junho 22, 2020

[Segurança] Regulamentações sobre Conscientização e Treinamento em Segurança

Várias normas e regulamentações sobre gestão de segurança da informação prevêem a realização de ações de conscientização e treinamento dos usuários, devido a importância do fator humano na segurança.

Vale a pena relembrar quais são essas normas, caso algum dia você precise "dar uma carteirada" naquele funcionário ou gestor que insiste em faltar nos treinamentos.

OBS: As normas ISO/IEC 27001 e 27002 estão listadas, nesse post, nas versões nacionais (mas o mesmo controle também vale para a norma internacional).

Padrões e Regulamentações Internacionais

NIST Cybersecurity Framework Version 1.1 (PDF)
Awareness and Training (PR.AT): The organization’s personnel and partners are provided cybersecurity awareness education and are trained to perform their cybersecurity-related duties and responsibilities consistent with related policies, procedures, and agreements.
PR.AT-1: All users are informed and trained
PR.AT-2: Privileged users understand their roles and responsibilities
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
PR.AT-4: Senior executives understand their roles and responsibilities
PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities

Center for Internet Security (CIS) Controls
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
Train the workforce on how to identify different forms of social engineering attacks, such as phishing, phone scams and impersonation calls.
17.1 Perform a Skills Gap Analysis: Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
17.2 Deliver Training to Fill the Skills Gap: Deliver training to address the skills gap identified to positively impact workforce members' security behavior.
17.3 Implement a Security Awareness Program: Create a security awareness program for all workforce members to complete on a regular basis to ensure they understand and exhibit the necessary behaviors and skills to help ensure the security of the organization. The organization's security awareness program should be communicated in a continuous and engaging manner.
17.4 Update Awareness Content Frequently: Ensure that the organization's security awareness program is updated frequently (at least annually) to address new technologies, threats, standards, and business requirements.
17.5 Train Workforce on Secure Authentication: Train workforce members on the importance of enabling and utilizing secure authentication.
17.6 Train Workforce on Identifying Social Engineering Attacks: Train the workforce on how to identify different forms of social engineering attacks, such as phishing, phone scams, and impersonation calls.
17.7 Train Workforce on Sensitive Data Handling: Train workforce members on how to identify and properly store, transfer, archive, and destroy sensitive information.
17.8 Train Workforce on Causes of Unintentional Data Exposure: Train workforce members to be aware of causes for unintentional data exposures, such as losing their mobile devices or emailing the wrong person due to autocomplete in email.
17.9 Train Workforce Members on Identifying and Reporting Incidents: Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.

Payment Card Industry Data Security Standard (PCI DSS)
  • Requerimento 12.6
12.6 Implement a formal security awareness program to make all personnel aware of the importance of cardholder data security.
12.6.1 Educate personnel upon hire and at least annually. Note: Methods can vary depending on the role of the personnel and their level of access to the cardholder data
12.6.2 Require personnel to acknowledge at least annually that they have read and understood the security policy and procedures.

Regulamentações Brasileiras

ABNT NBR ISO/IEC 27001:2013 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
7.3 Conscientização

ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação
7.2.2 Conscientização, educação e treinamento em segurança da informação

Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709 de 14 de Agosto de 2018)
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Gabinete de Segurança Institucional da Presidência da República - Estratégia Nacional de Segurança Cibernética (E-Ciber) (Decreto Nº 10.222, de 5 de Fevereiro de 2020)
2.4. Educação
(...)
Dessa forma, recomenda-se desenvolver uma cultura de segurança cibernética, por meio da educação, que alcance todos os setores da sociedade e níveis de ensino, a fim de prevenir incidentes e proporcionar o uso responsável das tecnologias, por ser um dos fatores chaves para o desenvolvimento do País.
A educação em segurança cibernética é concebida em três formas de atuação, em grau crescente de especialização de conteúdo, e em grau decrescente de abrangência da sociedade, conforme o que segue:
  • Capacitação - profissionais da área ou com funções que requerem competências na área;
  • Formação - parcela da sociedade que se encontra nos bancos escolares; e
  • Conscientização - sociedade e seus setores.
      A conscientização é obtida por meio de ações direcionadas a sensibilizar setores específicos da sociedade, ou esta como um todo. Num foco mais restrito, a formação abrange o ensino de segurança cibernética direcionado à parcela da sociedade que se encontra na educação infantil, no ensino fundamental, no ensino médio e no ensino superior. Por fim, a capacitação engloba a educação, na modalidade profissional e tecnológica, destinada ao ensino continuado para profissionais da área, ou para aqueles cujo cargo ou função requeira conhecimentos técnicos mais profundos e especializados de segurança cibernética. A capacitação é a forma de atuação mais especializada e pode ser realizada por intermédio de treinamentos de curta duração, certificações de segurança, dentre outros meios.
      No que diz respeito à implementação dessas três vertentes de educação em segurança cibernética, a responsabilidade deve ser compartilhada entre órgãos de Estado, setor educacional, serviços sociais do comércio e da indústria, e sistemas nacionais de aprendizagem. Cabe ressaltar que, para isso, há uma série de recursos educacionais disponíveis, conforme vê-se a seguir:
      • Capacitação - os Planos de Capacitação para professores, gestores e especialistas e os Bancos de Talentos;
      • Formação - a Criação de cursos e a Inserção do tema nos currículos escolares;
      • Conscientização - os Planos de Conscientização nas escolas e instituições, os Portais de boas práticas e as Campanhas educativas.
      No contexto da conscientização, incentiva-se a concepção de políticas públicas, que levem à consciência situacional ante o atual cenário de ameaças cibernéticas, e estimulem o comportamento responsável e seguro por parte dos usuários da internet.
      As ações de conscientização tornaram-se ferramenta essencial para mudanças de comportamento relativas ao ambiente cibernético, e são relevantes, à medida que levam os indivíduos a perceber, em sua rotina pessoal ou profissional, quais atitudes precisam ser corrigidas no mundo digital.
      Como exemplo, tem-se a realização, em todo mês de outubro, do National Cybersecurity Awareness Month - Mês Nacional de Conscientização em Segurança Cibernética, que é um esforço colaborativo entre o Governo dos Estados Unidos da América e a indústria para aumentar a conscientização sobre a importância da segurança cibernética e garantir que todos os norte-americanos tenham os recursos necessários para estarem mais seguros online.
      A conscientização deve atingir amplas audiências, dentre usuários individuais e corporativos, de crianças a idosos. Deve ainda ser contínua, criativa e motivadora, a fim de concentrar a atenção do público-alvo, para mudança de comportamento favorável ao ambiente cibernético, sendo importante a promoção de ações periódicas, junto à sociedade, com o objetivo do uso seguro e responsável dos recursos de tecnologia da informação e comunicação, e à proteção contra riscos típicos no espaço cibernético.
      Um programa de conscientização pode incluir as seguintes tarefas:
      • definir o alvo da campanha de conscientização;
      • desenvolver mecanismos para alcançar esse público-alvo;
      • identificar problemas comportamentais comuns que afetam o público-alvo ou que ele deve conhecer;
      • aprimorar o conteúdo de sites governamentais, principalmente os mais acessados, com material relacionado à segurança cibernética; e
      • considerar a tradução do material para outros idiomas.
      Orienta-se fortalecer programas de treinamento e de educação em segurança cibernética. Tal sugestão constitui uma demanda atual por parte de organizações públicas e privadas. (...).

Setor Financeiro

Circular nº 3.909, de 16/8/2018 (BACEN / BCB)

Art. 3o A política de segurança cibernética deve contemplar, no mínimo:
VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição de pagamento, incluindo:
a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;
Art. 4o A política de segurança cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
Art. 5o As instituições de pagamento devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Resolução nº 4.658, de 26/4/2018 (BACEN / BCB)
Art. 3o A política de segurança cibernética deve contemplar, no mínimo:
VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:
a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;
Art. 4o A política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
Art. 5o As instituições devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Brasil Bolsa Balcão (B3) - Roteiro básico de conformidade do Programa de Qualificação Operacional (PQO) (pdf)
Item 130. (...) Para manter a Segurança Cibernética, o Participante deve, no mínimo, manter controles para:
130.1.2. programas de conscientização e treinamento aos colaboradores e Prepostos sobre segurança das informações;

Instrução CVM 505, de 27/09/2011 - mega atualizada pela Instrução CVM 612, de 21/08/2019

Art. 35-D. O intermediário deve desenvolver política de segurança da informação abrangendo:
§ 2o A política de segurança da informação deve:
III – prever a periodicidade com que funcionários, prepostos e prestadores de serviços serão treinados quanto aos procedimentos previstos nos arts. 35-E e 35-F e quanto ao programa de segurança cibernética.
§ 3o O intermediário pode:
I – restringir o treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F apenas aos funcionários, prepostos e prestadores de serviços que tenham acesso a dados e informações sensíveis; e
II – deixar de aplicar treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F aos prestadores de serviço que tenham acesso a dados e informações sensíveis, caso conclua que o prestador de serviço possui procedimentos de segurança da informação e de treinamento adequados e compatíveis com suas políticas.
Art. 35-G. O intermediário deve manter em sua página na rede mundial de computadores orientações para seus clientes sobre suas principais práticas de segurança das informações, abordando, no mínimo:
I – práticas adotadas pelo intermediário quanto: a) aos controles de acesso lógico aplicados aos clientes; e b) à proteção da confidencialidade dos dados cadastrais, operações e posição de custódia de seus clientes; e
II – cuidados a serem tomados pelos clientes com a segurança cibernética no acesso aos sistemas providos pelo intermediário.
Parágrafo único. A divulgação de que trata o caput deve ser feita de forma resumida, em linguagem clara e acessível, e com nível de detalhamento compatível com a sensibilidade das informações.

Instrução CVM 558, de 26/03/2015
Art. 21. O administrador de carteiras de valores mobiliários, pessoa jurídica, deve estabelecer mecanismos para:
III – implantar e manter programa de treinamento de administradores, empregados e colaboradores que tenham acesso a informações confidenciais, participem de processo de decisão de investimento ou participem de processo de distribuição de cotas de fundos de investimento.

BSM - Roteiro de Testes da Auditoria Operacional de 2020 - Tecnologia da Informação
1.3) Divulgação da PSI
Por meio da relação de colaboradores (itens 1 e 3) e tendo como base o processo de divulgação da PSI definido pelo Participante, obter evidência da difusão da PSI entre os colaboradores e prepostos. Caso seja aplicável, selecionar amostra e avaliar se os funcionários, estagiários e prepostos estão aderentes ao controle que garante a ciência e cumprimento da PSI (item 18).
1.4) Programa de Conscientização
O Participante deve elaborar programa de conscientização e/ou capacitação com treinamentos que envolvam aspectos de segurança das informações aos colaboradores e prestadores de serviços. Fazem parte desse programa de conscientização os mecanismos para disseminação da cultura de segurança das informações no Participante, mencionados no item 1.2 desse roteiro de testes.
1.5.1) Avaliação do Programa de Conscientização
Obter do Participante o Programa de Conscientização de Segurança das informações (Políticas e Procedimentos – item 80) e avaliar:
a) Abrangência: Avaliar se o programa abrange colaboradores, prepostos e prestadores de serviços;
b) Frequência: Avaliar se o programa possui frequência mínima anual.
c) Aplicação: Avaliar se o programa contempla treinamentos e/ou testes sobre o cumprimento da política de segurança das informações, de que são exemplos: palestras, workshop, teste de phishing, quiz.
d) A aplicação de treinamentos por meio phishing (tentativa de adquirir informações disfarçando-se de uma fonte confiável em uma comunicação eletrônica), spam (envio de mensagens não solicitadas em massa) e e-mails fraudulentos (mensagens solicitando informações pessoais ou de responsabilidade do Participante) são exemplos de testes para determinar o nível de conscientização, no entanto, devem ser aplicados e geridos de forma controlada pelo Participante para não causar problemas de privacidade em caso de gestão inadequada.
e) Medição da aderência: Avaliar se o programa possui processo para avaliação dos resultados sobre a aderência ao programa aplicado aos colaboradores, prepostos e prestadores de serviços, contendo planos de ação para os resultados obtidos. São exemplos dessa medição: Resultado das provas ou questionários aplicados para medir a conscientização ao final dos treinamentos e plano de ação para colaboradores/prepostos que não atingiram o nível de conscientização mínima esperada.

Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (ANBIMA) - Guia de Cibersegurança (06/12/2017) (versão em inglês)
5 – Reciclagem e revisão
3. As instituições devem promover e disseminar a cultura de segurança com a criação de canais de comunicação internos que sejam eficientes para divulgar o programa de segurança cibernética, assim como conscientizar sobre os riscos e as práticas de segurança, dar treinamentos e repassar novas orientações.
4. Iniciativas como a definição e manutenção de indicadores de desempenho (key performance indicators) podem corroborar a conscientização e o envolvimento da alta administração e dos demais órgãos da instituição.
5. Como parte dos mecanismos para conscientização sobre o assunto, é importante a criação de uma política de uso adequado da estrutura tecnológica da instituição, de forma independente ou como parte de um documento mais abrangente.
Deve-se orientar usuários a ter atenção especial antes de clicar em links recebidos, mesmo vindos de pessoas conhecidas. Este é um dos principais vetores atuais de invasão.
Eu esqueci de alguma regulamentação relevante? Comente aí.

PS: Post atualizado em 23/06.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.