Um estudo recente da Kaspersky trouxe algumas estatísticas que mostram como as pequenas e médias empresas estão vulneráveis no cenário de trabalho remoto imposto pela pandemia do novo Coronavírus. O estudo entrevistou 6 mil pessoas em 12 países, incluindo o Brasil.
Veja algumas estatísticas apontadas pela Kaspersky sobre o cenário das pequenas empresas brasileiras:
58% dos funcionários estão usando seus computadores pessoais, pois não receberam equipamentos corporativos para o trabalho em casa;
Apenas 44% dos funcionários receberam instruções de segurança para trabalhar de casa;
50% dos funcionários começaram a armazenar informações corporativas em seus dispositivos domésticos;
44% dos funcionários começaram a armazenar informações corporativas em serviços de armazenamento em nuvem pessoal
O estudo também traz vários números globais que são bem interessantes:
46% dos entrevistados nunca tinham trabalhado de casa antes da pandemia;
32% dos funcionários dizem estão trabalhando em condições menos confortáveis do que no ambiente de escritório;
55% dos entrevistados receberam dispositivos específicos para trabalhar em casa, como computadores e celulares;
73% ainda estão usando os mesmos dispositivos com os quais trabalhavam no escritório;
52% dos entrevistados têm o parceiro trabalhando em casa, sendo que apenas 11% moram sozinhos;
26% dos pesquisados não têm salas separadas para familiares que precisam trabalhar em casa;
84% afirmam permitir que outras pessoas em sua casa acessem seu computador pessoal usado para o trabalho;
50% das empresas que permitem que os funcionários realizem trabalhos a partir de dispositivos pessoais, não possuem políticas para regulamentar como elas são usadas;
73% dos trabalhadores afirmam não ter recebido nenhum treinamento adicional de conscientização de segurança depois que passaram a trabalhar em casa;
53% dos trabalhadores estão usando VPN para acessar a rede de seus empregadores;
42% dos trabalhadores estão usando contas de e-mail pessoais para trabalhar;
53% dos entrevistados estão usando serviços pessoais de compartilhamento de arquivos.
A Kaspersky traz também alguns conselhos para proteger os funcionários trabalhando em home office:
Se possível, utilize apenas os equipamentos fornecidos pelo empregador;
Os dispositivos pessoais dos funcionários devem possuir ferramentas de segurança, atualizados;
Use senha em todos os dispositivos, incluindo celulares e redes sem fio. Altere as senhas de fábrica;
Use um gerenciador de senhas para criar e gerenciar senhas fortes;
As redes domésticas devem ser criptografadas, com o roteador configurado para usar o padrão WPA2;
O uso de uma VPN é fortemente recomendado, e deve ser obrigatório quando estiver conectado a uma rede wifi desconhecida;
Mantenha cópias de segurança (backups) de todos os dados corporativos;
Compartilhe com os funcionários uma lista de serviços online confiáveis para armazenar e transferir dados corporativos;
Realize treinamentos de conscientização de segurança para todos os funcionários
Os funcionários devem ser informados sobre quem contatar caso tenham algum problema de segurança.
A palestra "Vivemos na era da pós-verdade?", do TEDx da UFPR em Outubro de 2019, foi apresentada pelos fundadores e apresentadores do canal Meteoro Brasil, que fala desde cultura pop até ciência e filosofia. Os palestrantes, identificados como "Cara Mais Simples e Mulher Mais Sábia", discutem de forma criativa sobre a importância de tratarmos fontes numerosas e variadas de informação, e como diferenciar o que é verdade.
O tema da palestra, "pós-verdade", é um substantivo que "denota circunstâncias nas quais fatos objetivos têm menos influência em moldar a opinião pública do que apelos à emoção e a crenças pessoais". Ou seja, e o cenário que vemos diariamente nas redes sociais, aonde palpites e opiniões são mais valorizados do que fatos científicos e estudos estatísticos.
Esse fenômeno, recente, é alimentado pelo chamado "efeito bolha", muito explorado nas redes sociais: os algoritmos de compartilhamento de informação valorizam, para cada pessoa, o conjunto de posts e notícias que estejam em acordo com suas opiniões. Isso reforça as crenças de cada pessoa e desencoraja a discussão e análise dos fatos. Nas redes sociais, quanto mais simples, polêmico e/ou em acordo com a opinião de uma determinada pessoa, maior a chance da informação ser compartilhada e, portanto, maior a chance dela "viralizar".
Um conceito muito interessante que eles expõe é da "Esfera pública de comunicação", aquele pequeno conjunto de assuntos que podem ser discutidas simultaneamente pela sociedade. Como esse é um espaço limitado, um pequeno conjunto de Assunto que conseguimos discutir ao mesmo tempo, acaba surgindo uma priorização das mensagens que conseguem ganhar essa competição pelo interesse público. A visibilidade que os meios de comunicação de massa dão para um determinado tema dependem da capacidade desse tema de gerar debate, de causar "ressonância". O mais interessante é que essa atenção toda é fruto da legitimidade da notícia. MAs a legitimidade não quer dizer que a notícia seja verdadeira - mas sim, se a pessoa que a lê a considera válida ou não. Ou seja, a veracidade não depende da ciência nem da realidade! Por causa desse fenômeno, hoje em dia vemos a mentira ganhar cada vez mais espaço!
A "Engenharia Social" é um dos ataques mais antigos, mais comuns e eficientes entre os fraudadores e criminosos em todo o mundo. Esse é o nome dado a vários tipos de ataques, fraudes e golpes em que uma pessoa mal intencionada se aproxima de uma vítima de forma a enganar de manipular seus sentimentos e emoções (como medo, ansiedade, empatia, etc.) com o objetivo de moldar o seu comportamento e forçá-la a fazer algo de interesse do criminoso. Ela representa a arte de trapacear, enganar ou ganhar a confiança das pessoas.
No jargão popular, esse é o famoso "171", uma alusão ao artigo de mesmo número no Código Penal Brasileiro, que define o crime de estelionato ("Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento").
Embora seja uma técnica antiga e muito comum entre fraudadores e criminosos tradicionais, na comunidade de segurança da informação esse tipo de ataque ficou muito popular graças as ações do hacker Kevin Mitnick nos anos 90, que escreveu alguns livros excelentes sobre o assunto.
O principal objetivo dos ataques de engenharia social é subverter o fator humano da segurança, através de técnicas de manipulação com o uso de fatores psicológicos e comportamentais. Assim, o criminoso consegue explorar as pessoas para viabilizar golpes contra indivíduos e empresas.
Várias fraudes que nós já conhecemos no nosso dia-a-dia são casos típicos de engenharia social. Por exemplo:
Golpe do falso sequestro: um criminoso liga para um número aleatório e, quando a pessoa atende, ele fala que sequestrou o filho da pessoa do outro lado. Ao fundo, você pode ouvir muito barulho, gritos e o choro da possível vítima. Assustada, a vítima começa a conversar com o criminoso, acaba inclusive dando o nome do possível parente sequestrado ("Você sequestrou o Joãozinho? Ele está bem?"). Isso tudo para exigir o pagamento de um resgate - de alguém que nunca foi sequestrado e provavelmente está bem e seguro em casa, assistindo novela.
Roubo de conta do Whatsapp: O criminoso liga para a vítima, dizendo ser de alguma empresa (ex: OLX, Mercado Livre) e diz que vai mandar um código de segurança para aprovar o anúncio, que na verdade é o código de segurança do WhatsApp. Se a vítima for convencida, o criminoso usa esse código para roubar a conta do Whstaspp e começa a pedir dinheiro emprestado para seus amigos e parentes (outro golpe de engenharia social na sequência!)
Golpe do falso atendente do banco: O criminoso liga para o correntista, dizendo ser do banco em que tem conta, e avisa que o cliente foi vítima de uma fraude (que não é verdade). Para estornar a suposta transação fraudulenta, o falso atendente precisa que o cliente forneça a sua senha.
O falso atendente nas redes sociais: Parecido com o exemplo anterior, nesse caso os criminosos criam perfis falsos em nome do banco ou da instituição, ou dizendo ser do time de suporte. Através das redes sociais, entram em contato com clientes e fazem se passar por atendentes do banco para conseguir descobrir a senha da conta da vítima.
A ligação do diretor: o criminoso liga para o suporte técnico da empresa, fala que é o diretor e que está em uma reunião importante, mas sua senha na rede não está funcionando. Assim, o criminoso convence o funcionário a trocar a senha do diretor por uma senha conhecida pelo criminoso. Assim, ele conseguirá invadir a rede da empresa.
Phishing: Os criminosos mandam mensagens por e-mail, SMS e redes sociais com alguma mensagem para que a vítima clique em um link malicioso. Pode ser uma mensagem compartilhando as fotos da festa da turma, ou com um pedido para você atualizar o token de segurança do seu banco, etc.
Normalmente o foco dos engenheiros sociais é atuar em pessoas físicas para realizar roubo de dados pessoais e bancários, fraudes financeiras e golpes, enquanto no lado empresarial eles buscam o vazamento de informações e fraudes financeiras. No mundo corporativo, qualquer funcionário pode ser alvo de um ataque de engenharia social a qualquer momento, independentemente do cargo que ocupa dentro da empresa.
O "engenheiro social" geralmente é uma pessoa com habilidades de comunicação, bom papo e empatia, e bom domínio das técnicas de persuasão. Normalmente a vítima nem percebe que foi enganada.
Muitos criminosos são especializados nessa arte de convencer e enganar as suas vítimas, e existem várias técnicas para manipulá-las. Veja, por exemplo, a lista abaixo com os ataques de engenharia social mais comuns:
"Pretexting" (personificação): O fraudador se passa por pessoas ou empresas de confiança da vítima, para esconder o verdadeiro propósito ou lógica por trás de suas ações. Esse ataque é muito usado pois, quando a vítima, acredita que está em contato com alguém de confiança, ela fornece mais facilmente os dados para o engenheiro social, sem perceber que se trata de um golpe;
Intimidação: O criminoso se faz passar por uma figura de autoridade para coagir suas vítimas;
Empatia: Ao contrário da intimidação, muitas vezes o fraudador pode ganhar a confiança da vítima tentando se aproximar dela de forma amigável, apelando ara o lado sentimental, elogiando para fomentar o ego da vítima, ou oferecendo ajuda para ganhar sua confiança;
"Baiting" (ou isca): Usado para seduzir a vitima com promessas de oferecer algo de valor, ou oferecendo um presente para conquistar a sua confiança. O criminoso pode, também, deixar em um local do escritório um pen-drive (ou um brinde com interface USB) com um malware pré-implantado, com objetivo de infectar o computador da vítima;
"Quid Pro Quo": Prometendo algo à vitima em troca de sua ajuda. É o "toma lá, dá cá";
"Blackmailing" (ou chantagem): O criminoso pede algo e ameaça revelar alguma coisa que a vítima deseja manter em segredo, ou que causaria dano a ela;
"Shoulder surfing": Aproveitando a distração, o criminoso olha o que a vítima faz no computador, "por cima dos ombros", como acessar informações ou enquanto digita uma senha;
"Dumpster diving": O invasor meche no lixo da sua empresa, buscando informações que podem ter sido descartadas, como documentos, anotações em papel ou post-its, etc;
"Tailgating": Técnica de conseguir acesso físico ao escritório da empresa, quando indivíduos não autorizados seguem algum funcionário e "pega carona" no seu acesso, como quando a pessoa segura a porta para a suposta colega de trabalho;
Roubo de identidade: Nesse processo, após roubar as informações pessoais da vítima, em seguida o engenheiro social utiliza essas informações para fazer se passar por outra pessoa e cometer fraudes e atos ilícitos;
Phishing: Um exemplo clássico de engenharia social por meios tecnológicos. Um cibercriminoso cria uma mensagem (e-mail, SMS ou redes sociais) com conteúdo atrativo para a vítima, que acredita estar diante de um e-mail legítimo e, assim, clica no link malicioso ou baixa o arquivo anexo a mensagem;
Vishing: É o nome dado ao ataque de "phishing" realizado por ligação telefônica. O criminoso liga para a vítima se fazendo passar pela central de atendimento do banco, da empresa de telefonia ou qualquer outra empresa já utilizada pela vítima, com objetivo de enganá-la e aplicar golpes. É o caso do golpe da "falsa central de atendimento". Golpes mais sofisticados incluem o uso de ferramentas que simulam o atendimento automatizado de centrais telefônicas, com mensagens pré-gravadas e opção do cliente fornecer a sua senha digitando no teclado do telefone;
Spoofing: quando o criminoso consegue esconder a real origem de seu acesso, seja mascarando o seu endereço IP ou trocando a identificação de seu número telefônico em uma chamada ou mensagem de SMS.
Os engenheiros sociais tentam explorar os sentimentos e as emoções da vítima para forçar que ela se distraia e seja convencida a ajudar o criminoso. Alguns exemplos de emoções que podem ser exploradas inclui o ego, a empatia, a curiosidade, preguiça, medo, ansiedade, a intimidação ou a boa intenção de ajudar o próximo.
Alguns fatores psicológicos favorecem o criminoso especializado em engenharia social, tais como:
Falta de atenção
Medo de punição ou dano
Sentimento de empatia com o criminoso
Vontade de ajudar ao próximo
Possibilidade ganhos
Para evitar os golpes de engenharia social, as empresas devem ter uma política de segurança adequada e treinamentos constantes, educando seus usuários sobre alguns cuidados básicos a serem tomados, tais como:
Sempre desconfie e seja vigilante;
Sempre siga os processos existentes, mesmo que pareçam burocráticos;
Verifique a identidade da pessoa, se ela é quem ela reivindica ser, se é um funcionário atual e se a pessoa está autorizada a fazer uma solicitação;
Desconfie quando seu interlocutor te pede muitas informações;
Não compartilhe informações pessoais e corporativas com outras pessoas e tenha cuidado dobrado quando pedirem informações confidenciais;
Mantenha sempre a calma e evite distrações;
Resista a pressão (por exemplo, "a sua conte será encerrada" ou "vou avisar o seu chefe que você não colaborou");
Questione as solicitações que receber, independente do cargo, importância ou urgência que a outra pessoa alega ter;
Não dê acesso ao escritório para pessoas não identificadas, e denuncie quando encontrar alguém estranho no ambiente;
Mantenha documentos em gavetas e armários trancados, além de exercer uma política de "mesa limpa";
Sempre tenha cuidado com o manuseio e o descarte de documentos, e nunca deixe expostos documentos com informações confidenciais;.
Quando não estiver usando, minimize as janelas dos aplicativos e browsers em seu computador., para que não vejam as suas telas;
Ao sair da mesa, sempre bloqueie o acesso ao equipamento.
Para saber mais:
Assista o excelente filme "Prenda-me se for capaz", de 2002, que conta a história do fraudador americano Frank Abagnale Jr., que praticou diversos golpes nos anos 60, incluindo fraudes contra a companhia aérea Pan Am, aonde fingiu ser piloto e fraudava cheques para receber salário da empresa. Os gifs animados desse post foram tirados desse filme;
Juro que a data quase passou desapercebida! Mas há 15 anos atrás, mais precisamente em 08 de junho de 2005, eu escrevia o primeiro artigo desse blog!
Após 15 anos e mais de 1.700 artigos publicados, esse blog continua sendo um hobby para mim, uma forma que eu encontrei para compartilhar livremente o conhecimento e minhas opiniões sobre segurança, tecnologia, o universo e tudo mais.
Embora eu tenha a sensação de que hoje em dia os blogs estão fora de moda, eu continuo aqui firme e forte, tentando manter uma frequência de publicação de artigos. A minha meta, que tento seguir há alguns anos, é de ter uma média de 10 artigos publicados por mês (alguns mais curtos, outros mais longos). E assunto não falta: atualmente tenho 90 artigos como "rascunho", que comecei a escrever e ainda não terminei.
Hoje saiu uma notícia de que o Ministério Público do Rio Grande do Sul (MP-RS) está investigando um esquema de fraude suspeito de conseguir desviar R$ 30 milhões da Gerdau e 5 milhões de outra empresa, de seus recursos na Bolsa de Valores. Essas fraudes foram possíveis pois o grupo descobriu uma falha que permitiu burlar a segurança do Internet Banking do banco Santander.
A operação, batizada de Operação Criptoshow, ocorreu na manhã desta quinta-feira, 25 de junho.
Segundo as poucas informações disponíveis sobre a investigação, o grupo criminoso conseguiu desviar R$ 30 milhões da conta bancária da Gerdau através de 11 TEDs feitas para seis empresas localizadas em Porto Alegre, São Paulo, Porto Velho e Cachoeirinha (RS). Outros R$ 5 milhões foram movimentados da conta de outra empresa na Bolsa de Valores. Parte desse dinheiro, pelo menos R$ 18 milhões, foi transferido para exchanges e convertido em Bitcoins, para lavar e ocultar o dinheiro roubado. Na cotação atual, isso é equivalente a pouco mais de 700 BTC.
Para conseguir desviar o dinheiro através do Internet Banking do Santander, as notícias são um pouco vagas, descrevendo que os fraudadores inicialmente programaram as TEDs em uma conta corrente de propriedade deles (ligados em uma conta PJ em nome de uma empresa em Cachoeirinha) e, depois que as TEDs estavam agendadas, de alguma forma eles conseguiram adulterar o sistema do internet banking do Santander, de forma fraudulenta, de modo que a conta de origem das TEDs foi manipulada para ser a conta da vítima, da Gerdau, e o dinheiro acabou sendo debitado deles.
Esse vídeo, criado pelo pessoal do MP, descreve um pouquinho como foi realizada a fraude:
Vale a pena lembrar que, normalmente, a plataforma de Internet Banking dos bancos para pessoa jurídica (empresas) é diferente da plataforma para pessoas físicas. Logo, essa falha que os criminosos identificaram não necessariamente poderia ser explorada para as contas de pessoas físicas.
PS (adicionado em 26/06): As informações publicadas pelo MPRS sobre a Operação Criptoshow não identificam qual foi empresa e o banco explorados por essa fraude, mas a reportagem do UOL sobre esse caso indicou que se tratava de uma conta da Gerdau no Santander.
Eu um relatório recente da Amazon Web Services (AWS), dentre vários assuntos interessantes destaca-se que no inicio deste ano a AWS foi atingida por um ataque DDoS que atingiu o volume recorde (até agora), de...
2,3 Tbps
O ataque durou 3 dias em Fevereiro deste ano. Segundo a AWS, foi realizado um ataque de reflexão e amplificação explorando o protocolo Connection-less Lightweight Directory Access Protocol (CLDAP), que representou um ataque 44% maior do que qualquer ataque recebido anteriormente pela empresa. Desde o segunto trimestre de 2018 até então, o maior ataque DDoS não tinha ultrapassado a marca de 1 Tbps.
O relatório da AWS destaca que o tipo mais comum de ataque DDoS que eles observaram são os ataques de reflexão baseado em UDP, seguido pelos ataques de SYN Flood.
Esse incidente também representa o maior ataque de DDoS conhecido até o momento, uma vez que o recorde anterior era de um ataque de 1,7 Tbps registrado pela Arbor. Isso sem considerar o suposto mega-ataque de 45 Tbps reportado pelo banco russo Sherbank.
Várias normas e regulamentações sobre gestão de segurança da informação prevêem a realização de ações de conscientização e treinamento dos usuários, devido a importância do fator humano na segurança.
Vale a pena relembrar quais são essas normas, caso algum dia você precise "dar uma carteirada" naquele funcionário ou gestor que insiste em faltar nos treinamentos.
OBS: As normas ISO/IEC 27001 e 27002 estão listadas, nesse post, nas versões nacionais (mas o mesmo controle também vale para a norma internacional).
Awareness and Training (PR.AT): The organization’s personnel and partners are provided cybersecurity awareness education and are trained to perform their cybersecurity-related duties and responsibilities consistent with related policies, procedures, and agreements.
PR.AT-1: All users are informed and trained
PR.AT-2: Privileged users understand their roles and responsibilities
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
PR.AT-4: Senior executives understand their roles and responsibilities
PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
Train the workforce on how to identify different forms of social engineering attacks, such as phishing, phone scams and impersonation calls.
17.1 Perform a Skills Gap Analysis: Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
17.2 Deliver Training to Fill the Skills Gap: Deliver training to address the skills gap identified to positively impact workforce members' security behavior.
17.3 Implement a Security Awareness Program: Create a security awareness program for all workforce members to complete on a regular basis to ensure they understand and exhibit the necessary behaviors and skills to help ensure the security of the organization. The organization's security awareness program should be communicated in a continuous and engaging manner.
17.4 Update Awareness Content Frequently: Ensure that the organization's security awareness program is updated frequently (at least annually) to address new technologies, threats, standards, and business requirements.
17.5 Train Workforce on Secure Authentication: Train workforce members on the importance of enabling and utilizing secure authentication.
17.6 Train Workforce on Identifying Social Engineering Attacks: Train the workforce on how to identify different forms of social engineering attacks, such as phishing, phone scams, and impersonation calls.
17.7 Train Workforce on Sensitive Data Handling: Train workforce members on how to identify and properly store, transfer, archive, and destroy sensitive information.
17.8 Train Workforce on Causes of Unintentional Data Exposure: Train workforce members to be aware of causes for unintentional data exposures, such as losing their mobile devices or emailing the wrong person due to autocomplete in email.
17.9 Train Workforce Members on Identifying and Reporting Incidents: Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.
12.6 Implement a formal security awareness program to make all personnel aware of the importance of cardholder data security.
12.6.1 Educate personnel upon hire and at least annually. Note: Methods can vary depending on the role of the personnel and their level of access to the cardholder data
12.6.2 Require personnel to acknowledge at least annually that they have read and understood the security policy and procedures.
Regulamentações Brasileiras
ABNT NBR ISO/IEC 27001:2013 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
7.3 Conscientização
ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação
7.2.2 Conscientização, educação e treinamento em segurança da informação
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
2.4. Educação
(...)
Dessa forma, recomenda-se desenvolver uma cultura de segurança cibernética, por meio da educação, que alcance todos os setores da sociedade e níveis de ensino, a fim de prevenir incidentes e proporcionar o uso responsável das tecnologias, por ser um dos fatores chaves para o desenvolvimento do País.
A educação em segurança cibernética é concebida em três formas de atuação, em grau crescente de especialização de conteúdo, e em grau decrescente de abrangência da sociedade, conforme o que segue:
Capacitação - profissionais da área ou com funções que requerem competências na área;
Formação - parcela da sociedade que se encontra nos bancos escolares; e
Conscientização - sociedade e seus setores.
A conscientização é obtida por meio de ações direcionadas a sensibilizar setores específicos da sociedade, ou esta como um todo. Num foco mais restrito, a formação abrange o ensino de segurança cibernética direcionado à parcela da sociedade que se encontra na educação infantil, no ensino fundamental, no ensino médio e no ensino superior. Por fim, a capacitação engloba a educação, na modalidade profissional e tecnológica, destinada ao ensino continuado para profissionais da área, ou para aqueles cujo cargo ou função requeira conhecimentos técnicos mais profundos e especializados de segurança cibernética. A capacitação é a forma de atuação mais especializada e pode ser realizada por intermédio de treinamentos de curta duração, certificações de segurança, dentre outros meios. No que diz respeito à implementação dessas três vertentes de educação em segurança cibernética, a responsabilidade deve ser compartilhada entre órgãos de Estado, setor educacional, serviços sociais do comércio e da indústria, e sistemas nacionais de aprendizagem. Cabe ressaltar que, para isso, há uma série de recursos educacionais disponíveis, conforme vê-se a seguir:
Capacitação - os Planos de Capacitação para professores, gestores e especialistas e os Bancos de Talentos;
Formação - a Criação de cursos e a Inserção do tema nos currículos escolares;
Conscientização - os Planos de Conscientização nas escolas e instituições, os Portais de boas práticas e as Campanhas educativas.
No contexto da conscientização, incentiva-se a concepção de políticas públicas, que levem à consciência situacional ante o atual cenário de ameaças cibernéticas, e estimulem o comportamento responsável e seguro por parte dos usuários da internet. As ações de conscientização tornaram-se ferramenta essencial para mudanças de comportamento relativas ao ambiente cibernético, e são relevantes, à medida que levam os indivíduos a perceber, em sua rotina pessoal ou profissional, quais atitudes precisam ser corrigidas no mundo digital. Como exemplo, tem-se a realização, em todo mês de outubro, do National Cybersecurity Awareness Month - Mês Nacional de Conscientização em Segurança Cibernética, que é um esforço colaborativo entre o Governo dos Estados Unidos da América e a indústria para aumentar a conscientização sobre a importância da segurança cibernética e garantir que todos os norte-americanos tenham os recursos necessários para estarem mais seguros online. A conscientização deve atingir amplas audiências, dentre usuários individuais e corporativos, de crianças a idosos. Deve ainda ser contínua, criativa e motivadora, a fim de concentrar a atenção do público-alvo, para mudança de comportamento favorável ao ambiente cibernético, sendo importante a promoção de ações periódicas, junto à sociedade, com o objetivo do uso seguro e responsável dos recursos de tecnologia da informação e comunicação, e à proteção contra riscos típicos no espaço cibernético. Um programa de conscientização pode incluir as seguintes tarefas:
definir o alvo da campanha de conscientização;
desenvolver mecanismos para alcançar esse público-alvo;
identificar problemas comportamentais comuns que afetam o público-alvo ou que ele deve conhecer;
aprimorar o conteúdo de sites governamentais, principalmente os mais acessados, com material relacionado à segurança cibernética; e
considerar a tradução do material para outros idiomas.
Orienta-se fortalecer programas de treinamento e de educação em segurança cibernética. Tal sugestão constitui uma demanda atual por parte de organizações públicas e privadas. (...).
Art. 3o A política de segurança cibernética deve contemplar, no mínimo:
VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição de pagamento, incluindo:
a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;
Art. 4o A política de segurança cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
Art. 5o As instituições de pagamento devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.
Art. 3o A política de segurança cibernética deve contemplar, no mínimo:
VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:
a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;
Art. 4o A política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
Art. 5o As instituições devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.
Art. 35-D. O intermediário deve desenvolver política de segurança da informação abrangendo:
§ 2o A política de segurança da informação deve:
III – prever a periodicidade com que funcionários, prepostos e prestadores de serviços serão treinados quanto aos procedimentos previstos nos arts. 35-E e 35-F e quanto ao programa de segurança cibernética.
§ 3o O intermediário pode:
I – restringir o treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F apenas aos funcionários, prepostos e prestadores de serviços que tenham acesso a dados e informações sensíveis; e
II – deixar de aplicar treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F aos prestadores de serviço que tenham acesso a dados e informações sensíveis, caso conclua que o prestador de serviço possui procedimentos de segurança da informação e de treinamento adequados e compatíveis com suas políticas.
Art. 35-G. O intermediário deve manter em sua página na rede mundial de computadores orientações para seus clientes sobre suas principais práticas de segurança das informações, abordando, no mínimo:
I – práticas adotadas pelo intermediário quanto: a) aos controles de acesso lógico aplicados aos clientes; e b) à proteção da confidencialidade dos dados cadastrais, operações e posição de custódia de seus clientes; e
II – cuidados a serem tomados pelos clientes com a segurança cibernética no acesso aos sistemas providos pelo intermediário.
Parágrafo único. A divulgação de que trata o caput deve ser feita de forma resumida, em linguagem clara e acessível, e com nível de detalhamento compatível com a sensibilidade das informações.
Art. 21. O administrador de carteiras de valores mobiliários, pessoa jurídica, deve estabelecer mecanismos para:
III – implantar e manter programa de treinamento de administradores, empregados e colaboradores que tenham acesso a informações confidenciais, participem de processo de decisão de investimento ou participem de processo de distribuição de cotas de fundos de investimento.
Por meio da relação de colaboradores (itens 1 e 3) e tendo como base o processo de divulgação da PSI definido pelo Participante, obter evidência da difusão da PSI entre os colaboradores e prepostos. Caso seja aplicável, selecionar amostra e avaliar se os funcionários, estagiários e prepostos estão aderentes ao controle que garante a ciência e cumprimento da PSI (item 18).
1.4) Programa de Conscientização
O Participante deve elaborar programa de conscientização e/ou capacitação com treinamentos que envolvam aspectos de segurança das informações aos colaboradores e prestadores de serviços. Fazem parte desse programa de conscientização os mecanismos para disseminação da cultura de segurança das informações no Participante, mencionados no item 1.2 desse roteiro de testes.
1.5.1) Avaliação do Programa de Conscientização
Obter do Participante o Programa de Conscientização de Segurança das informações (Políticas e Procedimentos – item 80) e avaliar:
a) Abrangência: Avaliar se o programa abrange colaboradores, prepostos e prestadores de serviços;
b) Frequência: Avaliar se o programa possui frequência mínima anual.
c) Aplicação: Avaliar se o programa contempla treinamentos e/ou testes sobre o cumprimento da política de segurança das informações, de que são exemplos: palestras, workshop, teste de phishing, quiz.
d) A aplicação de treinamentos por meio phishing (tentativa de adquirir informações disfarçando-se de uma fonte confiável em uma comunicação eletrônica), spam (envio de mensagens não solicitadas em massa) e e-mails fraudulentos (mensagens solicitando informações pessoais ou de responsabilidade do Participante) são exemplos de testes para determinar o nível de conscientização, no entanto, devem ser aplicados e geridos de forma controlada pelo Participante para não causar problemas de privacidade em caso de gestão inadequada.
e) Medição da aderência: Avaliar se o programa possui processo para avaliação dos resultados sobre a aderência ao programa aplicado aos colaboradores, prepostos e prestadores de serviços, contendo planos de ação para os resultados obtidos. São exemplos dessa medição: Resultado das provas ou questionários aplicados para medir a conscientização ao final dos treinamentos e plano de ação para colaboradores/prepostos que não atingiram o nível de conscientização mínima esperada.
3. As instituições devem promover e disseminar a cultura de segurança com a criação de canais de comunicação internos que sejam eficientes para divulgar o programa de segurança cibernética, assim como conscientizar sobre os riscos e as práticas de segurança, dar treinamentos e repassar novas orientações.
4. Iniciativas como a definição e manutenção de indicadores de desempenho (key performance indicators) podem corroborar a conscientização e o envolvimento da alta administração e dos demais órgãos da instituição.
5. Como parte dos mecanismos para conscientização sobre o assunto, é importante a criação de uma política de uso adequado da estrutura tecnológica da instituição, de forma independente ou como parte de um documento mais abrangente.
Deve-se orientar usuários a ter atenção especial antes de clicar em links recebidos, mesmo vindos de pessoas conhecidas. Este é um dos principais vetores atuais de invasão.
Eu esqueci de alguma regulamentação relevante? Comente aí.
Junho é o mês da diversidade, e por isso, é importante lembrarmos que a cultura e a comunidade hacker deveriam ser, pelo menos em teoria, inclusivas.
Um dos principais pilares da cultura hacker é o conhecimento, não importando quem você seja: homem ou mulher, branco ou negro, gordo ou magro, jovem ou velho, etc. Por tabela, outro pilar fundamental é a sua capacidade e disponibilidade de compartilhar o conhecimento.
Por ser uma comunidade meritocrática, ou seja, a pessoa é mais valorizada pelo seu conhecimento, fatores como cor, sexo, raça não deveriam ser considerados relevantes na aceitação e respeito aos participantes da comunidade.
De fato, o famoso Manifesto Hacker publicado pelo The Mentor na Phrack em 1986, e que é um documento tão fundamental na história e na construção da identidade da nossa comunidade, diz que...
We seek after knowledge... and you call us criminals. We exist without skin color,
without nationality, without religious bias... and you call us criminals.
(...)
My crime is that of judging people by what they say and think, not what they look like.
Sim, na comunidade hacker, o conhecimento é o que importa!
Infelizmente, a teoria não é suficiente para sobrepujar a realidade de uma sociedade machista em que vivemos, e é comum ouvirmos relatos de pessoas sendo desrespeitadas e não se sentindo acolhidas na comunidade. Uma estimativa do ISC2, que eu pessoalmente considero muito otimista, aponta que as mulheres representam apenas 1/4 (24%) dos profissionais de segurança, e certamente são a grande minoria nos eventos da área.
Basta olhar para os seus colegas de profissão, e facilmente você notará que a maioria é formada por homens brancos.
Já passou da hora de tirar os ideais de meritocracia do papel e praticarmos a diversidade no mundo real, acolhendo e respeitando todas pessoas independente de quem sejam. Mulheres, negros, gays, trans e pessoas de todas as classes merecem o seu lugar na comunidade.
É importante que todos nós apoiemos as diversas iniciativas e comunidades que fomentam a inclusão e a diversidade no mercado de tecnologia.
Hoje, 12 de junho, é o Dia da Empatia, ou seja, um dia para refletirmos como ter relações melhores com as pessoas à nossa volta. Mas, na prática, o que precisamos fazer para ser mais empáticos?
A empatia é uma habilidade emocional (soft skill) que nos exercita sobre a capacidade de nos colocarmos no lugar do outro e compreendê-lo. É muito importante destacar seus benefícios e como exercitá-la, ainda mais porque a empatia é o sentimento contrário ao individualismo, um comportamento tão comum atualmente.
A habilidade de entender o ponto de vista da outra pessoa pressupõe que existem diferentes visões válidas sobre o mesmo ponto. Antes de tentar impor nossa visão, precisamos refletir que ele não é uma “verdade absoluta” e, assim, conseguimos chegar mais facilmente ao concenso e numa posição de respeito com o próximo.
Alguns cuidados são essenciais, porém, no desenvolvimento da empatia. Veja alguns passos para praticar a empatia:
Lembre-se de que cada pessoa é única;
Aceite que aquilo que é verdade para você não necessariamente é para o outro, e. pessoas podem ter opiniões diferentes;
Tenha em mente o sentimento, a realidade e os valores da outra pessoa;
Pratique a escuta ativa, prestando atenção no que o outro está falando e sem julgamento prévio;
É importante dar a atenção plena a outra pessoa, prestando atenção no que ela diz, sem distrações e sem interrupções;
Aceite que nem sempre você terá o que falar, precisará falar ou que, as vezes, a pessoa não quer escutar;
Não julgue ninguém pelas ações e procure enxergar as necessidades e as intenções positivas por trás do comportamento do outro;
Preste atenção à linguagem corporal;
Mesmo que você discorde da outra pessoa, busque algo que ambos concordem. E respeite o direito de discordar;
Cuide de você antes de cuidar de alguém;
Pratique a empatia;
Pratique a empatia com todos, até mesmo com quem te irrita!
Essa palestra da Anita Nowak no TEDxUWCT é interessante para ver como /e importante levar em conta a empatia no desenvolvimento de novas tecnologias e da inteligência artificial.
Uma das exigências da LGPD é que as empresas forneçam um relatório de impacto de dados, o "Relatório de Impacto à Proteção de Dados Pessoais". Conforme definido no Art. 5º, essa é uma documentação que descreve os processos de tratamento de dados pessoais que podem gerar riscos, além das medidas, salvaguardas e mecanismos de mitigação de risco estabelecidos pela empresa.
Segundo o §3º do Art. 10, a Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar o relatório de impacto à proteção de dados pessoais e de dados sensíveis. O Parágrafo único do Art. 38 menciona que o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Entretanto, muita gente tá com a pulga atrás da orelha pois não existe um modelo ou detalhamento de que informação deve constar nesse relatório, uma vez que esse modelo deveria ser informado pela ANPD - que ainda não está em operação.
Para nossa sorte, a GDPR possui uma exigência semelhante, o "Data Protection Impact Assessment" (DPIA), definido no artigo 35, como parte do princípio de “protection by design”:
Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.
O melhor de tudo é que podemos encontrar um template para o DPIA!!! No site GDPR.EU, tem um artigo que fala sobre o assunto e oferece um template em PDF para o documento.
