{"id":4416,"date":"2015-02-19T01:15:07","date_gmt":"2015-02-19T01:15:07","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/015\/02\/19\/como-uma-mudanca-de-pensamento-pode-parar-59-dos-incidentes-de-seguranca\/"},"modified":"2023-07-27T09:28:48","modified_gmt":"2023-07-27T09:28:48","slug":"como-uma-mudanca-de-pensamento-pode-parar-59-dos-incidentes-de-seguranca","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2015\/02\/19\/como-uma-mudanca-de-pensamento-pode-parar-59-dos-incidentes-de-seguranca\/","title":{"rendered":"Como uma mudan\u00e7a de pensamento pode parar 59% dos incidentes de seguran\u00e7a"},"content":{"rendered":"<p>De acordo com o relat\u00f3rio <a href=\"https:\/\/www.experian.com\/assets\/data-breach\/white-papers\/2015-industry-forecast-experian.pdf\" target=\"_blank\" rel=\"noopener\">Experian 2015 Second Annual Data Breach Industry Forecast<\/a>, o maior n\u00famero de incidentes de seguran\u00e7a est\u00e1 ocorrendo devido a erros humanos e ataques internos: \u201c\u2026 a maioria das viola\u00e7\u00f5es de dados se origina de dentro das organiza\u00e7\u00f5es. Empregados e neglig\u00eancia s\u00e3o as principais causas de incidentes de seguran\u00e7a mas permanecem como o assunto menos reportado. De acordo com pesquisa em setores, isto representa 59% dos incidentes de seguran\u00e7a ocorridos no \u00faltimo ano.\u201d A pesquisa tamb\u00e9m inclui que os executivos est\u00e3o tradicionalmente focados em resolver os assuntos de seguran\u00e7a atrav\u00e9s de investimentos em tecnologia, enquanto que viola\u00e7\u00f5es causadas por pessoas recebem menos aten\u00e7\u00e3o.<\/p>\n<p>O que isto significa? Significa que investir apenas em tecnologia n\u00e3o ir\u00e1 resolver a principal causa dos incidentes: o comportamento dos empregados.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">A abordagem organizacional para reduzir incidentes de seguran\u00e7a<\/h2>\n<p>Ent\u00e3o, como voc\u00ea aborda este problema com empregados? A <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>, a norma l\u00edder em seguran\u00e7a da informa\u00e7\u00e3o, oferece uma abordagem menos atrativa, mesmo assim muito mais eficaz, para este problema: (1) definir de forma estrita os processos de seguran\u00e7a, e (2) investir em treinamento &amp; conscientiza\u00e7\u00e3o em seguran\u00e7a.<\/p>\n<p>Os especialistas que desenvolveram esta norma h\u00e1 muito tempo atr\u00e1s perceberam que a tecnologia por si s\u00f3 n\u00e3o pode resolver os assuntos organizacionais e relacionados a pessoas: tecnologia \u00e9 apenas uma ferramenta; \u00e9 apenas uma parte do contexto maior. Ou, para ver este assunto a partir do ponto de vista da teoria da administra\u00e7\u00e3o, a organiza\u00e7\u00e3o \u00e9 basicamente uma mistura de tr\u00eas elementos essenciais: pessoas, processos e tecnologia.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-15491\" src=\"\/wp-content\/uploads\/2015\/02\/3-essential-elements-of-organization-PT.png\" alt=\"Tr\u00eas elementos essenciais\" width=\"576\" height=\"336\" \/><\/p>\n<p>Assim, para resolver os problemas de seguran\u00e7a, al\u00e9m de investir em tecnologia, uma organiza\u00e7\u00e3o deve definir os processos certos e ent\u00e3o gerenciar as pessoas de forma adequada. Vejamos como isto \u00e9 feito de acordo com a ISO 27001.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Definindo os processos de seguran\u00e7a<\/h2>\n<p>O primeiro passo ao se definir os processos de seguran\u00e7a (isto \u00e9, como a seguran\u00e7a \u00e9 organizada) \u00e9 realizar a avalia\u00e7\u00e3o de riscos \u2013 tal an\u00e1lise informar\u00e1 a voc\u00ea quais incidente potenciais podem ocorrer, e quais tipos de salvaguardas s\u00e3o necess\u00e1rias para prevenir ou reduzir tais incidentes. (Para saber mais sobre este conceito, veja este artigo: <a href=\"\/27001academy\/pt-br\/knowledgebase\/a-logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona\/\" target=\"_blank\" rel=\"noopener\">A l\u00f3gica b\u00e1sica da ISO 27001: Como a seguran\u00e7a da informa\u00e7\u00e3o funciona?<\/a>)<\/p>\n<p>Por exemplo, voc\u00ea pode identificar o risco de perder seus dados devido a c\u00f3pias de seguran\u00e7a inadequadas \u2013 contudo, pode ser que voc\u00ea j\u00e1 tenha o software de backup, mas n\u00e3o est\u00e1 claro quem deve configur\u00e1-lo (falta de procedimento), e\/ou os empregados n\u00e3o sabem como us\u00e1-lo (falta de treinamento).<\/p>\n<p>A ISO 27001 sugere 114 salvaguardas (ou controles), que est\u00e3o organizados nestas 14 se\u00e7\u00f5es:<\/p>\n<ul>\n<li><strong>Pol\u00edticas de seguran\u00e7a da informa\u00e7\u00e3o<\/strong> \u2013 controlam como as pol\u00edticas s\u00e3o escritas e revisadas<\/li>\n<li><strong>Organiza\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o<\/strong> \u2013 controla como as responsabilidades s\u00e3o designadas; tamb\u00e9m inclui controles para dispositivos m\u00f3veis e trabalho remoto<\/li>\n<li><strong>Seguran\u00e7a em recursos humanos<\/strong> \u2013 controles para antes, durante e depois da contrata\u00e7\u00e3o<\/li>\n<li><strong>Gest\u00e3o de ativos<\/strong> \u2013 controles relacionados ao invent\u00e1rio de ativos e uso aceit\u00e1vel, tamb\u00e9m para classifica\u00e7\u00e3o da informa\u00e7\u00e3o e tratativa de m\u00eddias<\/li>\n<li><strong>Controle de acesso<\/strong> \u2013 controles para pol\u00edtica de controle de acesso, gest\u00e3o de acesso do usu\u00e1rio, controle de acesso a sistemas e aplica\u00e7\u00f5es e responsabilidades dos usu\u00e1rios<\/li>\n<li><strong>Criptografia<\/strong> \u2013 controles relacionados a encripta\u00e7\u00e3o e gerenciamento de chaves<\/li>\n<li><strong>Seguran\u00e7a f\u00edsica e do ambiente<\/strong> \u2013 controles que definem \u00e1reas seguras, controles de entrada, prote\u00e7\u00f5es contra amea\u00e7as, seguran\u00e7a de equipamentos, descarte seguro, pol\u00edtica de mesa limpa e tela limpa, etc.<\/li>\n<li><strong>Seguran\u00e7a nas opera\u00e7\u00f5es<\/strong> \u2013 muitos controles relacionados a gest\u00e3o da produ\u00e7\u00e3o de TI: gest\u00e3o de mudan\u00e7a, gest\u00e3o de capacidade, malware, backup, logging, monitoramento, instala\u00e7\u00f5es, vulnerabilidades, etc.<\/li>\n<li><strong>Seguran\u00e7a nas comunica\u00e7\u00f5es<\/strong> \u2013 controles relacionados a seguran\u00e7a de redes, segrega\u00e7\u00e3o, servi\u00e7os de redes, transfer\u00eancia de informa\u00e7\u00e3o, mensagens, etc.<\/li>\n<li><strong>Aquisi\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o de sistemas<\/strong> \u2013 controles definindo requisites de seguran\u00e7a e seguran\u00e7a nos processos de desenvolvimento e suporte<\/li>\n<li><strong>Relacionamentos na cadeia de suprimento<\/strong> \u2013 controles sobre o que incluir em acordos; e como monitorar os fornecedores<\/li>\n<li><strong>Gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o<\/strong> \u2013 controles para o reporte de eventos e fraquezas, defini\u00e7\u00e3o de responsabilidades, procedimentos de resposta e de coleta de evid\u00eancias<\/li>\n<li><strong>Aspectos da seguran\u00e7a da informa\u00e7\u00e3o na gest\u00e3o da continuidade do neg\u00f3cio<\/strong> \u2013 controles que requerem o planejamento da continuidade de neg\u00f3cio, procedimentos, verifica\u00e7\u00e3o e revis\u00e3o, bem como redund\u00e2ncia de TI<\/li>\n<li><strong>Conformidade<\/strong> \u2013 controles que requerem a identifica\u00e7\u00e3o de leis e regulamenta\u00e7\u00f5es aplic\u00e1veis, prote\u00e7\u00e3o da propriedade intelectual, prote\u00e7\u00e3o de dados pessoais e revis\u00f5es da seguran\u00e7a da informa\u00e7\u00e3o<\/li>\n<\/ul>\n<p>Como voc\u00ea notar\u00e1, uma pequena parte destes controles s\u00e3o relacionados a TI \u2013 a maior parte deles est\u00e1 focado em assuntos organizacionais, os quais s\u00e3o resolvidos pela elabora\u00e7\u00e3o de v\u00e1rias pol\u00edticas e procedimentos \u2013 por exemplo, Pol\u00edtica de uso aceit\u00e1vel, Pol\u00edtica de classifica\u00e7\u00e3o, Pol\u00edtica de BYOD, Pol\u00edtica de acesso, etc.<\/p>\n<p>Veja este artigo para aprender como decidir quais pol\u00edticas e procedimentos escrever: <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/11\/04\/como-estruturar-os-documentos-para-os-controles-anexo-da-iso-27001\/\" target=\"_blank\" rel=\"noopener\">Como estruturar os documentos para os controles do Anexo A da ISO 27001<\/a>.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Treinamento &amp; conscientiza\u00e7\u00e3o em seguran\u00e7a<\/h2>\n<p>A regra mais importante sobre treinamento &amp; conscientiza\u00e7\u00e3o \u00e9 que elas devem ser realizadas em paralelo com a implementa\u00e7\u00e3o de quaisquer salvaguardas (organizacionais ou baseadas em tecnologia). Por exemplo, se voc\u00ea publica uma nova Pol\u00edtica de Classifica\u00e7\u00e3o sem explicar aos seus empregados porque \u00e9 importante e como classificar seus documentos, tal pol\u00edtica nunca se estabelecer\u00e1 em sua organiza\u00e7\u00e3o; da mesma forma, se voc\u00ea implementa um novo software para controle de incidentes, sem a conscientiza\u00e7\u00e3o e treinamento ele provavelmente n\u00e3o ser\u00e1 muito usado.<\/p>\n<p>A diferen\u00e7a b\u00e1sica entre treinamento e conscientiza\u00e7\u00e3o \u00e9 a seguinte: o treinamento explica aos seus empregados como realizar uma certa atividade, enquanto que a conscientiza\u00e7\u00e3o se destina a elevar a percep\u00e7\u00e3o das pessoas do porqu\u00ea a atividade \u00e9 importante \u2013 ambas t\u00eam import\u00e2ncia igual, e devem ser realizadas de forma equilibrada.<\/p>\n<p>Aqui h\u00e1 alguns <strong>m\u00e9todos de treinamento<\/strong> que voc\u00ea pode usar:<\/p>\n<ul>\n<li><strong>Cursos<\/strong> \u2013 veja este artigo para maiores informa\u00e7\u00f5es: <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2010\/12\/30\/como-aprender-sobre-a-iso-27001-e-a-bs-25999-2\/\" target=\"_blank\" rel=\"noopener\">Como aprender sobre a ISO 27001<\/a>.<\/li>\n<li><strong>Literatura<\/strong> \u2013 existem muitos <a href=\"https:\/\/staging.advisera.com\/books\/9-steps-to-cybersecurity-managers-information-security-manual\/\" target=\"_blank\" rel=\"noopener\">livros de seguran\u00e7a da informa\u00e7\u00e3o<\/a>\u00a0dispon\u00edveis, assim como revistas.<\/li>\n<li><strong>Participando de f\u00f3runs de especialistas na Internet<\/strong> \u2013 em alguns destes voc\u00ea pode obter respostas concretas para seus questionamentos \u2013 por exemplo, <a href=\"https:\/\/groups.google.com\/forum\/#!forum\/iso27001security\" target=\"_blank\" rel=\"noopener\">ISO 27001 security<\/a>.<\/li>\n<li><strong>Treinamentos internos<\/strong> \u2013 ministrados por especialistas internos, ou por consultores contratados, organismos de certifica\u00e7\u00e3o ou similares.<\/li>\n<\/ul>\n<p>Para <strong>elevar a conscientiza\u00e7\u00e3o<\/strong>, voc\u00ea pode usar v\u00e1rios m\u00e9todos:<\/p>\n<ul>\n<li>Incluir os empregados no desenvolvimento da documenta\u00e7\u00e3o<\/li>\n<li>Apresenta\u00e7\u00f5es<\/li>\n<li>Artigos em sua intranet ou informativos<\/li>\n<li>Discuss\u00f5es em forums internos<\/li>\n<li>E-learning<\/li>\n<li>V\u00eddeos<\/li>\n<li>Mensagens ocasionais via email ou via sua intranet<\/li>\n<li>Reuni\u00f5es<\/li>\n<li>Comunica\u00e7\u00e3o di\u00e1ria pessoal<\/li>\n<\/ul>\n<p>Para orienta\u00e7\u00f5es mais detalhadas sobre estes m\u00e9todos de conscientiza\u00e7\u00e3o, leia este artigo: <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/05\/20\/como-realizar-treinamento-e-conscientizacao-para-a-iso-27001-e-iso-22301\/\" target=\"_blank\" rel=\"noopener\">Como realizar treinamento e conscientiza\u00e7\u00e3o para a ISO 27001 e ISO 22301<\/a>.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Uma mudan\u00e7a de pensamento \u00e9 necess\u00e1ria<\/h2>\n<p>\u00c9 verdade que investir em uma nova e brilhante pe\u00e7a de software e\/ou hardware parece ser uma forma muito melhor de se resolver problemas de seguran\u00e7a, e lidar com processos e pessoas \u00e9 uma coisa muito mais dif\u00edcil de se fazer.<\/p>\n<p>Mas, o que n\u00f3s realmente precisamos \u00e9 de uma mudan\u00e7a de pensamento de \u201cn\u00f3s resolveremos todos os problemas de seguran\u00e7a comprando tecnologia\u201d para \u201cvamos come\u00e7ar a pensar sobre como usar nossa tecnologia de forma segura\u201d \u2013 de outra forma, muito dinheiro continuar\u00e1 sendo gasto em tecnologia para atingir apenas parcialmente o objetivo, enquanto os incidentes apenas se tornar\u00e3o maiores e maiores. E mais onerosos.<\/p>\n<p><em>Para ajud\u00e1-lo a rastrear e lidar com todos os seus incidentes de seguran\u00e7a, use esta<\/em>\u00a0<a href=\"\/conformio\/\" target=\"_blank\" rel=\"noopener\">Conformio compliance and cybersecurity platform<\/a>.<\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>De acordo com o relat\u00f3rio Experian 2015 Second Annual Data Breach Industry Forecast, o maior n\u00famero de incidentes de seguran\u00e7a est\u00e1 ocorrendo devido a erros humanos e ataques internos: \u201c\u2026 a maioria das viola\u00e7\u00f5es de dados se origina de dentro das organiza\u00e7\u00f5es. Empregados e neglig\u00eancia s\u00e3o as principais causas de incidentes de seguran\u00e7a mas permanecem &#8230;<\/p>\n","protected":false},"author":26,"featured_media":4417,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4416","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4416","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4416"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4416\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4417"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4416"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4416"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4416"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}