Certificações internacionais em TI: reconhecimento ou ilusão criado pelas fábricas de certificações?

No universo da Segurança da Informação — e da TI como um todo — as certificações de validade internacional são vistas como passaportes para oportunidades globais. E de fato, elas podem abrir portas incríveis. Mas é preciso fazer uma pausa e refletir: estamos buscando conhecimento ou apenas colecionando selos?

Nos últimos anos, surgiram verdadeiras “fábricas de certificações”, onde o foco parece ser apenas passar na prova, muitas vezes com cursos que priorizam a memorização de questões em vez da compreensão real dos conceitos. O resultado? Profissionais com currículos recheados, mas que travam diante de problemas reais.

"Certificação sem conhecimento é como um crachá sem função: bonito, mas vazio."

 

A certificação tem valor, sim — especialmente quando é fruto de estudo sério e alinhada com a prática. Quando você entende os fundamentos, domina os processos e sabe aplicar o que aprendeu no dia a dia, aí sim ela se torna um diferencial competitivo.

Mais do que provar que você passou por uma prova, o mercado quer saber se você resolve problemas. Se você entende riscos, propõe soluções, e sabe se comunicar com áreas técnicas e não técnicas. Isso não vem só do estudo — vem da vivência.

Conhecimento + prática = portas abertas

Existem várias certificações reconhecidas mundialmente. Mas o que realmente te destaca é a capacidade de transformar conhecimento em ação. Um profissional que une teoria sólida com experiência prática não só conquista vagas melhores — ele se torna referência.

Antes de investir tempo e dinheiro em mais uma certificação, pergunte-se: “Isso vai me ajudar a entender melhor meu trabalho? Vai me tornar mais capaz de resolver os desafios do dia a dia?”

Porque no fim das contas, é isso que importa. Resolver problemas reais. E isso, nenhuma certificação sozinha consegue garantir.

Dicas essenciais para proteger seu iPhone e iPad — antes que você precise

Seu iPhone e iPad guardam sua vida digital — e proteger esse universo é mais fácil do que parece. Aqui vão dicas práticas e poderosas para manter seus dados seguros, mesmo em situações de risco:

1. Face ID em tudo

Não use o Face ID só para desbloquear a tela.

Ative também em apps de banco, WhatsApp, e-mail, notas e arquivos.

Se o invasor não passar pelo Face ID, seus dados continuam protegidos.

2. Ative o “Buscar iPhone”

Vá em:

Ajustes → [seu nome] → Buscar → Buscar iPhone

Ative todas as opções, inclusive “Enviar última localização”.

Isso permite rastrear o trajeto do aparelho mesmo se a bateria estiver acabando.

3. Use uma senha forte no aparelho

Evite PINs óbvios como 1234 ou datas de aniversário.

Prefira senhas com letras e números.

E nunca repita senhas em diferentes apps — isso reduz o risco de invasão em cadeia.

4. Bloqueie acessos com a tela bloqueada

Vá em:

Ajustes → Face ID e Código

Desative o acesso à Central de Controle, Siri, USB e outros recursos.

Assim, ninguém poderá ativar o modo avião ou desligar o rastreamento com o celular bloqueado.

5. Bloqueio de ativação (iCloud)

Se o “Buscar iPhone” estiver ativado, o aparelho não pode ser restaurado ou reutilizado sem sua senha da Apple.

É uma barreira poderosa contra revenda ou reativação indevida.

6. Use eSIM em vez de chip físico

Com o eSIM, não dá pra remover o chip manualmente.

Isso impede que o criminoso desconecte sua linha e bloqueie o rastreamento ou recepção de códigos de autenticação.

Peça à sua operadora para ativar o eSIM no seu número principal.

Bônus: tenha seguro

O seguro do celular e do carro pode ser decisivo.

No caso de furto ou dano, ele agiliza o suporte e reduz prejuízos.

Quem vive em grandes cidades sabe: segurança física e digital caminham juntas.

Prevenção é o melhor antivírus.

Como manter seu Android seguro: guia prático para proteger seus dados

Seu celular é mais do que um dispositivo — é uma extensão da sua vida digital. E proteger essa vida é essencial. Aqui vai um checklist poderoso para manter seu Android blindado contra invasões, golpes e perdas:

Fortaleça o acesso ao seu dispositivo

• Use PINs com 6 ou mais dígitos ou senhas complexas
• Ative biometria e verificação em duas etapas (2FA) em todas as contas importantes
• Prefira apps autenticadores como Google Authenticator, Microsoft Authenticator ou Authy
• Guarde os códigos de recuperação em local seguro — impresso ou anotado offline
• Use um gerenciador de senhas (Bitwarden, LastPass) para criar e armazenar senhas únicas

Mantenha o sistema e os apps atualizados

• Atualize o Android regularmente
• Instale apps somente pela Google Play Store
• Ative o Google Play Protect
• Considere instalar um antivírus confiável (Avast, Bitdefender, ESET)

Conexões seguras, sempre

• Evite transações sensíveis em Wi-Fi público — se necessário, use VPN
• Desative o Bluetooth quando não estiver em uso
• Mantenha a Depuração USB desligada para evitar acessos físicos não autorizados

Backups e rastreamento

• Faça backups regulares (Google Drive, Google Fotos)
• Ative o Encontre Meu Dispositivo do Google — teste antes de precisar
• Use apps oficiais e atualizados para acessar bancos
• Ative notificações de transações e nunca salve dados de cartão em navegadores

Em caso de roubo ou perda

• Use outro dispositivo para acessar o Encontre Meu Dispositivo e bloqueie ou apague os dados remotamente
• Tenha uma conta Google logada em outro aparelho para agilizar o processo
• Avise seu banco imediatamente para bloquear cartões e acessos

Proteja seus apps e arquivos

• Ative bloqueio por biometria ou PIN em apps como WhatsApp
• Configurações → Privacidade → Bloqueio de tela

• Use Pasta Segura (Samsung) para proteger fotos, documentos e apps bancários
• Considere apps de cofre ou galeria oculta — mas pesquise bem antes de instalar
• Use AppLock ou similares para adicionar senha/biometria a apps específicos

Segurança digital é hábito

Manter seu Android protegido não é paranoia — é inteligência. Quanto mais informado você estiver, mais difícil será para alguém te surpreender. Fique sempre um passo à frente. 😉

Configurando o APP da Uber para aprimorar sua segurança física e digital

Muita gente pensa que garantir a segurança em aplicativos como a Uber é tarefa exclusiva da plataforma ou do motorista. Mas não é bem assim. O passageiro também tem um papel ativo — e pode ativar recursos simples que aumentam sua proteção, tanto física quanto digital.

A seguir, veja cinco configurações essenciais que você pode ativar agora mesmo no app da Uber para reforçar sua segurança:

Gravação de chamadas pelo app

Se algo inesperado acontecer durante a viagem, ter um registro da conversa pode ser decisivo para investigações. A função de gravação de chamadas mantém o áudio criptografado e acessível somente pela Uber, em caso de denúncia.

Como ativar:

Conta → Configurações → Segurança → Gravação de áudio e chamadas

Ative “Gravar chamadas feitas pelo aplicativo”

IMPORTANTE: a gravação só ocorre nas chamadas feitas pelo próprio app. Nem o motorista nem o passageiro têm acesso ao áudio.

PIN para início da viagem

Esse recurso adiciona uma camada de verificação: o motorista só pode iniciar a corrida após inserir um código PIN gerado no seu app. Isso evita trocas de passageiros e reduz o risco de fraudes.

Como ativar:

Conta → Configurações → Verificação de viagem por PIN

Escolha se quer exigir o PIN em todas as viagens ou apenas à noite

IMPORTANTE: A cada corrida, um novo PIN será gerado. O motorista precisa digitá-lo corretamente para começar a viagem.

Verificação em duas etapas

Mesmo que alguém descubra sua senha, não conseguirá acessar sua conta sem o código de verificação enviado ao seu celular. É uma proteção extra contra invasões.

Como ativar:

Conta → Segurança → Verificação em duas etapas

Cadastre seu número para receber códigos via SMS

IMPORTANTE: A verificação será exigida sempre que um novo dispositivo tentar acessar sua conta.

Controle de dispositivos conectados

Você pode ver todos os dispositivos que acessaram sua conta e remover qualquer um que pareça suspeito.

Como acessar:

Conta → Segurança → Seus dispositivos

Revise a lista e clique em “Remover acesso” se notar algo estranho

Atualizações e permissões do app

Manter o app atualizado e revisar as permissões evita falhas de segurança e exposição desnecessária de dados.

Boas práticas:

- Atualize o app da Uber regularmente

- Revise as permissões nas configurações do celular

- Evite compartilhar prints de corridas em andamento

Segurança é atitude

Não é exagero, é prevenção. Em qualquer serviço digital, pequenas configurações podem fazer uma enorme diferença.

O que podemos aprender com o vazamento de dados em fornecedor terceiro da XP?

 A XP, corretora de valores, informou essa semana que identificou no mês de março um vazamento de dados ocorrido num fornecedor terceiro. Segue um resumo sobre as principais informações:

• Origem do vazamento: A XP informou que o incidente ocorreu em uma base de dados hospedada por um fornecedor externo.
• Dados acessados: Informações como nome, telefone, e-mail, data de nascimento, CEP, estado civil, cargo, nacionalidade, número da conta, saldo e outros dados cadastrais foram expostos.
• Impacto limitado: A XP garantiu que não houve vazamento de senhas, assinaturas eletrônicas, tokens ou credenciais que permitam transações financeiras.
• Medidas tomadas: Assim que o acesso indevido foi identificado, o fornecedor bloqueou o acesso e a XP implementou medidas adicionais de segurança.
• Recomendações aos clientes: A XP orientou os clientes a ficarem atentos a possíveis tentativas de golpes utilizando os dados vazados.

O que podemos aprender sobre esse vazamento de dados em fornecedores terceiros?

• Diligência na escolha de fornecedores: É essencial avaliar rigorosamente a segurança dos sistemas e práticas de proteção de dados de terceiros antes de firmar parcerias. Os fornecedores são extensões da empresa e, como vimos, podem apresentar riscos.
• Monitoramento contínuo: Mesmo após a escolha de um fornecedor, deve haver monitoramento contínuo para garantir que as medidas de segurança sejam mantidas e atualizadas, especialmente diante de novas ameaças.
• Transparência e comunicação: A resposta da XP foi um exemplo positivo de como informar claramente os clientes sobre o incidente e orientar medidas de precaução, algo essencial para preservar a confiança.
• Educação contra golpes: O caso alerta sobre a importância de educar os clientes e colaboradores para identificar tentativas de fraude que podem ocorrer após vazamentos, minimizando potenciais danos.
• Investimento em segurança: Empresas precisam adotar tecnologias avançadas e políticas robustas para proteger os dados, reduzindo a vulnerabilidade tanto internamente quanto em parcerias externas.

Na prática, é possível estar livre de situações assim?

A avaliação de 3ª parte  de fornecedores pode conter questionários com perguntas relacionadas aos dados compartilhados, e também sobre  a troca de informações. Mas de certa forma está muito voltado à boa fé dos respondentes. Além disso uma avaliação não tem a mesma efetividade que uma auditoria, por exemplo, pois o objetivo dela não é entrar a fundo no ambiente do fornecedor.

Porém, entendo que existem algumas ferramentas no mercado para ajudar a avaliar riscos de ambientes de fornecedores terceiros, e essa avaliação poderia ajudar no processo de avaliação da maturidade e exposição de risco que X fornecedor trás ao seu ambiente. Ferramentas como SecureScoreCard, BitSight são alguns exemplos.

Referências:

• XP Investimentos sofre ataque cibernético e alerta clientes - TecMundo
• XP alerta para vazamento de dados de clientes; veja o que foi exposto e como se proteger – Estadão E-Investidor
• XP informa vazamento de dados de clientes | Economia | G1

Post original: BitFindeis

Desvendando a ISO 27036: Seu guia para proteger dados na relação com os seus fornecedores!

Já parou para pensar em como a segurança da informação é crucial hoje em dia? Ainda mais quando dependemos de fornecedores externos para várias atividades. E você sabia que existe uma ISO sobre esse tema? Mais uma ISO da família 27k, a ISO 27036 entra em jogo, como um guia para blindar seus dados nas relações com os fornecedores!

O que é a tal da ISO 27036?

Essa norma internacional é um manual de boas práticas para proteger informações quando sua empresa se relaciona com fornecedores. Ela cobre desde a escolha do fornecedor ideal até o acompanhamento do contrato, garantindo que seus dados estejam sempre a salvo.

A ISO 27036 é dividida em quatro partes, como se fossem capítulos de um livro:

ISO 27036-1:  Visão geral e conceitos

Essa parte te dá uma visão geral da norma, explicando os conceitos e princípios da segurança da informação na relação com fornecedores. É como se fosse o mapa da mina, mostrando o caminho para proteger seus dados.

ISO 27036-2: Requisitos

Aqui são apresentados os requisitos específicos para a segurança da informação. É tipo um conjunto de mandamentos que sua empresa precisa seguir para garantir a proteção dos dados.

ISO 27036-3: O manual de instruções: As diretrizes para a gestão da segurança da informação em relacionamentos com fornecedores

Essa parte te dá dicas práticas de como aplicar a segurança da informação no dia a dia. É como se fosse um manual de instruções, mostrando como colocar em prática os requisitos da norma.

ISO 27036-4: De olho na nuvem: Diretrizes para a segurança de serviços em nuvem

Essa parte é focada na segurança de serviços em nuvem, que se tornaram tão comuns hoje em dia. É como se fosse um guia específico para proteger seus dados quando eles estão na nuvem.

Por que a ISO 27036 é tão importante?

A ISO 27036 é uma ferramenta poderosa para empresas que querem proteger seus dados confidenciais ao lidar com fornecedores. Ao seguir essa norma, sua empresa pode:

• Reduzir riscos de segurança: A norma ajuda a identificar e mitigar os riscos de segurança associados a relacionamentos com fornecedores.
• Melhorar a conformidade: A ISO 27036 auxilia sua empresa a cumprir regulamentos e leis de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD).
• Fortalecer a reputação: Ao demonstrar compromisso com a segurança da informação, sua empresa fortalece sua reputação e a confiança de seus clientes e parceiros.
• Aumentar a eficiência: A norma fornece um framework estruturado para a gestão da segurança da informação em relacionamentos com fornecedores, otimizando processos e recursos.

A ISO 27036 é uma metodologia para proteger seus dados na relação com fornecedores. Ela é um importante meio para ajudar sua empresa com processos de VRM e TPRM, explicados no post anterior, disponível aqui para leitura. Ao entender e aplicar suas partes, sua empresa estará mais preparada para os desafios da segurança da informação no mundo digital.

Lembre-se: a segurança da informação é um trabalho constante e que depende de muitas partes! Além disso, é importante sempre revisar suas práticas para garantir que seus dados estejam sempre protegidos.

Referências: ISO.org

TPRM x VRM: Entendendo a diferença!

No mundo corporativo atual, a colaboração com fornecedores terceiros é cada vez mais comum. Seja para fornecimento de produtos, serviços ou informações, essas parcerias são essenciais para o crescimento e sucesso de qualquer organização. No entanto, essa colaboração também traz consigo uma série de riscos que precisam ser gerenciados. É aí que entram em jogo os conceitos de TPRM (Third-Party Risk Management) e VRM (Vendor Risk Management).

Embora os termos sejam frequentemente usados ​​de forma intercambiável, eles não são sinônimos. A verdade é que oVRM é um subconjunto do TPRM!

Para entender melhor essa distinção, vamos analisar cada um deles separadamente:

VRM (Vendor Risk Management)

O VRM se concentra na gestão de riscos associados ao uso de fornecedores terceirizados. Isso inclui a identificação, avaliação e mitigação de riscos relacionados a produtos, serviços ou informações fornecidas por fornecedores.

TPRM (Third-Party Risk Management)

O TPRM é um termo mais amplo que abrange todos os tipos de terceiros, incluindo fornecedores, parceiros, contratados e outros. O TPRM se concentra na gestão de riscos associados a todos os relacionamentos com terceiros, independentemente do tipo de relacionamento.

Principais diferenças entre VRM e TRPM?

Característica	VRM	TPRM
Escopo	Focado em fornecedores	Abrange todos os tipos de terceiros
Foco	Riscos relacionados a produtos, serviços ou informações fornecidas por fornecedores	Riscos relacionados a todos os relacionamentos com terceiros
Abordagem	Geralmente reativa	Geralmente proativa

Resumindo...

VRM: Gerencia os riscos específicos de fornecedores.

TPRM: Gerencia os riscos de todos os tipos de terceiros, incluindo fornecedores.

Implementando TPRM na sua empresa

Para implementar um programa de TPRM eficaz, siga estas dicas:

• Defina seus objetivos: Determine quais riscos você precisa gerenciar e quais são seus objetivos de TPRM.
• Identifique seus terceiros: Mapeie todos os seus relacionamentos com terceiros, incluindo fornecedores, parceiros e contratados.
• Avalie os riscos: Avalie os riscos associados a cada relacionamento com terceiros.
• Mitigue os riscos: Implemente medidas para mitigar os riscos identificados.
• Monitore e revise: Monitore continuamente seus relacionamentos com terceiros e revise seu programa de TPRM regularmente.

A gestão de riscos de terceiros é um aspecto crítico da gestão de riscos corporativos. Ao entender a diferença entre TPRM e VRM e implementar um programa de TPRM eficaz, sua empresa estará melhor preparada para enfrentar os desafios do mundo empresarial moderno.

Gostou deste artigo? Compartilhe nas suas redes sociais e ajude outras empresas a entenderem a importância da gestão de riscos de terceiros!

Referências: VRM and TPRM: What’s the difference? - Third Party Trust

É possível falar de ESG na Segurança da Informação?

 Olá pessoal!

Nos últimos anos temos visto a crescente importância da palavra "ESG" (Environmental, Social, and Governance) no mundo dos negócios. As empresas estão cada vez mais falando em práticas sustentáveis, responsabilidade social e boa governança. Mas e quanto à segurança da informação? Será que é possível falar de ESG nesse contexto específico? A resposta é um maravilhoso "sim". Não apenas é possível falar de ESG na segurança da informação, como também é essencial para o sucesso e a sustentabilidade dos negócios atualmente.

O ESG na Segurança da Informação

A segurança da informação possui um papel fundamental na proteção dos dados, na privacidade dos usuários e na confiabilidade dos sistemas de informação. Sendo assim, é natural que os princípios ESG sejam aplicados nesse contexto. Ao integrar os princípios ambientais, sociais e de governança na segurança da informação, as empresas podem fortalecer sua postura de responsabilidade corporativa e atender às demandas crescentes por práticas sustentáveis e éticas.

Aspectos ambientais na segurança da informação

Os riscos ambientais estão presentes no mundo digital. Demandamos de muita energia, produzimos resíduos eletrônicos e a pegada de carbono associada à infraestrutura de TI são apenas alguns exemplos. Ao adotar práticas sustentáveis na infraestrutura de segurança da informação, como por exemplo a redução do consumo de energia e o gerenciamento adequado de resíduos eletrônicos, as organizações podem mitigar esses impactos e contribuir para a preservação do meio ambiente.

Aspectos sociais na segurança da informação

A segurança da informação também tem impactos sociais. A proteção dos dados pessoais, o combate à cibercriminalidade e a inclusão digital são apenas algumas das áreas em que a segurança da informação desempenha um papel de destaque. Adotando práticas responsáveis, as empresas podem garantir a privacidade dos usuários, proteger seus direitos digitais e promover a confiança na era digital.

Aspectos de governança na segurança da informação

A boa governança dos dados é muito importante para a segurança da informação. Isso envolve a definição de políticas claras, a conformidade com a regulamentações e a prestação de contas para todas as partes interessadas. Ao implementar políticas de segurança da informação baseadas em ESG, as organizações podem demonstrar uma postura responsável e ética em relação à proteção dos dados, promovendo a confiança e a transparência.

Adotando práticas sustentáveis, promovendo a responsabilidade social e garantindo uma boa governança dos dados, as empresas estarão se posicionando como líderes responsáveis e fortalecendo os princípios ESG.

Post original em BitFindeis.

CTF: Desafiando e conscientizando! O poder dos eventos de conscientização para públicos específicos

Olá pessoal!

Hoje vamos falar um pouco sobre como a conscientização se mistura com a emoção. Estamos falando dos eventos de Capture the Flag (CTF), que vão além de uma simples competição e têm o poder de engajar e educar públicos específicos de forma única. Vamos explorar a importância de criar eventos de conscientização para públicos específicos e como os eventos de CTF podem ser um exemplo perfeito disso.

A importância da conscientização:

Antes de entrarmos nos detalhes dos eventos de CTF, vamos refletir sobre a importância da conscientização direcionada a públicos específicos. Quando falamos de conscientização, estamos nos referindo a despertar o conhecimento e a compreensão sobre um determinado tema ou problema. É como acender a luz em uma sala escura, revelando o que antes estava escondido nas sombras. Ao direcionar eventos de conscientização para públicos específicos, podemos atingir resultados mais impactantes e eficazes.

O que é um evento de CTF e como ele se encaixa?

Eventos de CTF são eventos de Capture the Flag. Originalmente inspirado em jogos infantis, o CTF evoluiu para uma competição desafiadora no mundo da tecnologia e da segurança cibernética. Os participantes enfrentam uma série de desafios e quebra-cabeças para capturar "bandeiras" virtuais e acumular pontos.

CTF como ferramenta de conscientização

Mas como exatamente os eventos de CTF se encaixam na conscientização direcionada? Bem, esses eventos têm o poder de educar e conscientizar sobre questões de segurança cibernética de uma forma divertida e envolvente. Ao criar desafios que simulam situações reais, os participantes são expostos a diferentes cenários e aprendem a identificar vulnerabilidades, proteger sistemas e tomar medidas preventivas.

CTF para públicos específicos

Sim, existem vários tipos de CTF. Os CTFs podem ser direcionados para públicos específicos. Vamos dar uma olhada em alguns exemplos:

• CTF para estudantes universitários: Um evento especialmente projetado para estudantes universitários interessados em segurança cibernética. Com desafios adaptados ao nível de conhecimento dos participantes, eles têm a oportunidade de aprimorar suas habilidades e aprender com especialistas na área.
• CTF corporativo: Empresas estão cada vez mais realizando eventos de CTF internos para conscientizar seus funcionários sobre os riscos de segurança e incentivar boas práticas. Esses eventos promovem o trabalho em equipe e incentivam a adoção de medidas de segurança no ambiente corporativo. Na empresa onde trabalho atualmente, fazemos 1 evento de CTF aberto a toda a comunidade. Este evento fecha nossa semana de segurança da informação.
• CTF para crianças: Nada como começar cedo! Eventos de CTF voltados para crianças são uma ótima maneira de despertar o interesse pelas questões de segurança cibernética desde cedo. Com desafios divertidos e educativos, as crianças aprendem enquanto se divertem.

Os eventos de CTF são uma excelente ferramenta para criar conscientização direcionada a públicos específicos. Eles combinam desafios, diversão e aprendizado em uma experiência única. Ao desenvolver eventos de conscientização para públicos específicos, podemos despertar o interesse, educar e promover a adoção de medidas preventivas. Então, vamos desafiar e conscientizar, um CTF de cada vez!

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.

Post original em BitFindeis.

Motivos para celebrar algumas datas importantes da Segurança da Informação e Privacidade

A comemoração de datas importantes relacionadas à segurança da informação, privacidade, criptografia e outros temas relacionados desempenha um papel fundamental na conscientização e promoção de boas práticas nesses campos. Essas datas são oportunidades para refletir sobre os desafios e avanços na proteção de informações pessoais e empresariais no mundo digital em constante evolução.

Por que celebramos essas datas?

Ao celebrar essas datas, buscamos educar o público sobre os riscos cibernéticos, as ameaças à privacidade e à segurança da informação, bem como fornecer informações e recursos para ajudar as pessoas a se protegerem. Além disso, as datas importantes servem como lembretes para implementar medidas proativas e adotar boas práticas de segurança em nosso cotidiano.
A conscientização gerada por essas datas é essencial, pois muitos indivíduos e organizações podem não estar cientes dos perigos e vulnerabilidades que existem no ambiente digital. Ao promover a educação e a discussão sobre segurança cibernética, privacidade, criptografia e outras áreas relacionadas, essas datas contribuem para uma maior proteção de informações sensíveis, como dados pessoais, financeiros e profissionais.
Além disso, a comemoração dessas datas permite que os profissionais da área, especialistas em segurança cibernética e defensores da privacidade compartilhem conhecimentos, experiências e melhores práticas. Isso cria uma rede de apoio e colaboração para enfrentar os desafios cada vez mais complexos e sofisticados no mundo digital.

Quais datas são realmente importantes para a área de Segurança da Informação?

• 28 de janeiro - Dia Internacional da Privacidade: Instituído para conscientizar sobre a importância da proteção de dados pessoais e promover a privacidade online. Destaca a importância da privacidade na era digital e promove boas práticas de privacidade.

• 2ª terça-feira de fevereiro - Dia da internet segura: Promove a conscientização sobre a segurança online, especialmente entre crianças e jovens, com o objetivo de tornar a Internet mais segura e responsável.

• 31 de março - Dia mundial do Backup: Essa data foi criada para conscientizar e incentivar as pessoas a fazerem cópias de segurança (backups) de seus dados importantes de forma regular.

• 1ª quinta-feira de maio - Dia da Senha (ou World Password Day): Essa data foi criada com o objetivo de conscientizar as pessoas sobre a importância de utilizar senhas fortes e seguras para proteger suas contas online.

• 25 de maio - Dia Internacional da Privacidade de Dados: Celebração anual focada na conscientização sobre os direitos à privacidade e a proteção de dados pessoais.

• 30 de setembro - Dia Internacional da Conscientização sobre a Fraude: Destaca a importância de se proteger contra fraudes, golpes e práticas enganosas em diversos setores.

• Mês de outubro inteiro - Mês da consciência sobre segurança da informação: Esse mês foi designado com o objetivo de aumentar a conscientização sobre a importância da consciência sobre segurança da informação nas organizações. Esse mês é normalmente comemorado com muitos eventos relacionados ao tema, especialmente na América do Norte. 

• 19 de outubro - Dia do profissional de TI: Essa data foi criada para homenagear e reconhecer o trabalho dos profissionais que atuam na área de Tecnologia da Informação, que desempenham um papel fundamental na sociedade moderna.

• 21 de outubro - Dia global da criptografia: Essa data foi criada para aumentar a conscientização sobre a importância da criptografia e seu papel na proteção de dados e comunicações. A criptografia é uma técnica que envolve a codificação de informações para que somente as partes autorizadas possam acessá-las, garantindo assim a confidencialidade e a integridade dos dados.

• 30 de novembro - Dia internacional da Segurança da Informação: Essa data foi criada para aumentar a conscientização sobre segurança da informação.

Essas são apenas algumas datas importantes relacionadas à segurança da informação e privacidade. Vale ressaltar que as datas podem variar de acordo com o país e o contexto, porém, as datas listadas  são amplamente reconhecidas internacionalmente.

 

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.

Post original em BitFindeis.

Como criar um processo de onboarding em segurança da informação de novos colaboradores eficaz?

 O processo de onboarding de novos colaboradores é uma etapa crucial para garantir uma integração suave e eficaz dos funcionários em uma organização. No entanto, quando se trata de segurança da informação, é essencial que os novos membros da equipe sejam adequadamente informados e treinados sobre as melhores práticas de segurança da informação, conforme as políticas da empresa. 

 Etapas para criar um processo de onboarding em segurança da informação

Mas afinal, quais são as etapas-chave para criar um processo de onboarding eficaz que priorize a conscientização e a importância da segurança da informação desde o primeiro dia?

• Planejamento antecipado: Antes mesmo do início do processo de onboarding, é fundamental incluir a segurança da informação no planejamento. Determine quais são os tópicos e conhecimentos essenciais que devem ser abordados e identifique os recursos e materiais necessários para transmitir as informações de forma clara e concisa. Considere a criação de um programa estruturado para orientar os novos colaboradores sobre as políticas, diretrizes e protocolos de segurança da informação.
• Comunicação clara e abrangente: Ao apresentar a segurança da informação aos novos colaboradores, certifique-se de que as informações sejam apresentadas de maneira clara e fácil de entender. Utilize materiais visuais, como apresentações ou infográficos, para explicar os conceitos-chave. Evite o uso excessivo de jargões técnicos, a menos que seja absolutamente necessário, e forneça exemplos práticos para ilustrar os principais pontos.
• Treinamento interativo: Promova uma abordagem interativa para o treinamento em segurança da informação durante o processo de onboarding. Além de fornecer informações teóricas, envolva os novos colaboradores em atividades práticas que os ajudem a aplicar o conhecimento adquirido. Por exemplo, simulações de ataques de phishing ou exercícios de conscientização podem ajudar a reforçar a importância de estar alerta e identificar possíveis ameaças.
• Destaque as políticas e procedimentos de segurança: Durante o processo de onboarding, é crucial apresentar as políticas e procedimentos de segurança da informação da organização de forma clara. Explique as diretrizes específicas para o uso de senhas, acesso a sistemas, compartilhamento de informações confidenciais e outros aspectos relevantes. Certifique-se de que os novos colaboradores compreendam plenamente as consequências de violar essas políticas e a importância de seguir as melhores práticas de segurança em todos os momentos.
• Mentoria e suporte contínuo: Além do treinamento inicial, é importante oferecer mentoria e suporte contínuos aos novos colaboradores em relação à segurança da informação. Designe um mentor ou membro experiente da equipe para responder a quaisquer dúvidas ou preocupações relacionadas à segurança. Incentive os funcionários a relatar incidentes de segurança ou suspeitas de atividades suspeitas e estabeleça um canal de comunicação seguro para isso.

Um processo de onboarding eficaz sobre segurança da informação é fundamental para estabelecer uma cultura de segurança desde o início da jornada de um novo colaborador na organização. Ao planejar antecipadamente, comunicar de forma clara, oferecer treinamento interativo, destacar políticas e procedimentos de segurança e fornecer suporte contínuo, as empresas podem garantir que seus funcionários estejam bem preparados para proteger os ativos de informação e contribuir para um ambiente de trabalho seguro e confiável. Investir em um onboarding robusto de segurança da informação é um investimento valioso para a proteção dos dados e a prevenção de ameaças cibernéticas.

 

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.

Post original em BitFindeis.

Criando uma semana de Segurança da Informação: um momento importante para conscientizar seus colaboradores

 A segurança da informação é fundamental nos dias de hoje. Proteger nossos dados é essencial para evitar violações de privacidade e ataques cibernéticos. Uma maneira eficaz de promover a conscientização e a adoção de práticas seguras é através da realização de uma semana de segurança da informação. 

 

Etapas para criar uma semana de segurança da informação

Algumas etapas são fundamentais para criar uma semana dedicada a educar e capacitar as pessoas a protegerem suas informações pessoais e empresariais. Vamos a elas?

1- Planejamento: Defina objetivos da semana, o público-alvo e tópicos relevantes, como proteção de senhas e conscientização sobre phishing.  Estabeleça uma agenda com as atividades que serão realizadas durante essa semana.

2- Palestras e workshops: Organize sessões interativas com especialistas em segurança da informação. Incentive perguntas e discussões para melhorar a compreensão dos participantes. Caso seu orçamento seja limitado, você também pode abordar sobre temas relacionados ao que está definido na política de segurança da sua empresa.

3- Simulações de ataques: Realize simulações para mostrar ameaças reais, como exercícios de phishing e ataques de engenharia social.

4- Campanhas de conscientização: Crie campanhas utilizando cartazes, infográficos e vídeos para transmitir mensagens sobre boas práticas de segurança. Explore os meios de divulgação disponíveis na sua empresa.

5- Recursos e materiais educativos: Forneça recursos como guias de segurança e links para sites confiáveis. Estimule uma cultura de segurança contínua.


Uma semana de segurança da informação é uma oportunidade valiosa para promover conscientização e boas práticas. Ao educar as pessoas sobre as ameaças cibernéticas e fornecer orientações sobre como se proteger, estamos fortalecendo a segurança de nossas informações, sejam elas pessoais ou corporativas. Lembre-se de que a segurança da informação é uma jornada contínua, e essa semana deve ser o ponto de partida para uma cultura de segurança duradoura.

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.

Post original em BitFindeis.

Definindo critérios para postergar prazos de mitigação de riscos de segurança da informação

 Se você trabalha com riscos de segurança da informação, possivelmente já se deparou com aquele responsável solicitando postergação do prazo do plano de ação para mitigar riscos. E muito possivelmente já viu o prazo de mitigação de algum risco ser postergado bem mais de 3 vezes.

Aí, chega-se a uma incógnita: Como definir critérios para liberar prazos de postergação de riscos?

Frameworks sobre riscos de segurança da informação

Existem diversos frameworks que nos ajudam a definir e estabelecer um programa de riscos de segurança da informação, porém o NIST (National Institute of Standards and Technology) e a ISO 27005 não especificamente listam critérios para postergar prazos de riscos. Essas são referências amplas que fornecem diretrizes e frameworks para gerenciamento de riscos e segurança da informação, mas não abordam diretamente a questão da postergação de prazos.

O NIST, por exemplo, possui diversas publicações relacionadas ao gerenciamento de riscos, como o "NIST Special Publication 800-30: Guide for Conducting Risk Assessments", que aborda os princípios e processos envolvidos na avaliação e gerenciamento de riscos de segurança da informação.

Da mesma forma, a ISO 27005 estabelece diretrizes para o gerenciamento de riscos de segurança da informação com base no processo de avaliação de riscos. Ela fornece orientações sobre a identificação, análise e avaliação de riscos, bem como a seleção de medidas de tratamento adequadas.

O NIST, por exemplo, possui diversas publicações relacionadas ao gerenciamento de riscos, como o "NIST Special Publication 800-30: Guide for Conducting Risk Assessments", que aborda os princípios e processos envolvidos na avaliação e gerenciamento de riscos de segurança da informação.

Da mesma forma, a ISO 27005 estabelece diretrizes para o gerenciamento de riscos de segurança da informação com base no processo de avaliação de riscos. Ela fornece orientações sobre a identificação, análise e avaliação de riscos, bem como a seleção de medidas de tratamento adequadas.

Embora essas referências sejam valiosas para o contexto mais amplo do gerenciamento de riscos de segurança da informação, a especificidade de critérios para postergar prazos de riscos pode variar dependendo do setor, da organização e das práticas específicas adotadas.

Normalmente é recomendado consultar as diretrizes internas da organização em questão para obter critérios mais específicos relacionados à postergação de prazos de riscos.

Mas, e se você é a pessoa que precisa definir critérios para permitir postergar prazos dos planos de ações de riscos que mitiguem o risco em questão?

 

Definindo critérios para postergar o prazo do risco

Alguns critérios podemos sugerir (baseados em nossa experiência com o processo de gestão de riscos de segurança da informação) que podem ser considerados ao liberar postergações de risco:

1- Probabilidade de ocorrência: Avalie a probabilidade de o risco ocorrer. Se a probabilidade for alta ou crítica, pode ser necessário tomar medidas adicionais para mitigar o risco antes de considerar uma postergação.

2- Impacto potencial: Analise o impacto que o risco pode ter no projeto ou nas partes interessadas envolvidas dos referidos ativos. Se o impacto for significativo e puder ser evitado ou minimizado por meio de uma postergação, isso pode ser um argumento a favor da liberação.

3- Viabilidade da postergação: Verifique se é possível adiar a atividade ou a decisão relacionada ao risco sem prejudicar o andamento geral do projeto. Considere se a postergação é viável em termos de recursos, cronograma e dependências do projeto.

4- Riscos alternativos: Considere se existem riscos alternativos que possam surgir como resultado da postergação. Avalie se a postergação realmente reduz o risco geral ou se pode introduzir novos riscos ou complicações.

5- Opções de mitigação: Avalie se existem outras opções de mitigação disponíveis para lidar com o risco, além da postergação. Considere se existem medidas alternativas que possam ser implementadas para reduzir o impacto do risco sem a necessidade de adiar atividades.

6- Análise de custo-benefício: Realize uma análise de custo-benefício para determinar se os benefícios potenciais de postergar o risco superam os custos e impactos associados à postergação. Considere os custos adicionais, possíveis atrasos e implicações para outras partes do projeto. Pediram postergação? Na justificativa peçam o custo que justifique a postergação.

7- Consulta às partes interessadas: Envolver as partes interessadas relevantes na decisão de liberar uma postergação de risco. Considere as opiniões e preocupações das partes interessadas e busque um consenso sobre a melhor abordagem a ser adotada.

8- Quantidade de vezes postergadas: O risco foi postergado por mais de 3 vezes ao longo de 1 ano? Talvez o responsável do risco esteja só jogando o risco com a barriga, ganhando tempo. Aqui talvez valha exigir um termo de aceite do diretor responsável pelo ativo do risco para que a postergação seja liberada.

 

A que conclusão chegamos sobre postergar prazos de riscos?

Em nossa experiência com gestão de riscos de segurança da informação, este item vira mais um entre tantos assuntos já encaminhados pelos responsáveis, gestores ou diretores. Muitas vezes esta solicitação de postergação é só uma justificativa para se ganhar mais tempo para solucionar, ou mitigar, um problema.

É importante lembrar que a avaliação e a decisão de liberar uma postergação de risco devem ser feitas caso a caso, levando em consideração a natureza do projeto ou produto, os riscos envolvidos e o contexto específico de cada empresa.

Post original em BitFindeis.