PROGRAMA DE

CONSCIENTIZAÇÃO
EM SEGURANÇA
DA INFORMAÇÃO

Elaborado por Rômulo Alves

Versão 02 - 2024
 01 05
Gerenciamento de
Introdução
dados

Noções básicas de
segurança da informação 02 06 Responsabilidades
individuais

Ameaças comuns 03 07 Plano de respostas a

incidentes

Boas práticas
04 08 Conclusão
PROTEGENDO NOSSOS DADOS DIGITAIS

A segurança da informação é crucial para proteger dados

sensíveis e garantir a confidencialidade, integridade e
disponibilidade das informações.
Este treinamento visa capacitar todos os colaboradores a
adotarem medidas de segurança da informação no
ambiente de trabalho, garantindo a proteção de dados
sensíveis e a prevenção de ameaças cibernéticas.
NOÇÕES
BÁSICAS DE
SEGURANÇA DA
INFORMAÇÃO
MAS O QUE É SEGURANÇA DA INFORMAÇÃO?

Segurança da informação é um
conjunto de práticas e medidas
voltadas para a proteção de
dados, sistemas e informações
sensíveis contra ameaças
cibernéticas, acessos não
autorizados e riscos diversos. O
objetivo é garantir a
confidencialidade, integridade e
disponibilidade das
informações, minimizando o
impacto de incidentes de
segurança e mantendo a
privacidade, confiança e
funcionamento seguro dos
ambientes digitais.
IMPACTOS DAS VIOLAÇÕES DE SEGURANÇA

As violações de segurança têm

consequências graves para os negócios
e a reputação das organizações. Além
das possíveis perdas financeiras devido
a multas e reparação de danos que
abalam a confiança dos clientes e
parceiros, afetam também a imagem da
empresa. A exposição pública de dados
sensíveis prejudica a credibilidade,
dificultando a aquisição de novos
SEGURANÇA clientes e a retenção dos existentes. A
DA INFORMAÇÃO perda de dados também pode resultar
em interrupções operacionais, levando
a perdas de produtividade e custos de
recuperação.
CASOS REAIS DE INCIDENTES
CASOS REAIS DE INCIDENTES
CASOS REAIS DE INCIDENTES
PILARES DA SEGURANÇA DA INFORMAÇÃO
Os três pilares fundamentais da
segurança da informação são a
confidencialidade, a integridade e a
disponibilidade, também conhecido
como CID.
A confidencialidade diz respeito à
garantia de que as informações sejam
acessadas somente por pessoas
autorizadas, protegendo-as contra
divulgação não autorizada.
A integridade assegura que os dados
permaneçam precisos, completos e não
sofram alterações não autorizadas.
Já a disponibilidade envolve a certeza
de que as informações e recursos
estarão disponíveis quando necessários,
evitando interrupções que possam
afetar negativamente as operações e a
continuidade dos serviços.
AMEAÇAS
COMUNS
ENGENHARIA SOCIAL
A engenharia social engloba táticas
psicológicas e manipulativas usadas por hackers
para enganar pessoas e obter acesso não
autorizado a informações sensíveis ou sistemas.
A engenharia social se baseia em confiança e
manipulação emocional, requerendo
conscientização e cautela para se defender
contra essas ameaças.

O pretexting envolve criação de pretextos

falsos para obter informações.

O phishing por e-mail usa mensagens

persuasivas para induzir ações.

O quid pro quo oferece algo em troca de

informações.

A tailgating envolve acesso não autorizado a

edifícios ao seguir alguém.

O baiting oferece recompensas para atrair

vítimas.

O quizzing explora a curiosidade das pessoas.

 PHISHING
Existem vários tipos de phishing, todos visando
enganar os usuários e obter informações confidenciais.
O phishing por e-mail é o mais comum, onde os
hackers enviam mensagens falsas que aparentam ser
de empresas legítimas, induzindo os destinatários a
clicar em links maliciosos ou fornecer dados pessoais.
O spear phishing é direcionado, personalizado e
frequentemente visa indivíduos específicos ou
organizações.
O phishing por SMS, também chamado de smishing,
envolve mensagens de texto fraudulentas que
solicitam ações ou informações.
O vishing, ou phishing de voz, usa chamadas
telefônicas para enganar as vítimas.
Em todos esses casos, os criminosos exploram a
confiança e a falta de suspeita, enfatizando a
importância de sempre verificar cuidadosamente as
comunicações antes de agir.

Atenção: Como parte do treinamento, vocês

receberão e-mails simulados de phishing para a
prática de identificação. Esta iniciativa visa fortalecer
nossas habilidades de segurança da informação e
proteger a empresa contra possíveis ameaças.
Fiquem atentos!
 CÓDIGOS MALICIOSOS

Malware um termo que deriva

de "software malicioso", é uma
categoria de programas de
computador projetados para
danificar, comprometer ou
obter acesso não autorizado a
sistemas ou dados.
• Dentros os tipos de
malware, existem os vírus,
worms, trojans, spyware,
adwares, keyloggers,
botnets, cryptojacking,
rootkits, backdoors e o
mais temido Ransomware.
BOAS PRÁTICAS
SENHAS SEGURAS
A autenticação ajuda a proteger o
acesso às suas contas, evitando que
alguém se passe por você. Mas com
tantos ataques e vazamentos de
dados, usar apenas senhas pode
não ser proteção suficiente. É
preciso reforçar com uma segunda
etapa de verificação.

A verificação em duas etapas

adiciona uma segunda camada de
proteção no acesso às suas contas.
Com ela ativada, mesmo que o
atacante descubra sua senha, ele
precisará de outras informações para
invadir sua conta.
ATUALIZAÇÕES REGULARES
As atualizações regulares de software e
sistemas operacionais desempenham um
papel crucial na segurança da informação.
Primeiramente, elas corrigem
vulnerabilidades e falhas de segurança
conhecidas, tornando mais difícil para os
hackers explorarem essas fraquezas para
invadir sistemas ou roubar dados. Além
disso, as atualizações podem incluir
aprimoramentos de segurança, como
reforços nas configurações padrão e a
implementação de medidas de proteção
mais robustas.
A falta de atualizações deixa os sistemas
vulneráveis a ataques cibernéticos, uma
vez que os criminosos podem explorar as
fraquezas conhecidas para acessar dados
confidenciais ou causar danos. As violações
de segurança e ataques cibernéticos
podem resultar em prejuízos financeiros
significativos, perda de dados críticos,
interrupção das operações e danos à
reputação.
CUIDADOS IMPORTANTES
O cuidado ao navegar na internet e ao lidar com e-
mails suspeitos é de extrema importância para
manter a segurança da informação. A internet é um
ambiente vasto e aberto, onde ameaças
cibernéticas como phishing, malware e sites
maliciosos são abundantes.

Evita-se phishing: E-mails suspeitos

frequentemente tentam enganar os destinatários
para que cliquem em links maliciosos ou revelem
informações pessoais.

Previnem-se malware: Ao baixar e abrir anexos de

e-mails apenas de fontes confiáveis e manter um
antivírus atualizado, reduz-se o risco de infecção
por malware.

Proteja sua privacidade: Evitar o compartilhamento

imprudente de informações pessoais impede que
elas caiam nas mãos erradas, protegendo sua
identidade e dados sensíveis.

Mantém-se a segurança de dados: Cuidar ao

compartilhar informações bancárias ou de cartão de
crédito em sites é crucial para evitar o roubo de
informações financeiras.
GERENCIAMENTO
DE DADOS
 CLASSIFICAÇÃO DE DADOS
A classificação de dados em públicos,
internos e confidenciais é fundamental para
a segurança da informação.
Dados públicos são de acesso aberto, sem
riscos significativos se forem compartilhados.
Dados internos são acessados apenas por
funcionários autorizados dentro da
organização, contendo informações
operacionais e não públicas.
Já os dados confidenciais são altamente
sensíveis, como informações financeiras ou
pessoais, exigindo acesso restrito e medidas
de segurança rigorosas para evitar divulgação
não autorizada.
A classificação correta dos dados permite a
aplicação de níveis adequados de proteção,
mantendo a confidencialidade, a integridade
e a disponibilidade das informações.
 USO ADEQUADO DE DISPOSITIVOS DE
ARMAZENAMENTO E COMPARTILHAMENTO

O uso adequado de dispositivos de

armazenamento e compartilhamento de
informações é crucial para manter a
segurança da informação.
Dispositivos como unidades USB e discos
externos devem ser criptografados para
proteger dados em caso de perda ou
roubo.
Além disso, é importante evitar o uso de
dispositivos pessoais para armazenar
informações confidenciais.
Ao compartilhar informações, é
recomendado utilizar plataformas seguras
e autorizadas, como servidores internos ou
serviços de nuvem protegidos por
autenticação e controle de acesso,
evitando o envio de informações sensíveis
por e-mail não criptografado ou aplicativos
não confiáveis.
RESPONSABILIDADES
INDIVIDUAIS
 PERMISSÕES DE ACESSOS E COMPARTILHAMENTO
DE DADOS
O princípio do menor privilégio postula que os
usuários devem receber apenas os acessos e
permissões necessárias para realizar suas
atividades, evitando que tenham privilégios
excessivos que possam ser explorados por
atacantes em caso de comprometimento. Isso
minimiza o potencial impacto de ataques, pois os
invasores teriam acesso limitado mesmo que
obtivessem controle sobre uma conta.
O compartilhamento mínimo de dados, por sua
vez, orienta que apenas as informações
estritamente essenciais devem ser
compartilhadas entre usuários e sistemas. Isso
reduz a exposição de dados confidenciais e
minimiza o risco de divulgação não autorizada. Ao
limitar a quantidade de informações
compartilhadas, a organização diminui as
chances de vazamentos acidentais ou
intencionais.
Juntos, esses princípios promovem uma
abordagem proativa para fortalecer a segurança
da informação, mitigando riscos associados a
acessos indevidos e vazamentos de dados.
 RESPONSABILIDADES
Cada funcionário tem um papel vital na garantia da
segurança da informação de uma empresa. Abaixo algumas
responsabilidades:

Proteção Coletiva: Cada funcionário é um elo na cadeia de

segurança da informação. Se um único elo estiver fraco,
toda a segurança pode ser comprometida. Portanto, a
responsabilidade individual contribui para a proteção
coletiva.
ATENÇÃO: Durante o treinamento, os participantes mais
engajados serão eleitos os embaixadores do projeto,
desempenhando um papel fundamental na disseminação
das melhores práticas de segurança da informação em
nossa equipe.

Conscientização: Funcionários conscientes são menos

propensos a cair em armadilhas de phishing, compartilhar
informações confidenciais acidentalmente ou ignorar
práticas de segurança. Isso reduz os riscos de violações de
segurança.

Detecção e Resposta Rápida: Quanto mais atentos os

funcionários estiverem, mais cedo podem detectar e relatar
atividades suspeitas. Isso permite uma resposta mais rápida
a incidentes de segurança.
 RESPONSABILIDADES
Preservação da Reputação: A reputação de uma
empresa é valiosa. Funcionários que cuidam da
segurança protegem a imagem e a confiança da
organização.

Conformidade Legal: Em muitos setores, a

conformidade legal com regulamentos de segurança
da informação é obrigatória. Funcionários
responsáveis ajudam a empresa a cumprir essas
obrigações.

Portanto, reforçamos a todos os colaboradores que a

segurança da informação é uma responsabilidade
compartilhada e não apenas do departamento de TI.
Cada um de nós desempenha um papel crucial na
proteção dos dados da empresa, conforme expresso
no termo de responsabilidade que assinamos no
contrato de trabalho.
RESPOSTAS A
INCIDENTES
IDENTIFICANDO E RELANTADO INCIDENTES DE SEGURANÇA
Definição de incidentes: Compreender o
que constitui um incidente de segurança
é o primeiro passo. Isso inclui atividades
como acesso não autorizado, malware,
perda de dados, indisponibilidade, entre
outros.

Conscientização dos colaboradores: É

necessário educar os funcionários sobre a
importância de relatar imediatamente
qualquer atividade suspeita ou incidente
que possam testemunhar.

Canais de comunicação: Em caso de

identificação de um incidente de
segurança, por favor comunique
imediatamente a TI pelos canais:
Central de Serviços de TI ou pelo e-mail
[email protected]
 LIÇÕES APRENDIDAS E MELHORIA CONTÍNUA
Análise pós-incidente: Após a resolução de
um incidente, conduza uma análise detalhada
para identificar as causas raiz, lacunas nos
processos e possíveis melhorias.

Relatórios e documentação: Mantenha

registros detalhados de todos os incidentes,
ações tomadas e resultados. Esses
documentos são essenciais para auditorias
futuras e análises de tendências.
ATENÇÃO: Após o treinamento, incidentes
relacionados a cliques em links e e-mails
suspeitos serão monitorados. Caso haja
reincidências, relatórios serão encaminhados
à gerência para avaliação.

Atualização de políticas e procedimentos:

Com base nas lições aprendidas, atualize
continuamente as políticas de segurança e os
procedimentos de resposta a incidentes para
refletir as melhores práticas e as mudanças
no cenário de ameaças.
CONCLUSÃO
 CULTURA DE SEGURANÇA

À medida que concluímos este

treinamento sobre segurança da
informação, é essencial refletirmos sobre
o papel significativo que cada um de nós
desempenha na proteção dos ativos e
dados cruciais de nossa empresa.
A segurança da informação não é
apenas uma responsabilidade técnica,
mas sim uma responsabilidade coletiva
que se estende a todos os níveis da
organização.