitos de segurança da informação. ( ) O controle P se refere ao planejamento. ( ) O controle D se refere ao fazer, executar. Assinale a alternativa com a sequência CORRETA: a) ( ) F – F – F – F. b) ( ) V – V– V – V. c) ( ) F – V – V – F. d) ( ) V – V – F – F. 5 A ABNT NBR ISO/IEC 27001 tem na sua estrutura as seções de 0 a 10, o anexo A e as bibliografias. Na Seção 0 Introdução é descrito um processo para gerenciar sistematicamente os riscos à informação; no 1 Escopo são especificados os requisitos genéricos do SGSI adequados para organizações de qualquer tipo, tamanho ou natureza; em 2 Referências normativas, apenas a ABNT NBR ISO/IEC 27000 é considerada essencial para os usuários da 27001, sendo as demais normas ISO27k opcionais; e na seção 3 Termos e definições são colocadas as definições que devem ser utilizadas. Quais das seções a seguir se refere a compreender o contexto organizacional, as necessidades e expectativas das partes interessadas, que definem o escopo do SGSI? a) ( ) Seção 4 – Contexto da organização. b) ( ) Seção 5 – Liderança. c) ( ) Seção 6 – Planejamento. d) ( ) Seção 7 – Apoio. 162 163 UNIDADE 2 1 INTRODUÇÃO Wilson e Hash (2003) identificaram quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação. Agora, tire uns minutos para analisar o Quadro 11, pois ele traz uma breve descrição de cada uma destas etapas para sua melhor compreensão. QUADRO 11 – QUATRO ETAPAS CRÍTICAS DO CICLO DE VIDA ETAPA DESCRIÇÃO Projeto de conscientização e treinamento Nesta etapa é realizada uma avaliação das necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada. Esse documento de planejamento estratégico identifica as tarefas de implementação a serem executadas em apoio às metas estabelecidas de treinamento em segurança da organização. Conscientização e desenvolvimento de materiais de treinamento Esta etapa se concentra nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material de treinamento, incluso solicitação de assistência do contratado nos casos que se fizer necessário. Implementação do programa Esta etapa aborda tanto a comunicação eficaz quanto a implementação do plano de conscientização e treinamento. Além disso, aborda as opções para a entrega de material de conscientização e treinamento, baseado na Web, ensino a distância, vídeo, no local etc. TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 164 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Pós-implementação Esta etapa fornece orientação para manter o plano atualizado e métodos de feedback eficazes são descritos em pesquisas, grupos focais, benchmarking etc. FONTE: Adaptado de Wilson e Hash (2003) Agora, vamos avançar em cada uma das etapas do ciclo do programa de conscientização e treinamento de segurança de TI, que foi adaptado especialmente para você, da edição especial 800-50 do NIST, versão ativa (WILSON; HASH, 2003). 2 ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO A postura de segurança de TI e a vigilância dentro de uma organização melhora consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI. Vamos iniciar esta etapa, começando pela primeira etapa do plano, que é projetar o programa. Para isso, os programas de conscientização e treinamento devem ser projetados com a missão da organização em mente. É importante que o programa de conscientização e treinamento ofereça suporte às necessidades de negócio da organização e seja relevante tanto para a cultura quanto para a arquitetura de TI da organização. Os programas mais bem-sucedidos são aqueles que os usuários consideram relevantes os assuntos e os problemas que são apresentados. A criação de um programa de conscientização e treinamento em segurança de TI responde à pergunta: Qual é o nosso plano para desenvolver e implementar oportunidades de conscientização e treinamento em conformidade com as diretivas existentes? Nesta etapa do plano, as necessidades de conscientização e treinamento da organização precisam ser identificadas, para que um plano eficaz seja desenvolvido. Além disso, você deve ter em mente, que se deve buscar a adesão da organização e posteriormente estabelecer quais são as prioridades do programa. Nesta fase é descrito: • Como estruturar a atividade de conscientização e treinamento. • Como (e por que) realizar uma avaliação de necessidades. • Como desenvolver um plano de conscientização e treinamento. • Como estabelecer prioridades. • Como definir o nível de complexidade do objeto adequadamente. • Como financiar o programa de conscientização e treinamento. ATENCAO Famlia _SGI Realce TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 165 2.1 ESTRUTURANDO O PROGRAMA Um programa de conscientização e treinamento pode ser projetado, desenvolvido e implementado de diferentes maneiras. Queremos destacar para você, que são três as abordagens ou modelos comumente aceitos, sendo eles: • Modelo 1: Política, estratégia e implementação centralizada. • Modelo 2: Política e estratégia centralizada, implementação distribuída. • Modelo 3: Política centralizada, estratégia distribuída e implementação. Você deve se perguntar, do que depende a escolha do modelo a ser adotado? A escolha do modelo adotado e estabelecido para supervisionar a atividade do programa de conscientização e treinamento dependem: (i) do tamanho e a dispersão geográfica da organização; (ii) das funções e das responsabilidades organizacionais definidas; (iii) das alocações e autorizações do orçamento. 2.2 AVALIANDO AS NECESSIDADES A avaliação das necessidades pode ser utilizada para determinar as necessidades de conscientização e do treinamento de uma organização. Os resultados obtidos nesta avaliação podem trazer justificativas relevantes, para que você convença a gerência na alocação dos recursos adequados e atenda às necessidades de conscientização e treinamento que foram identificadas. Desta forma, é importante que você tenha em mente, que para conduzir uma avaliação de necessidades, é importante que o pessoal-chave esteja todo envolvido e das funções mínimas que precisam ser realizadas. Agora, tire uns minutos para analisar o Quadro 12 que contém essas funções. Sugerimos a leitura das páginas 12-16 da Publicação Especial NIST 800-55, disponível no link https://csrc.nist.gov/publications/detail/sp/800-55/rev-1/final), para o detalhamento de cada um destes três modelos. DICAS 166 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO QUADRO 12 – FUNÇÕES NECESSÁRIAS FUNÇÃO DESCRIÇÃO Gerente executivo Os líderes organizacionais precisam entender completamente as diretrizes e leis que formam a base do programa de segurança. Eles também precisam compreender suas funções de liderança para garantir a total conformidade dos usuários em suas unidades. Pessoal de segurança (gerentesde programas de segurança e agentes de segurança) Essas pessoas atuam como consultoras especializadas para sua organização e, portanto, devem ser bem informadas sobre a política de segurança e as melhores práticas aceitas. Proprietários do sistemas Os proprietários devem ter um amplo entendimento da política de segurança e um grau alto de entendimento sobre os controles e requisitos de segurança aplicáveis aos sistemas que gerenciam. Administradores de sistema e pessoal de suporte de TI Colaboradores que possuem um grau alto de autoridade sobre as operações de suporte críticas para um programa de segurança bem-sucedido, essas pessoas precisam ter conhecimento técnico em práticas e implementação de segurança eficazes. Gerentes operacionais e usuários do sistema Esses colaboradores precisam de um grau elevado de conscientização e treinamento em segurança sobre controles de segurança e regras de comportamento para os sistemas que eles usam para conduzir operações comerciais. FONTE: Adaptado de Wilson e Hash (2003) As necessidades de conscientização e treinamento em segurança de TI podem ser levantadas de diversas fontes de informações da organização e elas podem ser coletadas de diferentes maneiras. Algumas das técnicas que podem ser utilizadas para coletar as informações são: • Entrevistas com todos os principais grupos e organizações identificados. • Pesquisas organizacionais. • Revisão e avaliação do material disponível, como material atual de conscientização e treinamento, cronogramas de treinamento e listas de participantes. TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 167 • Análise de métricas relacionadas à conscientização e treinamento. Por exemplo, porcentagem de usuários que completam a sessão ou exposição de conscientização necessária, porcentagem de usuários com responsabilidades significativas de segurança que foram treinadas em material específico da função. • Revisão dos planos de segurança para sistemas gerais de suporte e aplicativos principais para identificar proprietários de sistemas e aplicativos e representantes de segurança nomeados. • Revisão dos bancos de dados de identificação do usuário do inventário do sistema e do aplicativo para determinar todos os que têm acesso. • Revisão de todas as descobertas e/ou recomendações dos órgãos de supervisão, como por exemplo, inquérito do Congresso, inspetor geral, programa de revisão/auditoria interna e controles internos ou análises de programas sobre o programa de segurança de TI. • Conversas e entrevistas com a gerência, proprietários de suporte geral sistemas e aplicativos principais e outra equipe da organização cujas funções comerciais dependem de TI. • A análise de eventos, como ataques de negação de serviço, alterações no site, sequestro de sistemas usados em ataques subsequentes, ataques de vírus bem-sucedidos. Estes podem indicar a necessidade de treinamento (ou treinamento adicional) de grupos específicos de pessoas. • Revisão de quando são realizadas as alterações técnicas ou de infraestrutura. • O estudo das tendências identificadas pela primeira vez em publicações da indústria, acadêmicas ou governamentais ou por organizações de treinamento/educação. O uso desses "sistemas de alerta precoce" pode fornecer informações referente um problema dentro da organização que ainda não foi visto como um problema. Você deve se perguntar se existe alguma forma de identificar as necessidades de conscientização e treinamento de uma maneira eficaz? Sim, existe. As métricas são uma ferramenta importante e eficaz que pode ser utilizada nesta atividade. As métricas servem para monitorar se as metas e os objetivos do plano foram atingidos. Cabe lembrar que elas também quantificam o nível da eficácia e da eficiência, analisando a adequação dos esforços de conscientização e treinamento e identificando possíveis melhorias. Para uma discussão completa sobre métricas, consulte a Publicação Especial NIST 800-55, disponível no link https://csrc.nist.gov/publications/detail/sp/800-55/rev-1/ final, Guia de Métricas de Segurança para Sistemas de Tecnologia da Informação. DICAS 168 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Cabe destacar, ainda, que um aspecto importante da avaliação é avaliar a existência dos recursos necessários para que o programa seja realizado. Por exemplo, se o material elaborado no plano fizer uso de abordagens apoiadas pela tecnologia é necessário que se realize na avaliação técnica referente às plataformas que serão utilizadas no programa, tais como: rede, estações de trabalho, placas de vídeo, alto-falantes etc. Isso é necessário para determinar se existe ambiente na organização para que o programa de conscientização seja implementado. Da mesma forma, se a organização planeja fornecer treinamento em sala de aula, a avaliação das necessidades deve identificar se existe espaço adequado para um ambiente de ensino aprendizagem. As questões de recursos humanos, incluindo colaboradores com alguma necessidade especial, devem ser avaliadas, assim como questões sindicais inexistentes que podem surgir a partir desse momento. Após a conclusão da avaliação das necessidades, as informações necessárias para desenvolver um plano de conscientização e treinamento estarão disponíveis. O plano deve abranger toda a organização e incorporar as prioridades identificadas pela avaliação de necessidades. 2.3 DESENVOLVENDO A ESTRATÉGIA E O PLANO DE CONSCIENTIZAÇÃO E TREINAMENTO A conclusão da avaliação de necessidades permite que uma organização externa ou órgão regulamentado desenvolva uma estratégia para desenvolver, implementar e manter seu programa de conscientização e treinamento em segurança de TI. O plano do programa é o documento de trabalho que contém os elementos que compõem essa estratégia. Portanto, é fundamental que você se atente para os seguintes elementos que devem ser discutidos no plano do programa: • Política nacional e local existente que requer a conscientização e o treinamento a serem realizados. A análise das informações coletadas deve fornecer respostas para as principais perguntas: • Que tipo de conscientização, treinamento e/ou educação são necessários? • O que está sendo realizado atualmente para atender a essas necessidades? • Qual é o status atual em relação a como essas necessidades estão sendo atendidas (ou seja, quão bem os esforços atuais estão funcionando)? • Onde estão as lacunas entre as necessidades e o que está sendo feito (ou seja, o que mais precisa ser feito)? • Quais necessidades são mais críticas? IMPORTANT E TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 169 • Escopo do programa de conscientização e treinamento. • Funções e responsabilidades do pessoal da organização que deve projetar, desenvolver, implementar e manter o material de conscientização e treinamento e que deve garantir que os usuários apropriados atendam ou visualizem o material aplicável. • Metas a serem alcançadas para cada aspecto do programa, como por exemplo, conscientização, treinamento, educação, desenvolvimento profissional (certificação). • Público-alvo para cada aspecto do programa. • Cursos ou materiais obrigatórios (e se aplicável, opcionais) para cada público-alvo. • Objetivos de aprendizagem para cada aspecto do programa. • Tópicos a serem abordados em cada sessão ou curso. • Métodos de implantação a serem usados para cada aspecto do programa. • Documentação, feedback e evidência de aprendizado para cada aspecto do programa. • Avaliação e atualização de material para cada aspecto do programa. • Frequência em que cada público-alvo deve ser exposto ao material. 2.4 ESTABELECENDO PRIORIDADES Depois que a estratégia e oplano do programa de conscientização e treinamento em segurança forem finalizados, deve ser estabelecido um cronograma de implementação. Às vezes é necessário que a implementação ocorra em fases. Por exemplo, você precisa analisar se existem restrições orçamentárias e disponibilidade de recursos. Dessa forma, é importante decidir quais fatores serão usados para determinar as prioridades e a sequência em que elas acontecem. Agora, tire uns minutos para analisar o Quadro 13, que contém os principais fatores a serem analisados. QUADRO 13 – PRINCIPAIS FATORES A SEREM CONSIDERADOS DESCRIÇÃO Disponibilidade de material e recursos Se o material de conscientização e treinamento e os recursos necessários estiverem prontamente disponíveis, as principais iniciativas do plano poderão ser agendadas com antecedência. No entanto, se o material do curso deve ser desenvolvido e/ou os instrutores precisam ser identificados e programados, esses requisitos devem ser considerados na definição de prioridades. 170 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Papel e impacto organizacional É muito comum abordar a prioridade em termos de função e risco organizacional. As iniciativas de conscientização de base ampla que atendem ao mandato amplo da empresa podem receber alta prioridade porque as regras de boas práticas de segurança podem ser entregues rapidamente à força de trabalho. Além disso, é comum observar posições de alta confiança/alto impacto. Por exemplo, gerentes de programas de segurança de TI, agentes de segurança, administradores de sistema e administradores de segurança, cujas posições na organização foram determinadas como tendo uma sensibilidade mais alta. Outro ponto, é garantir que elas recebam alta prioridade na estratégia de lançamento. Esses tipos de posições geralmente são proporcionais ao tipo de acesso e a qual sistema, esses usuários possuem. Estado atual de conformidade Envolve examinar as principais lacunas no programa de conscientização e treinamento (por exemplo, análise de lacunas) e direcionar áreas deficientes para a implantação antecipada. Dependências críticas do projeto Se houver projetos dependentes de um segmento de treinamento de segurança para preparar os requisitos necessários para o sistema envolvido. Por exemplo, novo sistema operacional, firewalls, redes virtuais privadas. Portanto, é importante que o cronograma de treinamento estabelecido garanta que o treinamento ocorre dentro do prazo estipulado. Dessa forma, é necessário lidar com as dependências existentes FONTE: Adaptado de Wilson e Hash (2003) 2.5 ESTABELECENDO O PADRÃO Estabelecer o padrão ou estabelecer o parâmetro significa que uma decisão deve ser tomada quanto à complexidade do material que será desenvolvido. Dessa forma, você precisa pensar que a complexidade na elaboração é proporcional ao papel exercido pela pessoa que terá o esforço do aprendizado e deve ser desenvolvido com base em dois critérios importantes: (i) a posição do participante alvo dentro da organização; e (ii) o conhecimento das habilidades de segurança necessárias para a posição exercida por esse participante. Destacamos ainda que essa complexidade do material deve ser determinada antes do início do desenvolvimento. TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 171 Ao estabelecer o padrão de esforço do programa, o foco deve estar nas regras de comportamento esperadas para o uso dos sistemas. Essas regras devem vir diretamente da política da organização e elas devem ser aplicadas a todos da organização. Para isso, é necessário que elas sejam explicadas de forma clara, não deixando margem para erros, desculpas ou mal-entendidos. O item 5 traz a 4ª etapa do plano, a etapa de pós-implementação, nela discutiremos o aumento do padrão que foi estabelecido. ATENCAO Estabelecer o padrão significa que deve ser tomada uma decisão quanto à complexidade do material que será desenvolvido e deve ser aplicado aos três tipos de aprendizado: conscientização, treinamento e educação. IMPORTANT E O padrão estabelecido pode ser aumentado à medida que o programa de conscientização amadurece e a maioria dos usuários é exposta ao material inicial. IMPORTANT E Queremos ainda destacar para você, que definir o padrão corretamente é ainda mais importante ao desenvolver o material de treinamento, devido que o objetivo do treinamento é produzir as habilidades e as competências relevantes necessárias. Portanto, é crucial que a avaliação das necessidades identifique os indivíduos com responsabilidades significativas de segurança de TI, avalie suas funções e identifique quais são as reais necessidades de conscientização e treinamento. Desta forma, o material a ser desenvolvido precisa fornecer o conjunto de habilidades necessárias para que os participantes cumpram as responsabilidades de segurança associadas à sua função. O material de treinamento de segurança de TI pode ser desenvolvido em um nível inicial para uma pessoa que está apenas aprendendo a disciplina, por exemplo, para o administrador do sistema, administrador de servidor Web ou de e-mail, um auditor etc. Assim como o material pode ser desenvolvido em um nível intermediário, ou seja, para alguém que tem 172 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO mais experiência e, portanto, mais responsabilidade, em uma disciplina. É possível desenvolver material avançado para os “centros de excelência” ou especialistas no assunto da organização, cujos trabalhos incorporam o mais alto nível de confiança e consequentemente, um alto nível de responsabilidade de segurança de TI. Depois que as necessidades educacionais são identificadas dentro de uma organização, geralmente, as organizações buscam alguma empresa especializada para realizar o programa. 2.6 FINANCIAMENTO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO EM SEGURANÇA Uma vez que a estratégia de conscientização e treinamento tenha sido acordada e as prioridades tenham sido estabelecidas, você deve se atentar que os requisitos de financiamento devem ser adicionados ao plano. Uma determinação deve ser feita em relação à qual será a extensão do financiamento e o suporte necessário a ser alocado com base nos modelos de implementação discutidos em nosso item 2.1. Dessa forma, o diretor de informática da organização deve enviar uma mensagem clara sobre as expectativas de conformidade nessa área. As abordagens usadas para determinar as fontes de financiamento devem ser analisadas com base no orçamento existente ou previsto em alguma prioridade da organização. O plano deve ser visto como um conjunto de requisitos mínimos a serem atendidos, e esses requisitos devem ser compatíveis com uma perspectiva contratual ou orçamental. Os requisitos contratuais devem ser especificados na documentação vinculada, como de memorando, contratos etc. As abordagens usadas para expressar o requisito de financiamento podem incluir: • Percentual do orçamento geral de treinamento. • A alocação por usuário por função. Um exemplo disso, seria o treinamento dos principais colaboradores de segurança e administradores de sistema será mais caro que o treinamento geral de segurança para aqueles na organização que não executam funções específicas de segurança. • Porcentagem do orçamento geral de TI. O Capítulo 4 da publicação especial NIST 800-16, disponível no link https://csrc. nist.gov/publications/detail/sp/800-16/final, fornece orientação sobre o desenvolvimento de material de treinamento para esses três níveis de complexidade, incluindo objetivos de aprendizado em cada um dos três níveis. DICAS TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 173• Alocações explícitas por componente, com base nos custos gerais de implementação. Os problemas na implementação do plano de conscientização e treinamento em segurança podem ocorrer quando as iniciativas de conscientização e treinamento em segurança são consideradas com prioridade mais baixa do que outras iniciativas da organização. É de responsabilidade do diretor de informática avaliar as prioridades concorrentes e desenvolver uma estratégia para solucionar qualquer déficit de financiamento que possa afetar a capacidade da organização de cumprir os requisitos de treinamento em segurança existentes. Isso pode significar ajustar a estratégia de conscientização e treinamento para estar mais alinhada com o orçamento disponível, fazer lobby por financiamento adicional ou direcionar a realocação dos recursos atuais. Também pode significar que o plano de implementação pode ser implementado em etapas durante um período predefinido à medida que o financiamento se torna disponível. 3 ETAPA 2: DESENVOLVIMENTO DE MATERIAIS DE CONSCIENTIZAÇÃO E DE TREINAMENTO Uma vez elaborado o programa de conscientização e treinamento, é possível desenvolver material de apoio. Mas o que devemos incluir no material? O material deve ser desenvolvido tendo o seguinte em mente: • Que comportamento queremos reforçar? (Consciência). • Qual habilidade ou habilidades queremos que o público aprenda e aplique? (Treinamento). Nos dois casos, o foco deve estar no material específico que os participantes devem incorporar nas atividades exercidas no trabalho. Os participantes prestarão atenção e incorporarão o que veem ou ouvem em uma sessão, se sentirem que o material foi desenvolvido especificamente para eles. A apresentação não pode ser “engessada”, ou mesmo impessoal ou para um público em geral, para que ela não seja lembrada como mais uma das sessões anuais de "estamos aqui porque precisamos estar aqui". Um programa de conscientização e treinamento pode ser eficaz, somente, se o material for interessante e atual. Em algum momento, se você for o responsável pela elaboração do material, você fará a seguinte pergunta: Estou desenvolvendo material de conscientização ou treinamento? Geralmente, como o objetivo do material de conscientização é simplesmente focar a atenção nas boas práticas de segurança, a mensagem que o esforço de conscientização envia deve ser curta e simples. A mensagem pode abordar um tópico ou vários tópicos sobre os quais o público-alvo deve estar ciente. 174 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 3.1 DESENVOLVENDO MATERIAL DE CONSCIENTIZAÇÃO A pergunta a ser respondida ao começar a desenvolver material para um programa ou campanha de conscientização da organização é: Quais assuntos queremos que todas as pessoas da organização estejam cientes sobre segurança de TI? O plano de conscientização e treinamento deve conter uma lista de tópicos. Destacamos algumas fontes de ideias e materiais como: avisos por e-mail, sites de notícias diárias sobre segurança de TI on-line e periódicos. A política da organização, revisões de programas, auditorias internas, revisões de programas de controles internos, autoavaliações e verificações pontuais também podem identificar tópicos adicionais a serem abordados no programa. Agora, queremos destacar dois pontos: (i) os tópicos que podem ser discutidos, de forma breve, em qualquer sessão ou campanha de conscientização; e (ii) as fontes dos tópicos que serão utilizadas. Destacamos ainda, que podem existir várias fontes de material a serem incorporadas no programa. O material pode tratar de uma questão específica ou, em alguns casos, pode descrever como iniciar o desenvolvimento de um programa, sessão ou campanha de conscientização. Agora, tire uns minutos para aprender pelo Quadro 14 quais são alguns desses tópicos e algumas das fontes que você pode utilizar. Ao analisar os tópicos a serem vistos na conscientização, você verá que alguns deles já tínhamos identificado na Unidade 1 do nosso livro didático. QUADRO 14 – TÓPICOS E FONTES A SEREM VISTOS EM CONSCIENTIZAÇÃO TÓPICOS • Uso e gerenciamento de senhas, incluindo criação, frequência de alterações e proteção. • Proteção contra vírus, worms, cavalos de Tróia e outros códigos maliciosos, varredura, atualização de definições. • Política e as implicações do não cumprimento. • E-mail e anexos desconhecidos. O público-alvo da conscientização deve incluir todos os usuários em uma organização. A mensagem a ser divulgada por meio de um programa ou campanha de conscientização deve conscientizar todos os indivíduos sobre suas responsabilidades de segurança de TI comumente compartilhada. Já por outro lado, a mensagem em uma aula de treinamento é direcionada a um público específico. A mensagem no material de treinamento deve incluir tudo relacionado à segurança que os participantes precisam saber para realizar seu trabalho. O material de treinamento geralmente é muito mais profundo do que o material usado em uma sessão ou campanha de conscientização. IMPORTANT E TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 175 • Uso da Web, permitido versus proibido e o monitoramento da atividade do usuário. • Spam. • Backup e armazenamento de dados, abordagem centralizada ou descentralizada. • Engenharia social. • Resposta a incidentes, entre em contato com quem? O que eu faço? • Alterações no ambiente do sistema, aumento dos riscos para os sistemas e dados (por exemplo, água, fogo, poeira ou sujeira, acesso físico). • Inventário e transferência de propriedade, identifique a organização responsável e as responsabilidades do usuário (por exemplo, higienização da mídia). • Problemas de uso pessoal e de ganho, sistemas no trabalho e em casa. • Problemas de segurança de dispositivos móveis, resolva problemas de segurança física e sem fio. • Uso de criptografia e transmissão de informações confidenciais/confidenciais pela Internet, diretiva, procedimentos e contato técnico da organização de endereços, para obter assistência. • Segurança do laptop durante a viagem, resolva problemas físicos e de segurança da informação. • Sistemas e software de propriedade pessoal no trabalho, indique se é permitido ou não (por exemplo, direitos autorais). • Aplicação oportuna de correções do sistema, parte do gerenciamento de configuração. • Problemas de restrição de licença de software, endereço quando as cópias são permitidas e não permitidas. • Software suportado, permitido nos sistemas da organização, parte do gerenciamento de configuração. • Problemas de controle de acesso, abordam os níveis de privilégios e a separação de tarefas. • Responsabilização individual, explique o que isso significa na organização. • Uso de declarações de reconhecimento – senhas, acesso a sistemas e dados, uso pessoal e ganhos. • Controle do visitante e acesso físico a espaços, discuta políticas e procedimentos de segurança física aplicáveis, por exemplo, desafie estranhos, relate atividades incomuns. 176 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO • Segurança da área de trabalho, discuta o uso de protetores de tela, restringindo a exibição de informações dos visitantes na tela (impedindo/ limitando o espiar), dispositivos de backup de bateria, acesso permitido aos sistemas. • Proteger as informações sujeitas a preocupações de confidencialidade, em sistemas, arquivados, em mídia de backup, em formato de cópia impressa e até serem destruídos. • Etiqueta da lista de e-mail, arquivos anexados e outras regras. FONTES • Avisos por e-mail emitidos por grupos de notícias hospedados pelo setor, instituições acadêmicas ou pelo escritório de segurança de TI da organização. • Organizações e fornecedores profissionais. • Sites de notícias diárias sobre segurança de TI on-line.• Periódicos. • Conferências, seminários e cursos. FONTE: Adaptado de Wilson e Hash (2003) 3.2 DESENVOLVENDO MATERIAL DE TREINAMENTO A pergunta a ser respondida ao iniciar o desenvolvimento do material para um curso de treinamento específico é: Qual habilidade ou habilidades queremos que o público-alvo aprenda? O plano de treinamento deve identificar um público-alvo, ou vários públicos-alvo e cada um deles deve receber treinamento personalizado, os possibilitando a lidar com suas responsabilidades de segurança de TI. 4 ETAPA 3: IMPLEMENTAÇÃO DO PROGRAMA A terceira etapa do programa se refere a como o programa será implementado. Contudo, você precisa estar ciente que o programa só pode ser implementado após: (i) a avaliação de necessidades ter sido realizada; (ii) a estratégia ter sido desenvolvida; (iii) o plano de programa de conscientização e treinamento para implementar essa estratégia ter sido concluído; (iv) o material de conscientização e de treinamento ter sido desenvolvido. Agora sim, podemos iniciar a implementação! TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 177 4.1 COMUNICAÇÃO DO PLANO A implementação do programa deve ser totalmente explicada à organização para obter suporte para sua implementação e comprometimento dos recursos necessários. Essa explicação inclui as expectativas da gerência da organização e do suporte da equipe, bem como os resultados esperados do programa e os benefícios que o programa trará a organização. Destacamos ainda para você, que as questões de financiamento também devem ser abordadas. Por exemplo, os gerentes devem saber se o custo para implementar o programa de conscientização e treinamento será totalmente financiado pelo orçamento do programa de segurança de TI ou diretor de informática ou se seus orçamentos serão impactados para cobrir sua parcela das despesas com a implementação do programa. É essencial que todos os envolvidos na implementação do programa compreendam seus papéis e as suas responsabilidades. Além disso, os cronogramas e os requisitos de conclusão devem ser comunicados. A comunicação do plano pode ser mapeada para os três modelos de implementação discutidos no item 2.1 deste tópico. Seguem os cenários típicos. 4.2 TÉCNICAS PARA CRIAR MATERIAL DE CONSCIENTIZAÇÃO Existem algumas técnicas que podem ser utilizadas para transmitir a mensagem de conscientização. Você precisa ter em mente, que as técnicas escolhidas dependem dos recursos e da complexidade da mensagem que você quer passar. Listamos algumas dessas técnicas: • Mensagens sobre ferramentas de conscientização: podem ser utilizadas, canetas, porta-chaves, notas post-it, blocos de notas, kits de primeiros socorros, kits de limpeza, pen drive com uma mensagem, marcadores de páginas, Frisbees, relógios, cartões e afins. • Cartazes, listas do que fazer e não fazer ou listas de verificação. • Protetores de tela e banners/mensagens de aviso. • Boletins. • Alertas de escrivaninha para mesa: como um boletim de uma página, em papel, colorido e brilhante, um por mesa ou roteado por um escritório, que é distribuído pelo sistema de correio da organização. • Mensagens de e-mail. • Vídeos. • Sessões baseadas na Web. • Sessões baseadas em computador. • Sessões de teleconferência. • Sessões presenciais, conduzidas por instrutor. • Dias de segurança de TI ou eventos similares. 178 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO • Seminários. • Calendário pop-up com informações de contato de segurança, dicas mensais de segurança etc. • Mascotes. • Palavras cruzadas. • Programa de prêmios por meio de placas, canecas, cartas de agradecimento. Queremos destacar que algumas dessas técnicas servem para passar que uma única mensagem, como as utilizadas em: pôsteres, listas de acesso, protetores de tela e banners de aviso, alertas de mesa em mesa, e-mails, seminários e programas de prêmios. Já as técnicas que conseguem passar várias mensagens são aquelas como: “Faça e não faça”, boletins, fitas de vídeo, sessões baseadas na Web, sessões baseadas em computador, sessões de teleconferência, sessões presenciais com instrutores e seminários. As técnicas que podem ser razoavelmente baratas de implementar incluem mensagens em ferramentas de conscientização, pôsteres, listas de acesso, listas de “Faça e não faça”, listas de verificação, protetores de tela e banners de aviso, alertas de mesa em mesa, mensagens de e-mail, sessões conduzidas por instrutor, seminários sobre malas marrons e programas de recompensas. As técnicas que podem exigir mais recursos incluem boletins, fitas de vídeo, sessões baseadas na Web, sessões baseadas em computador e sessões de teleconferência. Além de tornar o material de conscientização interessante e atual, repetir uma mensagem de conscientização e usar várias maneiras de apresentá- la, pode aumentar muito a retenção de lições ou problemas de conscientização dos usuários. Por exemplo, a discussão em uma sessão conduzida por instrutor sobre como evitar ser vítima de um ataque de engenharia social pode ser reforçada com pôsteres, mensagens de e-mail periódicas em toda a organização e mensagens sobre ferramentas de conscientização que são distribuídas aos usuários. 4.3 TÉCNICAS PARA CRIAR MATERIAL DE TREINAMENTO As técnicas para se obter um material mais efetivo de treinamento são aquelas que fazem uso da tecnologia e suportam os seguintes recursos: • Facilidade de uso: fácil acesso e fácil atualização/manutenção. • Escalabilidade: pode ser usada para vários tamanhos de público e em vários locais. • Responsabilização: capturar e usar estatísticas sobre o grau de conclusão). • Ampla base de suporte do setor: número adequado de fornecedores em potencial, maior chance de encontrar suporte subsequente. TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 179 Acadêmico, as organizações podem fazer várias técnicas, destacamos as mais comumente utilizadas pelas organizações para você, sendo elas: • Treinamento em Vídeo Interativo (TVI): é uma das várias técnicas de ensino à distância disponíveis para a entrega de material de treinamento. Esta tecnologia suporta instruções interativas de áudio e vídeo bidirecionais. O recurso interativo torna a técnica mais eficaz do que as técnicas não interativas, mas é mais cara. • Treinamento baseado na Web: é uma técnica popular para ambientes distribuídos. Os "participantes" de uma sessão baseada na Web podem estudar de forma independente e aprender no seu próprio ritmo. Os recursos de teste e responsabilidade podem ser incorporados para avaliar o desempenho. Algumas técnicas ainda permitem uma interação entre o instrutor e o aluno, como: • Treinamento não Web e baseado em computador: essa técnica continua popular mesmo com a disponibilidade da Web. Ainda pode ser um método eficaz para a distribuição de material de treinamento, especialmente se o acesso a material baseado na Web não for viável. Como o treinamento baseado na Web, essa técnica não permite a interação entre o instrutor e os alunos ou entre os alunos. • Treinamento ministrado por instrutor no local (incluindo apresentações e mentoria de colegas): essa é uma das técnicas mais antigas, mas uma das mais populares, para fornecer material de treinamento para o público. A maior vantagem da técnica é a natureza interativa da instrução. Essa técnica, no entanto, tem várias desvantagens em potencial. Em uma organização grande, pode haver dificuldade em agendar aulas suficientes para que todo o público- alvo possa participar. Em uma organização que possui uma força de trabalho amplamente distribuída, pode haver custos de viagem significativos para instrutores e estudantes. Embora existam desafios para ambientes distribuídos,alguns alunos preferem esse método tradicional a outros métodos. A combinação de várias técnicas em uma sessão pode ser uma maneira eficaz tanto do material a ser apresentado como fazer que o público preste atenção. Por exemplo, se você usar a técnica de exibir vídeos durante a sessão conduzida por instrutor, isto permite que o público se concentre em uma fonte de informação diferente. O vídeo também pode reforçar o que o instrutor tem apresentado. A TVI, o treinamento baseado na Web e o treinamento não baseado na Web também podem ser utilizados como parte de uma sessão de treinamento liderada por instrutor. 5 ETAPA 4: PÓS-IMPLEMENTAÇÃO O programa de conscientização e treinamento em segurança de TI de uma organização pode rapidamente se tornar obsoleto se não for dada atenção suficiente aos avanços tecnológicos, a infraestrutura de TI e as mudanças organizacionais, 180 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO além de mudanças na missão e nas prioridades organizacionais. Os diretores de informática e os gerentes do programa de segurança de TI precisam conhecer esse problema em potencial e incorporar mecanismos em sua estratégia para garantir que o programa continue relevante e compatível com os objetivos gerais. 5.1 MONITORANDO A CONFORMIDADE Uma vez implementado o programa, é necessário implementar processos para monitorar a conformidade e a eficácia. Um sistema de rastreamento automatizado deve ser projetado para capturar informações importantes sobre a atividade do programa (por exemplo, cursos, datas, público, custos, fontes). O sistema de rastreamento deve capturar esses dados no nível da organização, para que possam ser usados para fornecer análises e relatórios de toda a empresa sobre iniciativas de conscientização, treinamento e educação. Os requisitos para o banco de dados devem incorporar as necessidades de todos os usuários pretendidos. Os usuários típicos desse banco de dados estão descritos no Quadro 15. QUADRO 15 – USUÁRIOS USUÁRIO DESCRIÇÃO Diretores de informática Podem usar o banco de dados para apoiar o planejamento estratégico, informar o chefe da organização e outros colaboradores da alta gerência sobre a saúde do programa de conscientização e treinamento em segurança de TI, identificar a capacidade interna e as necessidades críticas da força de trabalho de segurança, executar análises de programas, identificar atividades em toda a empresa, auxiliar na segurança e no orçamento de TI, identificar a necessidade de aprimoramento do programa e avaliar a conformidade. A melhoria contínua deve sempre ser o tema das iniciativas de conscientização e treinamento em segurança, pois essa é uma área em que “você nunca pode fazer o suficiente”. IMPORTANT E TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 181 Gerentes de programas de segurança de TI Podem usar o banco de dados para dar suporte ao planejamento de segurança, fornece relatórios de status ao diretor de informática e a outras equipes de gerenciamento e segurança, justificar solicitações de financiamento, demonstrar conformidade com as metas e objetivos estabelecidos pela organização, identificar fornecedores e outras fontes de treinamento, responder a perguntas relacionadas à segurança, identificar a cobertura atual e fazer ajustes para omissões críticas. Departamentos de Recursos Humanos Podem usar o banco de dados para garantir a existência de um mecanismo eficaz para capturar todo o treinamento relacionado à segurança, identificar os custos relacionados ao treinamento em segurança de TI, auxiliar no estabelecimento de descrições de cargos, dar suporte ao relatório de status, responder a consultas de treinamento e auxiliar desenvolvimento profissional. Departamentos de treinamento Podem usar o banco de dados para ajudar no desenvolvimento da estratégia geral de treinamento da organização, estabelecer requisitos de banco de dados de treinamento vinculados às diretrizes de segurança, identificar possíveis fontes de treinamento, dar suporte a solicitações de treinamento, identificar a relevância e popularidade do curso, apoiar a atividade orçamentária e responder a perguntas. Gerentes funcionais Podem usar o banco de dados para monitorar o progresso do treinamento do usuário e ajustar os planos de treinamento do usuário, conforme necessário, obter relatórios de status e responder a perguntas sobre o treinamento de segurança em seus componentes e identificar fontes e custos de treinamento para ajudar com solicitações e propostas de orçamento. Auditores Podem usar as informações do banco de dados para monitorar a conformidade com as diretivas de segurança e a política da organização. Diretores Financeiros Pode usar as informações do banco de dados para responder a perguntas sobre orçamento, auxiliar no planejamento financeiro e fornece relatórios ao chefe da organização e aos gerentes seniores sobre as atividades de financiamento do treinamento em segurança. FONTE: Adaptado de Wilson e Hash (2003) 182 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO O rastreamento da conformidade envolve a avaliação do status do programa, conforme indicado pelas informações do banco de dados, e o mapeamento para os padrões estabelecidos pela organização. Portanto, tenha em mente que, os relatórios podem ser gerados e usados para identificar lacunas ou problemas. Além disso, é necessário que se tenham ações corretivas e os devidos acompanhamento caso elas se façam necessárias. Você pode utilizar isso, em forma de lembretes formais para a gerência; ofertas adicionais de conscientização, treinamento ou educação; e/ou ainda estabelecer um programa corretivo com datas de conclusão programadas. 5.2 AVALIAÇÃO E FEEDBACK Os mecanismos formais de avaliação e de feedback são componentes críticos de qualquer programa de conscientização, treinamento e educação sobre segurança. A melhoria contínua não pode ocorrer sem um bom senso de como o programa existente está funcionando. Além disso, o mecanismo de feedback deve ser projetado para atender aos objetivos inicialmente estabelecidos para o programa. Uma vez solidificados os requisitos da linha de base, uma estratégia de feedback pode ser projetada e implementada. Uma estratégia de feedback precisa incorporar elementos que abordem a qualidade, o escopo, o método de implantação (por exemplo, baseado na Web, no local, externo), nível de dificuldade, facilidade de uso, duração da sessão, relevância, moeda, e sugestões para modificação. IMPORTANT E Os métodos mais comumente utilizados na obtenção de feedback são apresentados no Quadro 16. QUADRO 16 – MÉTODOS PARA OBTER FEEDBACK MÉTODO DESCRIÇÃO Formulários de avaliação (questionários) É possível usar uma variedade de formatos. Os melhores designs eliminam a necessidade de muita escrita por parte da pessoa que os conclui. A chave é projetar os formulários para serem o mais "amigáveis" possível. Trabalhe com especialistas internos que estejam familiarizados com as melhores técnicas para projetar esses instrumentos de avaliação ou busque a assistência de especialistas externos. TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 183 Grupos focais Reúna os participantes do treinamento em fóruns abertos para discutir suas perspectivas sobre a eficácia do programa de treinamento em segurança de TI e solicitar suas ideias para aprimoramento. Entrevista seletiva Essa abordagem primeiro identifica os grupos-alvo do treinamento com base no impacto, prioridade ou outros critérios estabelecidos e identifica áreas específicas para feedback. Normalmente conduzida usando entrevistas individuais ou em pequenosgrupos homogêneos (geralmente dez ou menos), essa abordagem é mais personalizada e privada do que a abordagem do grupo focal e pode incentivar os participantes a serem mais em sua crítica ao programa. Observação (análise independente) Outra abordagem para solicitar feedback é incorporar uma revisão do programa de conscientização e treinamento em segurança de TI como uma tarefa a um contratado externo ou a terceiros como parte de uma auditoria iniciada pela organização. A organização faz isto além da atividade normal de supervisão para obter uma opinião imparcial sobre a eficácia do programa. Relatórios formais de status Uma boa maneira de manter o foco na conscientização de segurança e nos requisitos de treinamento em toda a organização é implementar um requisito para relatórios regulares de status pelos gerentes funcionais. Benchmarking do Programa de Segurança (Visão Externa) Muitas organizações incorporam o benchmarking do “Programa de Segurança” como parte de sua estratégia de melhoria contínua e busca pela excelência. Esse tipo de benchmarking está focado na pergunta: como faço para classificar meus colegas? A forma de benchmarking de segurança com foco externo compara o desempenho de uma organização com várias outras organizações e fornece um relatório à organização sobre onde elas caem com base nas linhas de base observadas em todas as organizações com os dados disponíveis no momento. Um componente desse tipo de benchmarking deve incluir conscientização e treinamento sobre segurança. Esse tipo de benchmarking é normalmente realizado por especialistas em técnicas de benchmarking que possuem informações (dados) abrangentes em uma ampla gama de organizações por uma duração bastante longa (cinco anos ou mais). FONTE: Adaptado de Wilson e Hash (2003) 184 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 5.3 GERENCIANDO MUDANÇAS Será necessário garantir que o programa, conforme estruturado, continue sendo atualizado à medida que novas tecnologias e problemas de segurança associados surgirem. As necessidades de treinamento mudarão à medida que novas habilidades e capacidades forem necessárias para responder a essas novas mudanças arquiteturais e tecnológicas. Uma mudança na missão e/ou nos objetivos organizacionais também pode influenciar ideias sobre a melhor forma de projetar locais e conteúdo de treinamento. Questões emergentes, como a defesa da pátria, também afetarão a natureza e extensão das atividades de conscientização de segurança necessárias para manter os usuários informados (instruídos) sobre as mais recentes explorações e contramedidas. Novas leis e decisões judiciais também podem afetar a política organização que, por sua vez, pode afetar o desenvolvimento e/ou implementação de material de conscientização e treinamento. Por fim, à medida que as diretrizes de segurança mudam ou são atualizadas, o material de conscientização e treinamento deve refletir essas mudanças. 5.4 MELHORIA CONTÍNUA (ELEVANDO O PADRÃO ESTABELECIDO) Esta etapa do programa está focada na criação de um nível de conscientização e excelência em segurança que alcance uma presença generalizada de segurança na organização. Os processos que proporcionam conscientização, treinamento e educação à força de trabalho devem ser totalmente integrados à estratégia geral de negócios. Um programa maduro de conscientização e treinamento em segurança define um conjunto de métricas para essa área. Assim, é necessário que sistemas automatizados devem estar em vigor para apoiar a captura de dados quantitativos e para entrega de informações de gerenciamento a partes responsáveis em um ciclo regular e predefinido. O gerenciamento da mudança é o componente do programa projetado para garantir que as implantações de treinamento, conscientização e educação não fiquem estagnadas e, portanto, irrelevantes para os problemas reais emergentes enfrentados pela organização. Ele também foi projetado para lidar com mudanças em política e procedimentos de segurança refletidos na cultura da organização. DICAS TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 185 Os procedimentos de monitoramento, acompanhamento e correção são bem definidos e contínuos. Por fim, nesse estágio, as organizações costumam incorporar ao seu programa de conscientização mecanismos formais da melhoria contínua em áreas de avanço tecnológico, boas práticas e oportunidades de benchmarking. 5.5 INDICADORES DE SUCESSO Os diretores de informática, colaboradores e gerentes do programa de segurança de TI devem ser os principais defensores da melhoria contínua e do apoio ao programa de conscientização, treinamento e educação de segurança da organização. É fundamental que todos estejam aptos e dispostos a desempenhar suas funções de segurança atribuídas na organização. Em segurança, a frase "Apenas tão forte quanto o elo mais fraco" é verdadeira. Proteger as informações e a infraestrutura de uma organização é um esforço de equipe. Alguns indicadores- chave para avaliar o apoio e a aceitação do programa são: • Financiamento suficiente para implementar a estratégia acordada. • Posicionamento organizacional adequado para permitir que pessoas com responsabilidades importantes (diretor de informática, colaboradores do programa e gerente do programa de segurança de TI) implementem efetivamente a estratégia. • Suporte para ampla distribuição (por exemplo, Web, e-mail, TV) e postagem de itens de reconhecimento de segurança. • Mensagens de nível executivo e sênior para a equipe em relação à segurança. Por exemplo, reuniões da equipe, transmissões para todos os usuários pelo chefe da organização. • O uso de métricas. Por exemplo, para indicar um declínio nos incidentes ou violações de segurança, 22 indica que a diferença entre a conscientização existente e a cobertura de treinamento e as necessidades identificadas está diminuindo, a porcentagem de usuários expostos ao material de conscientização estão aumentando, e a porcentagem de usuários com responsabilidades significativas de segurança treinadas adequadamente está aumentando. • Os gerentes não usam seu status na organização para evitar controles de segurança que são consistentemente respeitados pela classificação e arquivo. • Nível de participação em fóruns/instruções de segurança obrigatórios. • Reconhecimento de contribuições de segurança. Por exemplo, prêmios, concursos. • Motivação demonstrada por aqueles que desempenham papéis-chave no gerenciamento/coordenação do programa de segurança (WILSON; HASH, 2003). 186 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO LEITURA COMPLEMENTAR CARTILHA DE SEGURANÇA PARA INTERNET, VERSÃO 4.0 Equipe CERT.br Contas e senhas Uma conta de usuário, também chamada de “nome de usuário”, “nome de login” e username, corresponde a identificação única de um usuário em um computador ou serviço. Por meio das contas de usuário é possível que um mesmo computador ou serviço seja compartilhado por diversas pessoas, pois permite, por exemplo, identificar unicamente cada usuário, separar as configurações específica de cada um e controlar as permissões de acesso. A sua conta de usuário é de conhecimento geral e é o que permite a sua identificação. Ela é muitas vezes, derivada do seu próprio nome, mas pode ser qualquer sequência de caracteres que permita que você seja identificado unicamente, como o seu endereço de e-mail. Para garantir que ela seja usada apenas por você, e por mais ninguém, é que existem os mecanismos de autenticação. Existem três grupos básicos de mecanismos de autenticação, que se utilizam de: (i) aquilo que você é (informações biométricas, como a sua impressão digital, a palma da sua mão, a sua voz e o seu olho), (ii) aquilo que apenas você possui (como seu cartão de senhasbancárias e um token gerador de senhas) e (iii) finalmente, aquilo que apenas você sabe (como perguntas de segurança e suas senhas). Uma senha, ou password, serve para autenticar uma conta, ou seja, e usada no processo de verificação da sua identidade, assegurando que você é realmente quem diz ser e que possui o direito de acessar o recurso em questão. E um dos principais mecanismos de autenticação usados na Internet devido, principalmente, a simplicidade que possui. Se uma outra pessoa souber a sua conta de usuário e tiver acesso à sua senha ela poder a usá-las para se passar por você na Internet e realizar ações em seu nome, como: • acessar a sua conta de correio eletrônico e ler seus e-mails, enviar mensagens de spam e/ou contendo phishing e códigos maliciosos, furtar sua lista de contatos e pedir o reenvio de senhas de outras contas para este endereço de e-mail (e assim conseguir acesso a elas); • acessar o seu computador e obter informações sensíveis nele armazenadas, como senhas e números de cartões de crédito; • utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, então, desferir ataques contra computadores de terceiros; • acessar sites e alterar as configurações feitas por você e, de forma a tornar públicas informações que deveriam ser privadas; TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 187 • acessar a sua rede social e usar a confiança que as pessoas da sua rede de relacionamento depositam em você para obter informações sensíveis ou para o envio de boatos, mensagens de spam e/ou códigos maliciosos. Uso seguro de contas e senhas Algumas das formas como a sua senha pode ser descoberta são: • ao ser usada em computadores infectados. Muitos códigos maliciosos, ao infectar um computador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pelo Webcam (caso você possua uma e ela esteja apontada para o teclado) e gravam a posição da tela na qual o mouse foi clicado; • ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que está no site verdadeiro, um atacante pode armazená-la e, posteriormente, usá-la para acessar o site verdadeiro e realizar operações em seu nome; • por meio de tentativas de adivinhação; • ao ser capturada enquanto trafega na rede, sem estar criptografada; • por meio do acesso ao arquivo na qual a senha foi armazenada caso ela não tenha sido gravada de forma criptografada; • com o uso de técnicas de engenharia social, como forma a persuadi-lo a entregá-la voluntariamente; • pela observação da movimentação dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais. Cuidados a serem tomados ao usar suas contas e senhas: • certifique-se de não ser observado ao digitar as suas senhas; • não forneça as suas senhas para outra pessoa, em hipótese alguma; • certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de senhas. Use a opção de sair (logout), pois isto evita que suas informações sejam mantidas no navegador; • elabore boas senhas; • altere as suas senhas sempre que julgar necessário; • não use a mesma senha para todos os serviços que acessa; • ao usar perguntas de segurança para facilitar a recuperação de senhas, evite escolher questões cujas respostas possam ser facilmente adivinhadas; • certifique-se de utilizar serviços criptografados quando o acesso a um site envolver o fornecimento de senha; • procure manter sua privacidade, reduzindo a quantidade de informações que possam ser coletadas sobre você, pois elas podem ser usadas para adivinhar a sua senha, caso você e não tenha sido cuidadoso ao elaborá-la; • mantenha a segurança do seu computador; • seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprometidos. Procure, sempre que possível, utilizar opções de navegação anônima. 188 UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO Elaboração de senhas Uma senha boa, bem elaborada, e aquela que é difícil de ser descoberta (forte) e fácil de ser lembrada. Não convém que você é crie uma senha forte se, quando for usá-la não conseguir recordá-la. Também não convém em que você crie uma senha fácil de ser lembrada se ela puder ser facilmente descoberta por um atacante. Alguns elementos que você não deve usar na elaboração de suas senhas são: • Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usuário, números de documentos, placas de carros, números de telefones e datas. • Sequencias de teclado: evite senhas associadas a proximidade entre os caracteres no teclado, como “1qaz2wsx” e “QwerTAsdfG”, pois são bastante conhecidas e podem ser facilmente observadas ao serem digitadas. • Palavras que façam parte de listas: evite palavras presentes em listas publicamente conhecidas, como nomes de músicas, times de futebol, personagens de filmes, dicionários de diferentes idiomas etc. Existem programas que tentam descobrir senhas combinando e testando estas palavras e que, portanto, não devem ser usadas. Alguns elementos que você deve usar na elaboração de suas senhas são: • Números aleatórios: quanto mais ao acaso forem os números usados melhor, principalmente em sistemas que aceitem exclusivamente caracteres numéricos. • Grande quantidade de caracteres: quanto mais longa for a senha mais difícil será descobri-la. Apesar de senhas longas parecerem, a princípio, difíceis de serem digitadas, com o uso frequente elas acabam sendo digitadas facilmente. • Diferentes tipos de caracteres: quanto mais “bagunçada” for a senha mais difícil será descobri-la. Procure misturar caracteres, como números, sinais de pontuação e letras maiúsculas e minúsculas. O uso de sinais de pontuação pode dificultar bastante que a senha seja descoberta, sem necessariamente torná-la difícil de ser lembrada. Algumas dicas práticas que você pode usar na elaboração de boas senhas são: • Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda ou a última letra de cada palavra. Exemplo: com a frase “O Cravo brigou com a Rosa debaixo de uma sacada” você pode gerar a senha “?OCbcaRddus” (o sinal de interrogação foi colocado no início para acrescentar um símbolo a senha). • Utilize uma frase longa: escolha uma frase longa, que faça sentido para você, que seja fácil de ser memorizada e que, se possível, tenha diferentes tipos de caracteres. Evite citações comuns (como ditados populares) e frases que possam ser diretamente ligadas a você (como o refrão de sua música preferida). Exemplo: se quando criança você sonhava em ser astronauta, pode usar como senha “1 dia ainda verei os anéis de Saturno!!!”. TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 189 • Faça substituições de caracteres: invente um padrão de substituição baseado, por exemplo, na semelhança visual (“w” e “vv”) ou de fonética (“ca” e “k”) entre os caracteres. Crie o seu próprio padrão pois algumas trocas são bastante óbvias. Existem serviços que permitem que você teste a complexidade de uma senha e que, de acordo com critérios, podem classificá-la como sendo, por exemplo, “muito fraca”, “fraca”, “forte” ou “muito forte”. Ao usar estes serviços e importante ter em mente que, mesmo que uma senha tenha sido classificada como “muito forte”, pode ser que ela não seja uma boa senha caso contenha dados pessoais que não são de conhecimento do serviço, mas que podem ser de conhecimento de um atacante. Apenas você é capaz de definir se a senha elaborada é realmente boa! Alteração de senhas Você deve alterar a sua senha imediatamente sempre que desconfiar que ela pode ter sido descoberta ou que o computador no qual você a utilizou pode ter sido invadido ou infectado. Algumas situações nas
Mais conteúdos dessa disciplina
Tema 6 - Sistema de Gestão Ambiental (sga)_gabarito- Nuvem pós-pandemia
- (31)994408961- RESOLVIDA- Roteiro Aula Pratica Seguranca de Dados
- Nivelamento de Informática Prova
- Design Thinking e Criatividade
- PROVA - Tecnologias de Segurança edson
- Trabalho de extensão Trabalho de extensão
- AVA 2 - RELAÇÕES TRABALHISTAS E SISTEMAS DE INFORMAÇÃO EM RH
- Uma das classificações dos impactos ambientais os define como permanentes e temporários. Entre as alternativas, marque aquela que apresenta um impacto
- Em que tipo de criptografia é utilizada a mesma senha para encriptar e para desencriptar? Pergunta 13Selecione uma opção: a. Criptografia de senha pri
- o que causa estouro de buffer?
- A LGPD apresenta uma definição clara e específica de transferência internacional de dados pessoais, enquanto o GDPR não distingue entre transferênc...
- A regulação sobre transferências internacionais de dados é desnecessária, pois as legislações nacionais são suficientes para proteger os dados pess...
- Segundo a LGPD, a transferência internacional de dados pode ser realizada mesmo sem garantias adequadas de proteção se houver consentimento explíci...
- Normas de segurança eletronica não são necessarias para apdronizar praticas na proteção de pessoas e propriedades
- A educação digital não se limita ao uso de tecnologias para transmitir conhecimento; ela implica uma mudança de paradigma onde o estudante ocupa um...
- O acesso a cursos online de instituições renomadas e o uso de AVAs (Ambientes Virtuais de Aprendizagem) representam uma revolução no modo como o co...
- O pne é publicado em 2001 é um documento que traça metas e objetivos para a educação brasileira se quiser fazer uma pesquisa em educação sobre a hi...
- A tecnologia blockchain desempenha um papel fundamental na criação e no funcionamento dos NFTs (Tokens Não Fungíveis). Sobre esses conceitos, anali...
- L’etica dei dati comprende: Domanda 13Risposta a. le regole per la raccolta e classificazione dei dati personali degli utenti b. gli obblighi morali r
- 111. O failover é um processo manual onde o administrador do sistema precisa identificar a falha de um servidor primário e manualmente ativar o servid
- Prova Pref. JuazeiroBA - AOCP - 2016 - para Analista de Sistemas.pdf
- Prova IMBEL - FGV - 2021 - para Analista Especializado - Analista Administrativo.pdf
