Os ataques virtuais e as crescentes preocupações com cibersegurança trazem à tona temas como gestão de vulnerabilidades, segurança e proteção de dados e informações.
O número de ataques virtuais têm se ampliado a cada dia e, assim, proteger as organizações é tarefa essencial. Ataques cibernéticos contabilizam muitos prejuízos e já geram perdas de US$ 1 trilhão para as empresas no mundo.
Com diversas tarefas no ambiente de TI, os profissionais acabam deixando de fazer de forma correta a gestão de vulnerabilidade do ambiente.
O que você sabe sobre esse tipo de gestão e como você tem feito essa importante função em seu negócio? Confira o que reunimos sobre o tema e fique ainda mais por dentro sobre gestão de vulnerabilidades!
O que é gestão de vulnerabilidades?
Assumindo que é impossível ter um ambiente 100% seguro de ameaças, é mais do que necessário cuidar para que os riscos sejam controlados e mitigados, protegendo e dando segurança para o negócio como um todo.
Por isso, é tão importante realizar de forma preventiva, estando à frente dos problemas e fazer gestão de vulnerabilidades. Gestão de vulnerabilidades é o processo de identificação, análise, classificação e tratamento das vulnerabilidades.
Esse tratamento consiste na correção das fraquezas, aplicação de controles e minimização de impactos no ambiente. A gestão de vulnerabilidades é um processo contínuo e que precisa ser acompanhado de perto.
Com essa gestão, as avaliações são periodicamente repetidas e, dessa forma, é possível determinar quais mudanças ocorreram comparadas com a última avaliação realizada. Esse processo busca medir o progresso, ou a falta dele, e avalia os riscos aos quais a organização está submetida.
A gestão de vulnerabilidades tem funções de:
Detectar e corrigir falhas que podem acarretar em riscos de segurança, funcionalidade e desempenhos;
Alterar configurações de programas para deixá-los mais eficientes;
Implantar mecanismos de segurança e realizações
Focar na melhoria contínua dos sistema de segurança
É importante ressaltar que não se deve confundir a gestão de vulnerabilidades com scan ou análise de vulnerabilidades.
O scan trata-se do uso de ferramentas para a identificação das fraquezas e ajuda na gestão de vulnerabilidades. A análise de vulnerabilidades consiste em um ponto único de atividade que descobre falhas de segurança nos softwares ou hardwares.
Normalmente, essas análises são feitas de forma automatizada e coletam informações a partir de programas específicos para tal fim.
Em síntese, a análise de vulnerabilidade é parte da gestão de vulnerabilidades. Quando feitos apenas escaneamentos esporádicos, não se pode considerar que a empresa faz esse tipo de gestão.
O que são vulnerabilidades?
Para entender por completo sobre a gestão de vulnerabilidades, é preciso entender o que elas são.
De acordo com a ISO 27000, a portaria de Sistemas de Gestão de Segurança da Informação, as vulnerabilidades são “fraquezas de um ativo que poderia ser potencialmente explorado por uma ou mais ameaças”.
Essas fraquezas podem ocorrer durante a concepção, implementação, configuração ou operação de um ativo ou controle. Elas podem ser geradas nas empresas através de falhas humanas, parte tecnológica desatualizada ou de forma mal-intencionada.
Existem diversas fontes de vulnerabilidades que podem causar danos aos negócios, algumas das mais comuns são:
Físicas e naturais
Essas têm a ver com o ambiente em que a empresa está instalada. As vulnerabilidades físicas são sobre o perímetro da localização das empresas, instalações de prédio, controles e permissões de acesso no local, segurança no armazenamento de documentos, entre outros.
Quanto às vulnerabilidades naturais, são aqueles desastres como incêndios, alagamentos, quedas de energias, entre outros que, mesmo que não sejam totalmente controláveis, merecem planos de contingência.
Falhas humanas
Grande parte dos riscos dentro das empresas podem vir associados de falhas humanas, sejam em erros por desatenção, falta de conhecimento ou, até mesmo, atividades mal-intencionadas pelos colaboradores.
Além disso, os próprios usuários internos, por vezes, executam arquivos maliciosos que facilitam a invasão do sistema e a perda de dados e informações.
É necessário treinamentos de conscientização para os colaboradores, alinhamento dos procedimentos detalhando a execução das atividades e políticas de segurança e sanções disciplinares para o descumprimento das políticas de segurança.
Mídias digitais
As mídias digitais são outro tipo de vulnerabilidade, como pendrives, HDs externos, celulares, entre outros.
A utilização de dispositivos externos pode comprometer a confidencialidade, integridade e disponibilidade dos sistemas, resultando em problemas na segurança da informação.
Mais uma vez, a importância dos treinamentos e conscientização. Os colaboradores devem ser educados para não utilizar dispositivos de mídias não autorizados na corporação.
Softwares desatualizados ou licenciados por métodos não recomendados
O uso de softwares desatualizados é uma grande falha de segurança e expõe o negócio a vulnerabilidades desnecessárias.
Todos os sistemas e programas que rodam em sua empresa devem ser protegidos e atualizados.
Essa necessidade acontece graças à velocidade dos cibercriminosos, que encontram brechas nos programas.
Essas brechas são corrigidas e disponibilizadas por meio das atualizações. Por isso, é preciso estar sempre com a versão mais recente de todos os softwares utilizados.
Estrutura e configuração
Mesmo que os softwares da empresa estejam atualizados, e sejam bem operados, os problemas na infraestrutura de rede ou de hardware podem também trazer riscos e vulnerabilidades.
Ter servidores mal configurados, ausência de firewall, antivírus e backup, falta de profissionais adequados para gerenciar as estruturas de redes, ausência de controle de acessos dos usuários, pode dar brechas para vulnerabilidades e cibercrimes.
Quais são os benefícios da gestão de vulnerabilidades?
A gestão de vulnerabilidades agregam benefícios e valor para as empresas. Confira só para você ter ainda mais certeza que deve implantá-la:
Maior controle de segurança
A segurança, sem dúvida, é a grande vantagem desse tipo de gestão. Com sua implantação e execução contínua, problemas com spam, vírus, malwares e ransomwares tendem a reduzir, dando mais proteção e segurança organizacional.
Economia de tempo e dinheiro
Mapear, priorizar e ter definidas as vulnerabilidades geram economia de tempo e, consequentemente, dinheiro.
Ao saber quais são as fraquezas, e corrigi-las, diminuem-se as chances de ataques e crimes virtuais, que dão diversos prejuízos para as empresas, sejam financeiros ou na imagem da organização.
Competitividade no mercado
Empresas que oferecem garantias de segurança têm mais chances de adquirir e manter clientes, afinal, cada vez mais, a segurança tem sido um ponto decisivo na tomada de decisão das organizações.
Em muitas transações, as pessoas oferecem dados às empresas e saber que a organização é capaz de proteger a informação é muito relevante.
A proteção de dados do consumidor fica ainda mais latente com a LGPD — a Lei Geral de Proteção de Dados — que regulamenta o uso, proteção e tratamento de dados pessoais no país.
Como fazer gestão de vulnerabilidades? 8 passos para você!
Agora que você está por dentro do que são as vulnerabilidades, é preciso definir estratégias para que a sua gestão funcione corretamente. Para que essa tarefa seja mais fácil, separamos algumas dicas importantes. Confira!
1. Prepare o processo
Como citamos anteriormente, gestão de vulnerabilidades vai além de executar scanners de vulnerabilidades. Por isso, é preciso ter uma preparação e desenho do processo a ser executado.
Nesse momento, é interessante mapear todas as informações relevantes da empresa, como seus riscos, tamanho, infraestrutura, número de aplicações e dispositivos.
Também é importante mapear locais em que estão os dados dos clientes e funcionários e os cuidados que já são tomados com a segurança do negócio.
Nessa etapa, implemente um inventário de ativos, afinal, uma boa gestão de vulnerabilidades também depende do conhecimento de informações que a empresa tem, tais como fabricantes dos softwares, versões, local de instalação, responsáveis, entre outros.
2. Defina responsáveis
A gestão de vulnerabilidades é uma tarefa que precisa de profissionais capacitados, engajados e responsáveis pela segurança de dados da organização.
Essas tarefas não devem ser direcionadas exclusivamente para os integrantes dos times de suporte técnico, afinal, esses priorizam atendimentos e solução de problemas de seus clientes, deixando a segurança interna para depois.
Ter uma equipe de segurança interna, que faça gestão de vulnerabilidades pode ser interessante em caso de grandes empresas.
Para aqueles negócios menores, em que não faz sentido criar-se uma nova equipe, pode ser relevante considerar terceirizar alguns serviços de TI.
Se os responsáveis forem internos, é ideal que tenham fontes de referência, como sites de fabricantes, fóruns, grupos, notícias e qualquer informação que possa ser consultada sobre vulnerabilidade e suas correções.
3. Realize mapeamento dos riscos
Com processos preparados e responsáveis definidos para cuidar da gestão de vulnerabilidades, é hora de começar a mapear os riscos.
Todos os riscos — seja no mundo virtual ou não — devem ser levantados. É importante ter mais cuidado com softwares que tratam de dados sigilosos, como informações de pessoas e dados financeiros.
Sabendo o que faz parte dos dados sensíveis, deve-se fazer varreduras em busca de possíveis falhas de segurança e, para isso, é importante contar com programas especializados, como EcoTrust
A estratégia de detecção de vulnerabilidades depende do tamanho e da natureza dos ativos digitais. É possível escanear o ambiente completo a cada bimestre e os materiais de alto valor todos os dias, por exemplo.
É preciso entender o comportamento e materiais da empresa para tomar essas definições, porém, sem esquecer que gestão de vulnerabilidades é um trabalho contínuo.
4. Faça análise e priorização
Com os resultados do passo anterior em mãos, é preciso fazer a análise de dados para diversas tomadas de decisões.
Ao conhecer as vulnerabilidades da empresa, é preciso priorizar e definir quais riscos devem ser contidos primeiros.
É importante que essa etapa conte com ajuda de outras pessoas e setores da empresa, afinal, as ameaças fazem mal a muitas equipes e é preciso entendê-las e categorizá-las pensando no todo do negócio.
Nem todas as ameaças afetam diferentes locais do mesmo jeito, por isso, além de priorizar, entenda o que é mais crítico e leva mais riscos aos negócios.
5. Produza relatórios
Muitas empresas sofrem com a definição de métricas e com a disponibilização de informação para todos os componentes dos times. Sendo assim, é importante produzir relatórios.
Os relatórios mostram dados, dão visibilidade às ações e resultados e, ainda, podem ser utilizados de forma comparativa durante o tempo e como meio de consulta para ações estratégicas.
Os relatórios devem ter a participação do time de segurança, responsáveis pelos sistemas e todos aqueles que estão diretamente ligados com a vulnerabilidades encontradas.
Ao ter processos de gestão de vulnerabilidades registrados, é possível aprender com os incidentes, prevenir futuras ocorrências e estar preparado para outros impactos.
Mais do que registrar, faça sempre a análise dos dados e conduza avaliações periódicas para coletar feedbacks e implementar melhorias e correções.
6. Trate as vulnerabilidades
Muitas vulnerabilidades acontecem a todo tempo e, independente de sua urgência e priorização, é preciso tratá-las com procedimentos definidos e de forma estruturada.
Tenha um trabalho para ser seguido, e um tempo estimado de realização, para que nenhum outro setor seja prejudicado durante a resposta aos incidentes.
É claro que cada vulnerabilidade contará com uma ação, tempo e dificuldade, mas ter um processo minimamente definido, certamente, guiará e dará mais agilidade aos times e pessoas responsáveis.
7. Tenha métricas de sua gestão de vulnerabilidades
Após adotar um sistema de gestão de vulnerabilidades, os empreendedores, por vezes, se perguntam como medir a eficiência dessa atividade.
Como em qualquer área, essa é uma medição importante, afinal, evidencia o que tem sido feito, justifica investimentos e mostra o que precisa ser melhorado e alcançado.
O número mais básico que se deve ter, e é dado pelos programas utilizados, é sobre a quantidade de vulnerabilidades registradas nos períodos desejados e suas evoluções.
É interessante ter o indicador do tempo de detecção, ou seja, o tempo médio entre a publicação da vulnerabilidade e sua detecção e o tempo de mitigação, que mostra o tempo que se leva para uma vulnerabilidade ser corrigida.
O tempo de mitigação é uma métrica importantíssima, que mostra se a priorização tem dado certo, dá parâmetros sobre a agilidade do trabalho e mostra a efetividade dos programas, afinal, quanto maior tempo uma vulnerabilidade demorar para ser corrigida, mais riscos à segurança da empresa.
Outra métrica que pode ser utilizada é a baseline ou golden machine. Esse é um indicador que ajuda a destacar quais máquinas apresentam maiores riscos em comparação a outras.
Ou seja, um scan é executado na máquina, a golden machine, e essa terá as correções mais recentes aplicadas. Uma pontuação será determinada para essa máquina no seu total de vulnerabilidades, dessa forma, ela será um parâmetro.
As máquinas que tiverem desvios da pontuação de vulnerabilidades da golden machine, devem ser priorizadas pela equipe técnica.
8. Treine as equipes
Como citamos, ao listar quais são as vulnerabilidades existentes e possíveis de acontecer, muitas podem ocorrer por falhas humanas.
Por isso, é essencial que as equipes de trabalho e todos os colaboradores entendam a importância da segurança das informações e da boa gestão de vulnerabilidades.
É preciso que todos estejam engajados e cientes da importância desse cuidado. Por vezes, o descuido com o uso de ferramentas ou a falta de conhecimento de se perceber riscos pode ser porta de entrada para cibercriminosos.
Dê orientações aos colaboradores, tanto no uso de equipamento quanto no uso de softwares, realize treinamentos, conscientize sobre os perigos e prejuízos que as falhas de segurança e humana podem acarretar e faça que essa seja uma tarefa de cuidado conjunto.
É claro que nem todo colaborador será capaz de lidar com as falhas que encontrar, mas é preciso estar claro para todos a quem se deve recorrer em momentos como esse.
Mais do que conscientizar, é preciso também que a empresa tenha regras de conduta para lidar com sua segurança e vulnerabilidades.
Listamos aqui 8 etapas importantes que pode te ajudar em uma gestão de vulnerabilidades, mas não significa que depois de concluídas tudo está finalizado.
É sempre importante ressaltar que o trabalho de gestão de vulnerabilidades é contínuo, ou seja, o ciclo de identificação, correção, aplicação e análises para redução de riscos deve sempre recomeçar e nunca parar.
As vulnerabilidades e ameaças mudam a todo instante, por isso, esse é um trabalho relevante e que não pode ser negligenciado.
Logo, os softwares precisam sempre estar atualizados, novas pessoas precisam se envolver nos processos e cada nova solução atual de segurança pode — e deve — ser testada.
É interessante apostar em tecnologias como solução de gestão de vulnerabilidades, afinal, elas tornam os processos mais ágeis, automatizados e identificam ainda mais falhas do que apenas testes de segurança manuais.
E, mesmo que sua empresa utilize soluções em nuvem para armazenar dados e softwares, a gestão de vulnerabilidade deve seguir os passos com dedicação, pois as ameaças atingem programas locais e cloud.
Contar com a ajuda de consultorias também é interessante, pois reduz tempo demandado para atividades de gestão e dá ainda mais segurança por contar com profissionais focados e capacitados para essa tarefa.
Como você tem cuidado da sua gestão de vulnerabilidades? Essa tarefa já é realidade em seu negócio ou ainda não foi implantada?
Agora que você está mais por dentro da importância dessa gestão, e conhece alguns passos de como realizá-la, que tal começar a colocá-la em prática na sua empresa? E, se você já executa a gestão de vulnerabilidades, sempre é momento de aprimorar suas técnicas!
O Gerenciamento de riscos e vulnerabilidade de Ativos, é uma prática que toda empresa deve adotar, pois a empresa evita problemas que podem trazer impactos negativos para o negócio, comprometendo diretamente a sua produtividade.
Mas nem todo mundo conhece essa solução que veio para preencher uma importante lacuna de riscos cibernéticos dentro das organizações.
Se você é um deles, continue lendo!
O que é Gerenciamento de Riscos e Vulnerabilidades?
Também conhecido como Gerenciamento do Ciclo de Vida de Ativos, esta ferramenta tem como objetivo cuidar de todos os componentes tecnológicos da sua organização, sejam eles físicos ou virtuais. A solução, identifica, analisa e entrega de forma automatizada, informações precisas e atualizadas sobre o funcionamento desses ativos e suas vulnerabilidades, apontando medidas que precisam ser analisadas e corrigidas.
Com esta prática você também aumenta a segurança e conformidade da empresa em relação as suas obrigações com a LGPD.
Principais benefícios para o seu Negócio
Prevenção de ataques
Prevenção de Vazamento de dados
Gerenciamento contínuo de vulnerabilidades
Gerenciamento de riscos cibernéticos
Melhoria da Governança
Aumento do diferencial competitivo
Em um cenário de alta competitividade e de inúmeros incidentes, fraudes, vazamento de dados, a CITIS sempre preocupada com a Segurança da Informação, disponibiliza mais uma solução para melhorar os processos e aplicar metodologias para aumentar o nível de segurança do seu negócio!
O CITIS SOAR (Security Orchestration Automation and Response) atende diferentes segmentos e possibilita uma visão clara dos riscos, com possibilidade de intervenções estratégicas, indicando as ações necessárias para correções das vulnerabilidades.
Pesquisadores em segurança digital estão alertando para uma nova categoria de ataques contra servidores Linux, usando malwares de múltiplas capacidades que parecem ter empresas asiáticas como alvos iniciais. A praga RedXOR, como foi batizada, ainda estaria conectada a grupos com ligações ao governo chinês, o que indica que os principais focos de tentativas de comprometimento, também, devem estar no rol de interesses do país.
Os detalhes sobre a ameaça foram publicados pelos especialistas em segurança da Intezer, que já fizeram o upload de amostrar ao VirusTotal para que seja possível trabalhar em uma mitigação. A partir disso, pelo menos duas grandes companhias, do Taiwan e Indonésia, teriam localizado o malware em seus sistemas, com a divulgação mais ampla dos ataques servindo como alerta e, possivelmente, levando a mais descobertas desse tipo.
Segundo os pesquisadores, as amostrar do malware foram encontradas na plataforma de Linux corporativa da Red Hat e tem diferentes capacidades, controladas a partir de servidores sob o controle dos criminosos. À distância, eles seriam capazes de executar comandos e escalar privilégios no sistema, manipular arquivos, redirecionar tráfego e até aplicar atualizações comprometidas, enquanto a própria presença no sistema é ofuscada pela criação de pastas ocultas, scripts e instalação de binários.
O próprio uso de um servidor de comando e controle seria criptografado e protegido por senha, o que demonstra uma operação que não deseja ser descoberta. Uma vez que o malware está conectado e autenticado, porém, ele fica à disposição dos atacantes para a realização do que os especialistas acreditam serem ataques direcionados, com diferentes ações sendo executadas de acordo com as necessidades de explorações específicas.
Os analistas da Intezer fizeram a associação do RedXOR com a ofensiva bélica digital do governo chinês devido às similaridades entre o novo malware e outros que são de autoria do Winnti. O termo se refere a um conjunto de grupos de atacantes com conexões ao país, já tendo sido responsáveis por ataques à Microsoft, FireEye, Symantec e outras grandes companhias ocidentais. Os fins políticos, de espionagem e financiamento levaram a golpes que vêm acontecendo contra corporações desde, pelo menos, 2011.
Apesar de já terem identificado o malware, os especialistas ainda não conhecem exatamente o vetor inicial deste ataque, mas apostam em mecanismos comuns de golpes contra servidores Linux, como o uso de vulmerabilidades ainda não corrigidas, credenciais comprometidas que permitem acesso ao sistema ou erros de configuração. Segundo a Intezer, o malware também seria capaz de se movimentar lateralmente entre sistemas, o que aumenta a superfície de ataque dentro de uma própria corporação e pode permitir que a praga se espalhe além da contaminação inicial.
Aos administradores de rede, os especialistas sugerem atenção aos indicadores de comprometimento e, também, às pastas citadas, que ocultam os arquivos e sistemas do malware. Além disso, a Red Hat também publicou, a seus clientes, um guia com mais detalhes sobre o RedXOR e maneiras de localizar o malware ou evitar comprometimento por ele.
Além da exposição da privacidade de todos os brasileiros, vazamentos expõem importante lacuna na segurança digital de pessoas físicas e jurídicas
Dados de 220 milhões de brasileiros foram expostos na internet. Porém, o caso é ainda mais grave que isso. Na deep web estão à venda por bitcoins uma quantidade ainda maior de informações pessoais como foto, endereços, telefones, e-mails, salário, renda, entre outros. Ou seja, todas informações pessoais que brasileiros já forneceram para tomada de crédito ou aquisição de bens foram violadas e estão sendo comercializadas.
De acordo com o Fórum Econômico Mundial, o custo global das violações de dados até 2021 será de US$ 6 trilhões. Um estudo de referência conduzida pelo Instituto Ponemon, que se dedica à pesquisa e educação, principalmente na área de Tecnologia, concluiu que, em uma média global de seis anos, o custo de uma violação de dados é de US$ 3,78 milhões em 2020. No entanto, as consequências financeiras dessa violação podem variar com base em diversos fatores, incluindo causas principais, tamanho da rede e o tipo de dados mantidos por uma organização.
Além da óbvia exposição da privacidade de todos brasileiros, que pode gerar até mesmo consequências diretas na segurança física das famílias, há também uma importante lacuna na segurança digital. Por isso, é importante que desde já pessoas físicas e jurídicas tomem algumas ações para evitar um mal ainda maior.
Atenção para as senhas
Pelo lado dos consumidores, recomendo uma ação imediata: revisem suas senhas. É sabido que devido a quantidade enorme de senhas exigidas no dia-a-dia de cada brasileiro há uma tendência de registrar senhas com informações fáceis de lembrar. Assim, é comum usarmos data de nascimento própria, dos filhos, do cônjuge, nomes desse familiares entre outras informações pessoais.
Quando há exigência de caracteres especiais na senha, é também comum escrever nome de familiares e trocar a letra “a” por “@”, letra “e” por “&” e assim por diante. Com esta base de dados nas mãos será muito simples para robôs cruzarem informações sobre toda estrutura familiar com nome e dados de todos indivíduos. O passo seguinte será a construção de ataques para descobrir senhas, e utilizar esses padrões citados será um método amplamente tentado. Portando, todos que possuem senhas que há padrões como esse devem imediatamente trocá-las para um formato de caracteres totalmente aleatórios e que não possuam uma única para todos acessos.
Rever processos de verificação de cadastro
As empresas devem realizar uma revisão nos procedimentos de validação e revisão de segurança de seus clientes. Em atendimentos telefônicos, por exemplo, antes de dar informações adicionais ou executar ação solicitada por seu cliente, os atendentes informam que necessitam verificar alguns dados. Neste procedimento perguntam, telefone, e-mail ou quaisquer outras informações que agora estão na internet a ‘alguns bitcoins’ de distância. Portanto, está claro: estas empresas são alvos fáceis para golpistas munidos de informações vazadas.
Verificar dados de cadastro não é mais seguro para as empresas validarem a identidade de seus consumidores. Métodos mais sofisticados devem ser empregados com reconhecimento de origem da solicitação, como local de contato, origem de IP, análise de comportamento, entre outros métodos que possam identificar um cliente com um comportamento diferente de seu padrão, detectando tentativas de fraudes. Para dados mais sensíveis ou transações mais complexas, é impreterível que as empresas adotem duplo fator de autenticação para seus clientes, com validação de acesso via token, SMS ou outra tecnologia.
Neste artigo procurarei mostrar que, ao contrário do que muitas pessoas pensam, é possível fazer uma boa campanha de conscientização sobre temas referentes a segurança da informação, ou quaisquer outros, sem precisar investir rios de dinheiro para isso.
Para que isso se torne mais fácil, é interessante separar a atividade de conscientização em alguns pontos que considero como fundamentais:
Definição de tema
Teste inicial
Campanha de conscientização
Teste de validação
Acompanhamento
Observação: O foco que darei às recomendações visa auxiliar pequenas e médias empresas com a tarefa de conscientização feita com o menor custo possível. Ainda assim, caso possua ou trabalhe em uma empresa de porte maior, é possível adaptar estas mesmas recomendações para que estejam condizentes com o padrão de investimentos que podem ser empregados para esse tipo de atividade.
Definição de tema
Como normalmente as campanhas de conscientização são conduzidas por profissionais de segurança, sejam eles internos ou terceirizados, é muito importante se ater a escolha do tema, e que preferencialmente cada campanha aborde apenas um tema. Para quem atua com tecnologia no cotidiano, é mais simples lidar com diversos temas de segurança de uma vez, mas para quem atua em outras áreas, as informações e conceitos podem se misturar durante o aprendizado, então o mais adequado é sempre focar em um tema de cada vez.
Certo, está decidido que será um tema por vez, mas qual?
Caso ainda não tenha alguma ideia de tema que se adeque ao seu ambiente, separei alguns que são frequentemente utilizados em campanhas de conscientização e os apresentarei seguidos de sugestões de abordagem, para que o desenvolvimento do assunto fique ainda mais completo.
Phishing: Formas de identificação da ameaça, perigos atrelados, evitar propagação, informações alarmantes para atrair a atenção das vítimas.
Senhas: Camadas de proteção, para que servem as senhas, como protegê-las, tamanho e complexidade, expiração.
LGPD: Importância da lei, riscos, multas, processos, adequação interna, atendimento de demandas de titulares, DPO/encarregado, resposta a solicitações da Autoridade Nacional de Proteção de Dados (ANPD).
Segurança lógica: A importância da proteção lógica, softwares de proteção, necessidade de update e reboot, validação da necessidade de uso de softwares.
Existem muitos outros temas, a imagem acima mostra ramificações importantes de segurança da informação que podem ser usadas em campanhas. Vale lembrar que a imagem aborda temas mais específicos de segurança da informação. Como o público alvo da conscientização costuma ser todos os funcionários da empresa, é interessante adaptar a linguagem das informações passadas para que haja um melhor aproveitamento.
Teste inicial
É uma boa prática medir a qualidade do conhecimento em segurança antes da conscientização acontecer. Isso permitirá conhecer o grau de maturidade e é uma excelente forma de se medir o aproveitamento pós-campanha. Idealmente, o teste inicial pode ter conteúdo similar ao teste de validação, mas não idêntico.
Existem muitas formas de aplicar esse teste e acredito que a menos custosa seja os formulários web, como o Google Forms. Nele é possível desenvolver um questionário com perguntas pertinentes ao tema que será abordado. Com os resultados, a empresa poderá identificar a maturidade de conhecimento que os usuários da rede têm sobre determinado tema e focar a campanha nos tópicos que identificaram como sendo os mais deficientes.
Campanha de conscientização
Agora é a hora de passar para a campanha propriamente dita, que nada mais é do que fornecer aos funcionários informações de qualidade que sejam pertinentes ao tema definido.
É interessante que as informações sejam tão completas quanto possível e que abordem os pontos que desejam ser fortalecidos, segundo os resultados do teste inicial.
Como essas informações normalmente são mais extensas do que é recomendado colocar no conteúdo de um e-mail, normalmente as empresas fazem um treinamento para seus funcionários para atender a essa necessidade. Uma das formas mais simples de se fazer isso é o bom e velho PowerPoint. Elaborado com pontos de destaques e apresentado por quem domine o assunto, essa estratégia costuma trazer excelentes resultados.
Caso haja uma quantidade maior de recursos disponíveis para investimento, a elaboração de um treinamento virtual pode ser uma boa opção, assim todos os colaboradores, sejam eles recém chegados a empresa ou não, poderão realizá-lo no momento que for mais oportuno.
Dica: Mesmo que sejam assuntos complexos a serem abordados na conscientização, opte por falar dos principais pontos sem tornar o treinamento muito extenso. A curva de aproveitamento pode não ser a melhor quando o assunto se estende por um longo período.
Teste de validação
Essa parte é essencial para saber se o conteúdo foi assimilado adequadamente. Funciona de forma muito similar ao Teste Inicial, e pode utilizar as mesmas plataformas para ser aplicado. Lembrando que se for possível, procure utilizar perguntas diferentes para abordar o tema neste segundo teste.
Gostaria de dividir algo com vocês sobre a experiência que tive em lugares em que já trabalhei. Percebi que a maioria dos usuários foca melhor e assimila mais conteúdo quando sabem que serão avaliados posteriormente. Sendo assim, antes de iniciar a campanha de conscientização, é interessante informar aos participantes que haverá uma avaliação posterior e encorajá-los a fazer anotações sobre pontos que considerarem importantes da explicação.
Acompanhamento
Após todos os processos anteriores, é interessante manter as informações vivas na memória dos usuários, ou ela eventualmente se perderá com o tempo. Existem diversas formas de se fazer isso e mesmo as mais simples costumam trazer bons resultados. Algumas delas são:
Quadro de avisos: Eu não conheci até hoje uma empresa que não tivesse um quadro de avisos, mesmo empresas bem pequenas com poucos funcionários dispõe de uma área para avisos gerais. É possível usar essa área para colocar dicas curtas de segurança relacionadas ao tema abordado na conscientização.
E-mails periódicos: Avisar aos usuários que, em determinado dia da semana ou do mês, eles receberão um e-mail contendo dicas de segurança os farão esperar por esse tipo de informação. Nestes e-mails também é possível veicular informações que reforcem os conteúdos aprendidos durante a conscientização e, por serem e-mails, aceitam um conteúdo um pouco mais rico em detalhes que o quadro de avisos.
Avisos no elevador: Seja em espaços similares aos quadros de aviso ou em televisores que veiculam conteúdo, é possível utilizar este espaço para reforçar as dicas de segurança. Dependendo de qual sistema for utilizado para transmitir conteúdos nos televisores, é menos custoso/trabalhoso usar a área similar ao quadro de avisos, com conteúdo similar.
Reuniões: Nem sempre é necessário utilizar uma reunião completa para fazer um acompanhamento do tema de conscientização, muitas vezes separar alguns minutos para trazer dicas e reforçar conceitos já traz excelentes resultados. Um tom de bate papo costuma se adequar bem a esta última opção, sem a necessidade de apresentar slides ou mídias similares, no entanto se a necessidade de um reforço mais for identificada, estes recursos também podem ser de grande valia.
O importante é que estímulos periódicos sejam dados para que a informação não caia no esquecimento.
Espero que esta publicação tenha ajudado, caso esteja em busca de ideias e formas de executar campanhas de conscientização.
A Agenda Regulatória é um instrumento de planejamento que agrega as ações regulatórias consideradas prioritárias e que serão objeto de estudo ou tratamento pela Autoridade durante sua vigência – Foto: Banco de Imagens
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 28 de janeiro, a Portaria nº 11 de 2021, que torna pública a agenda regulatória aprovada pelo Conselho Diretor em sua primeira reunião Deliberativa do dia 20 de janeiro de 2021. A publicação da Portaria se insere nas atividades da Autoridade no âmbito da semana internacional de proteção de dados e privacidade.
A agenda, que vale para os dois próximos anos, elenca 10 temas prioritários para esse período de vigência, estabelecendo se serão regulados por portaria, resolução ou eventual orientação por guia de boas práticas. O anexo apresenta, ainda, o prazo previsto para o início do processo de regulamentação dos temas, dividindo o lapso temporal em três fases distintas.
Para o Diretor-Presidente da ANPD, Waldemar Gonçalves, a “publicação da agenda regulatória na semana da proteção de dados é um marco, além de propiciar a previsibilidade para sociedade quanto às ações da Autoridade, além de facilitar o planejamento interno da ANPD. A expectativa é que os prazos para o início dos procedimentos de regulamentação sigam o previsto no anexo da portaria.”
Os interessados nos temas da Agenda Regulatória da ANPD poderão conferir, em breve, a evolução dos 10 temas elencados no documento atual, em especial os que estão previstos para fase 1, cujo início do processo de regulamentação está previsto para o primeiro semestre de 2021. Dentre esses itens, destacam-se o regimento interno da ANPD, o regime de proteção de dados para pequenas e médias empresas, o estabelecimento de normativos para aplicação do art. 52 e seguintes da Lei Geral de Proteção de Dados Pessoais, dentre outros temas. Nesse sentido, a expectativa é que em breve seja publicada a primeira tomada de subsídios pela ANPD, bem como o primeiro planejamento estratégico.
Após o megavazamento que expôs dados de 223 milhões de brasileiros, como nome, CPF, salário, foto, nível de escolaridade, estado civil, pontuação de crédito, endereço, entre outras informações, muitos usuários passaram a buscar formas de saber se suas informações também foram vazadas. Neste contexto, ainda em janeiro deste ano, o desenvolvedor Alla Fernando criou o site Fui Vazado com o intuito de verificar quais dados foram afetados no vazamento que ocorreu no último mês.
Para ter acesso às informações, a página Fui Vazado solicita o número de CPF e a data de nascimento dos usuários para cruzar com as dezenas de informações que constam nos bancos de dados gratuitos que estavam disponíveis na Internet nas últimas semanas. Após a confirmação do usuário, o site lista quais dados foram expostos ou não no último incidente.
O problema é que, nos últimos dias, o site sofreu questionamentos sobre possíveis brechas de segurança que supostamente podem comprometer a segurança dos dados informados pelos usuários. Segundo notícia publicada pelo Tilt (UOL), mesmo após o criador do site ter aberto o código-fonte da página publicamente no GitHub, profissionais de segurança destacaram que ainda existem vulnerabilidades que podem ser exploradas por criminosos.
Entre as brechas de segurança destacadas pelos especialistas está a permissão de copiar os dados pessoais de quem verifica se foi vítima do vazamento. Além disso, ainda segundo o Tilt (UOL), outra possível vulnerabilidade é redirecionar o carregamento da página para um site falso criado por algum criminoso com o intuito de obter mais dados sobre os usuários. No entanto, eles também destacam que até o momento não existe qualquer incidente que envolva o site Fui Vazado.
Meus dados foram vazados. E agora?
Apesar do Fui vazado informar alguns dos dados expostos pelo megavazamento, o Security Researcher da ESET, Daniel Barbosa, destaca que é fundamental estar atento a possíveis tentativas de golpes. “Com essa base de dados vazada gratuitamente é importante que todos fiquem ainda mais atentos a ligações, e-mails ou qualquer outro tipo de contato de alguma suposta empresa. Há grandes chances de os criminosos já terem todos os dados pessoais em mãos, fornecerem um pedaço deles à vítima (como por exemplo os primeiros dígitos do seu CPF) para obter algum tipo de credibilidade em golpes, como através de campanhas de phishing ou até mesmo ligações telefônicas. Isso permitirá que eles evoluam a abordagem para um fim malicioso sem que as vítimas desconfiem”, explica.
Barbosa também destaca que é imprescindível que todos os contatos com empresas sejam feitos de forma ativa. “Quando você tiver a intenção de contactá-las, o ideal é entrar em contato por telefone ou e-mail, recuse contatos que venham até você”.
Hoje gostaríamos de te apresentar os benefícios que transformam o Microsoft Defender um serviço de proteção valioso para a segurança do trabalho remoto e uma solução completa.
O Microsoft 365 Defender é o componente de proteção de próxima geração do Microsoft Defender para Endpoint. Ele oferece proteção abrangente, contínua e em tempo real contra ameaças de software, como vírus, malware e spyware em emails, aplicativos, na nuvem e na Web.
Proteção sem custo extra
Não é necessário baixar nada. O Microsoft Defender é padrão no Windows 10, protegendo seus dados e dispositivos em tempo real com um conjunto completo de proteções avançadas de segurança.
Arquivos seguros e acessíveis nos dispositivos
Salve seus arquivos no OneDrive para mantê-los protegidos, com backup e acessíveis por todos os dispositivos, de qualquer lugar.
Gerenciamento de privacidade
Defina sua localização, câmera e opções de utilização de dados no painel de configurações de conta de fácil acesso.
Limitação de acesso online
Com o Windows 10, programe o tempo de permanência no computador, limite o acesso a conteúdo adulto e restrinja as compras online, incluindo aplicativos, jogos e filmes.
O Microsoft Windows oferece proteção integrada abrangente, reúne todas as ferramentas necessárias para a aumentar a produtividade e eliminar os riscos de segurança.
Proteja o seu ambiente de trabalho remoto e elimine os riscos de segurança. A Microsoft possui soluções de trabalho remoto que podem ajudar empresas, instituições e funcionários a prosperarem enquanto descobrem o novo normal.
Wilson Junior
Gestor de Contas (31) 99379-4411 (whatsApp)
comercial@citis.com.br
Proteja o seu trabalho remoto com o Microsoft Defender
Olá, tudo bem?
É indiscutível a forma como a pandemia COVID-19 mudou não só a forma como nos comunicamos e interagimos com nossos amigos e entes queridos, mas também a maneira como passamos a utilizar o meio digital para trabalhar.
Uma coisa podemos afirmar – o trabalho tradicional nunca mais será o mesmo. A adaptação a uma nova realidade de trabalho tem seus desafios.
O Microsoft Windows oferece proteção integrada abrangente, reúne todas as ferramentas necessárias para a aumentar a produtividade e eliminar os riscos de segurança. No Windows 10, o aplicativo do Microsoft Defender faz parte da segurança padrão do Windows, sem custos extras.
O Microsoft Defender é o componente de proteção de próxima geração do Microsoft Defender para Endpoint. Ele oferece proteção abrangente, contínua e em tempo real contra ameaças de software, como vírus, malware e spyware em emails, aplicativos, na nuvem e na Web.
Proteja o seu ambiente de trabalho remoto e elimine os riscos de segurança. A Microsoft possui soluções de trabalho remoto que podem ajudar empresas, instituições e funcionários a prosperarem enquanto descobrem o novo normal.
