Embedded Files
(IRP) básico, adaptado para pequenas e médias empresas (PMEs) no Brasil, com base nas melhores práticas do mercado e alinhado com a LGPD.
1. Objetivo do Manual
1. Objetivo do Manual
Este manual estabelece as diretrizes e procedimentos para a equipe de Tecnologia da Informação (TI) e outros departamentos-chave da empresa, a fim de responder de forma eficaz a incidentes de segurança cibernética e vulnerabilidades. O objetivo é minimizar o dano, reduzir o tempo de inatividade e proteger a confidencialidade, integridade e disponibilidade dos dados, em conformidade com a Lei Geral de Proteção de Dados (LGPD).
2. Composição da Equipe de Resposta a Incidentes (IRT)
2. Composição da Equipe de Resposta a Incidentes (IRT)
A equipe deve ser pequena e multifuncional.
Membro
Função
Responsabilidade
Líder do IRT
Gestor de TI ou Segurança
Centraliza a comunicação, toma decisões e reporta à alta direção.
Analista de Segurança
Analista de Segurança/TI
Identifica, analisa e contém o incidente tecnicamente.
Assessor Jurídico
Advogado (interno ou externo)
Garante a conformidade com a LGPD e outras leis.
Relações Públicas
Marketing/Comunicação
Redige comunicados externos, se necessário, para clientes ou parceiros.
Recomendação: A equipe deve se reunir regularmente para testar o plano através de simulações de incidentes.
3. Classificação de Incidentes
3. Classificação de Incidentes
Para priorizar a resposta, os incidentes devem ser classificados por gravidade.
Gravidade
Critério
Exemplos
Baixa
Impacto mínimo, sem perda de dados.
Tentativas de login sem sucesso, varreduras de porta.
Média
Impacto moderado, dados não sensíveis afetados.
Inundação de e-mails de spam, site fora do ar por um curto período.
Alta
Impacto significativo, perda de dados sensíveis ou interrupção crítica da operação.
Ataque de ransomware, vazamento de dados de clientes, violação de servidor crítico.
4. Procedimento de Resposta a Incidentes (As 6 Fases)
4. Procedimento de Resposta a Incidentes (As 6 Fases)
Este processo é baseado no modelo do NIST (National Institute of Standards and Technology).
Fase 1: Preparação
Antes do incidente:
Mantenha um inventário atualizado de todos os ativos de TI.
Faça backups regulares de todos os dados críticos.
Mantenha softwares e sistemas operacionais atualizados (instale patches de segurança).
Implemente um sistema de monitoramento de logs (um SIEM gratuito, como o Wazuh, é uma boa opção).
Treine os funcionários para reconhecerem ameaças (phishing, engenharia social).
Fase 2: Identificação
Ocorrência: O incidente é detectado (via alerta de sistema, reclamação de funcionário ou cliente, etc.).
Ação:
O responsável aciona o Líder do IRT (Incident Response Team) imediatamente.
O Analista de Segurança coleta informações preliminares:
Quando o incidente começou?
Quais sistemas foram afetados?
Que tipo de incidente parece ser?
Objetivo: Confirmar a violação e reunir dados iniciais.
Fase 3: Contenção
Ação: O objetivo é parar o ataque para que ele não se espalhe.
Isole os sistemas ou dispositivos afetados da rede.
Se for ransomware, desligue o equipamento da tomada.
Bloquear endereços IP maliciosos no firewall.
Forçar a redefinição de senhas para as contas comprometidas.
Objetivo: Minimizar o dano e impedir que a ameaça se propague.
Fase 4: Erradicação
Ação: Remova a causa-raiz do problema.
Analise o incidente para identificar a vulnerabilidade.
Remova o malware, o software não autorizado ou o backdoor.
Corrija a vulnerabilidade (ex: aplique um patch, altere uma configuração).
Reinstale o sistema ou restaure um backup limpo.
Objetivo: Eliminar a ameaça por completo.
Fase 5: Recuperação
Ação: Restaure as operações normais e garanta que o sistema esteja seguro.
Reconecte os sistemas à rede, de forma gradual.
Monitore a rede ativamente para garantir que o incidente não se repita.
Comunique aos usuários que o serviço foi restabelecido, se aplicável.
Objetivo: Retornar ao estado normal de operação.
Fase 6: Pós-Incidente
Ação: Revise o incidente e melhore o plano de resposta.
Documente todos os detalhes: o que aconteceu, como a equipe respondeu, o que funcionou e o que não funcionou.
Identifique as lições aprendidas.
Atualize o manual e os procedimentos com base no que foi aprendido.
Obrigação LGPD: Se houver um risco ou dano relevante aos dados pessoais, o Assessor Jurídico deve notificar a ANPD e os titulares dos dados em um prazo razoável.
5. Anexo: Checklist de Resposta
5. Anexo: Checklist de Resposta
Ransomware
Ransomware
Manual de Prevenção e Resposta a Ransomware
Manual de Prevenção e Resposta a Ransomware
Este manual tem como objetivo principal proteger a empresa contra ataques de ransomware, minimizando o risco de infecção e, caso ela ocorra, garantindo uma resposta rápida e eficaz para mitigar os danos.
1. Prevenção: A Melhor Defesa
1. Prevenção: A Melhor Defesa
A melhor forma de lidar com ransomware é não ser infectado. As seguintes medidas devem ser implementadas e mantidas.
Faça Backups Regularmente: Esta é a sua defesa mais importante.
Regra 3-2-1: Mantenha três cópias dos seus dados. Armazene-os em pelo menos dois tipos de mídia diferentes. Mantenha uma cópia fora do local de trabalho (ex: na nuvem).
Teste os backups: Verifique periodicamente se os backups estão funcionando e se você consegue restaurar os dados. Se você não puder restaurar, o backup não serve para nada.
Backups offline: Mantenha um backup em um disco rígido externo que só é conectado à rede quando o backup está em andamento. Isso evita que o ransomware criptografe a cópia de segurança.
Conscientize os Funcionários: O fator humano é o elo mais fraco.
Treinamento: Eduque os funcionários sobre como identificar e-mails de phishing, que são o principal vetor de ransomware. Ensine a reconhecer links e anexos suspeitos.
Cuidado: Instrua para que não cliquem em links desconhecidos nem abram anexos de remetentes que não reconhecem.
Atualize seus Sistemas e Softwares:
Mantenha o sistema operacional (Windows, macOS) e todos os softwares (navegadores, editores de texto, etc.) sempre atualizados. As atualizações frequentemente corrigem vulnerabilidades que os criminosos exploram.
Ative as atualizações automáticas sempre que possível.
Implemente Controles de Acesso:
Restrinja o acesso de funcionários apenas aos dados e sistemas que eles precisam para trabalhar. O princípio do "privilégio mínimo" reduz o risco de um ataque se espalhar.
Use senhas fortes e únicas para cada serviço e, se possível, ative a autenticação multifator (MFA) para contas críticas, como e-mail e acesso à rede.
2. Resposta Rápida: O que Fazer se For Infectado
2. Resposta Rápida: O que Fazer se For Infectado
Se um computador exibir uma mensagem de ransomware, siga este plano de ação imediatamente.
Fase 1: Contenção Imediata
Isole o dispositivo: Desligue o computador infectado imediatamente e o desconecte da rede (desplugue o cabo de rede e desligue o Wi-Fi). Não tente desligá-lo pelo sistema operacional, pois isso pode dar tempo para o ransomware criptografar mais arquivos. Desligue-o pela tomada ou segurando o botão de energia.
Não pague o resgate: Não há garantia de que você receberá a chave de descriptografia. Pagar apenas financia o crime cibernético e incentiva futuros ataques.
Acione a equipe de resposta: Notifique imediatamente o líder de TI ou a equipe de segurança sobre a infecção.
Fase 2: Análise e Erradicação
Identifique a infecção: Use um sistema de análise para identificar o tipo de ransomware e qual a sua origem (ex: um e-mail de phishing específico, uma vulnerabilidade).
Remova a ameaça: Se um antivírus não for suficiente para remover o ransomware, o dispositivo infectado deve ser formatado.
Examine outros dispositivos: Verifique outros computadores na rede para garantir que o ataque não se espalhou.
Fase 3: Recuperação e Pós-Incidente
Restaure os dados: Use os backups que você fez para restaurar os dados.
Aprenda com o erro: Analise como o ataque aconteceu, qual foi o ponto de entrada e o que pode ser feito para evitar que se repita.
Documente: Registre o incidente, as ações tomadas e as lições aprendidas para melhorar a sua segurança no futuro.
Este manual é um ponto de partida. O sucesso dele depende da execução rigorosa das medidas de prevenção e da preparação da equipe para agir rapidamente em caso de um ataque.
DDoS (Distributed Denial of Service)
DDoS (Distributed Denial of Service)
Manual de Prevenção e Resposta a Ataques DDoS
Manual de Prevenção e Resposta a Ataques DDoS
Este manual tem como objetivo principal proteger os serviços online da empresa contra ataques de DDoS, minimizando o risco de interrupção e, caso ela ocorra, garantindo uma resposta rápida e eficaz para mitigar os danos.
1. Prevenção: Fortaleça sua Infraestrutura
1. Prevenção: Fortaleça sua Infraestrutura
A melhor forma de lidar com um ataque DDoS é estar preparado antes que ele aconteça. As seguintes medidas devem ser implementadas.
Conheça sua Capacidade:
Saiba qual é a capacidade máxima de tráfego que seus servidores e sua conexão de internet podem suportar. Isso te ajuda a identificar rapidamente se o tráfego anormal é um ataque ou apenas um pico de acesso legítimo.
Use um Provedor de Serviços de Proteção contra DDoS (DDoS Protection Service):
Esta é a medida mais eficaz e crucial. Provedores como Cloudflare, Akamai ou AWS Shield atuam como um "escudo" na frente do seu site. Eles filtram o tráfego malicioso antes que ele chegue ao seu servidor.
Eles usam técnicas avançadas para distinguir o tráfego de um bot malicioso do tráfego de um usuário real.
Configure seu Firewall e Roteador:
Use um firewall para bloquear tráfego de IPs maliciosos conhecidos ou de regiões geográficas das quais você não recebe tráfego legítimo.
Certifique-se de que a configuração do seu roteador esteja segura, desabilitando serviços que não são necessários e limitando o acesso a portas específicas.
2. Resposta Rápida: O que Fazer Durante um Ataque
Se seus serviços online (site, e-commerce, etc.) ficarem lentos ou inoperantes devido a um ataque, siga este plano de ação imediatamente.
Fase 1: Identificação e Verificação
Monitore os Sinais: Verifique se há um aumento súbito e anormal no tráfego da sua rede. Procure por indicadores como alta latência, tempo limite de conexão (timeout) e comportamento incomum de visitantes (muitos acessos de um único IP, por exemplo).
Confirme o Ataque: Use ferramentas de análise de tráfego para confirmar que é um ataque, e não um pico de tráfego legítimo. Se você usa um serviço de proteção, ele deve alertá-lo automaticamente.
Acione a equipe de resposta: Notifique imediatamente a equipe de TI ou o líder responsável.
Fase 2: Mitigação e Contenção
Acione o Provedor de DDoS: Se você tem um serviço de proteção (como Cloudflare), acione o modo de proteção. A maioria desses serviços oferece um "botão de pânico" que redireciona o tráfego imediatamente para seus servidores de filtragem.
Isole o Tráfego Malicioso: Bloqueie ou limite o tráfego de endereços IP ou sub-redes que você identificou como maliciosos.
Limite as Requisições: Se você tiver um firewall de aplicação web (WAF), configure-o para impor limites de requisição por IP.
Comunique-se: Se o ataque estiver causando interrupção, informe os clientes sobre o problema e as ações que estão sendo tomadas. A transparência ajuda a manter a confiança.
Fase 3: Recuperação e Pós-Incidente
Restaure a Conexão: Após o ataque ser mitigado, desative as medidas temporárias de bloqueio de tráfego para restaurar o acesso normal.
Análise do Ataque: Analise os logs do ataque para entender a origem, o tipo de ataque e a sua intensidade.
Fortaleça a Defesa: Use as lições aprendidas para melhorar suas defesas. Por exemplo, se o ataque foi de um tipo específico, configure as regras de firewall para se protegerem contra ele no futuro.
Este manual é um ponto de partida. A melhor defesa contra DDoS é um serviço de proteção profissional que pode absorver o ataque, impedindo que ele sequer chegue até você.
Vírus
Vírus
Manual de Prevenção e Resposta a Vírus
Manual de Prevenção e Resposta a Vírus
Este manual estabelece as diretrizes para proteger os sistemas e a rede da empresa contra infecções por vírus e outros tipos de software malicioso. Ele inclui ações de prevenção e um plano de resposta em caso de detecção.
1. O que é um Vírus?
1. O que é um Vírus?
Um vírus de computador é um tipo de software malicioso que se anexa a um programa legítimo e se espalha para outros arquivos e sistemas. Ele pode danificar dados, corromper arquivos ou usar os recursos do computador para fins maliciosos.
A maioria das infecções ocorre através de:
E-mails de phishing: Anexos ou links maliciosos.
Downloads da internet: Software pirata ou arquivos de sites não confiáveis.
Dispositivos externos: Pen drives ou HDs infectados.
2. Prevenção: Mantenha-se Seguro
2. Prevenção: Mantenha-se Seguro
A melhor defesa contra o vírus é a prevenção. As seguintes medidas são obrigatórias para todos os funcionários e sistemas.
Antivírus e Firewall:
Todos os computadores da empresa devem ter um antivírus instalado e ativo.
Certifique-se de que o antivírus é atualizado automaticamente.
O firewall (nativo do sistema operacional ou um de terceiros) deve estar sempre habilitado para bloquear tráfego suspeito.
Atualizações do Sistema e Aplicativos:
Mantenha o sistema operacional (Windows, macOS) e todos os softwares (navegadores, editores, etc.) sempre atualizados. As atualizações frequentemente corrigem vulnerabilidades que os vírus exploram para entrar nos sistemas.
Ative as atualizações automáticas sempre que possível.
Conscientização dos Funcionários:
Não clique em links suspeitos ou baixe anexos de remetentes desconhecidos.
Não use pen drives de origem desconhecida no seu computador de trabalho.
Evite sites de downloads piratas.
Política de Privilégios Mínimos:
Apenas os administradores de TI devem ter permissões para instalar novos programas.
A maioria dos funcionários deve usar contas sem privilégios de administrador para reduzir o risco de uma infecção.
Backups:
Faça backups regulares dos dados críticos da empresa.
Teste a capacidade de restauração dos backups periodicamente.
3. Resposta: O que Fazer se um Vírus for Detectado
3. Resposta: O que Fazer se um Vírus for Detectado
Se um vírus for detectado ou se o computador apresentar comportamento estranho, siga este plano de ação imediatamente.
Fase 1: Contenção Imediata
Isole o Dispositivo: Desconecte o computador infectado da rede imediatamente (desconecte o cabo de rede ou desligue o Wi-Fi). Isso evita que o vírus se espalhe para outros computadores.
Acione a Equipe de TI: Notifique o suporte de TI ou a equipe de segurança sobre a suspeita de infecção.
Fase 2: Análise e Erradicação
Análise da Ameaça: A equipe de TI fará uma varredura completa no sistema com ferramentas de segurança e análise forense para identificar o tipo de vírus e como ele entrou.
Remoção do Vírus: A equipe de TI tentará remover o vírus. Se a remoção não for bem-sucedida ou se o sistema estiver seriamente comprometido, ele deverá ser formatado.
Verificação: A equipe de TI verificará outros computadores na rede para garantir que o vírus não se espalhou.
Fase 3: Recuperação e Pós-Incidente
Restauração: Se os arquivos foram corrompidos, a equipe de TI restaurará os dados do último backup seguro.
Aprenda com a Infecção: Analise como a infecção ocorreu (ex: qual funcionário abriu o e-mail malicioso). Use essa informação para fortalecer as defesas e conscientizar os funcionários.
Documentação: Documente o incidente, as ações tomadas e as lições aprendidas para melhorar a segurança da empresa.
Cavalos de Tróia
Cavalos de Tróia
Manual de Prevenção e Resposta a Cavalos de Troia
Manual de Prevenção e Resposta a Cavalos de Troia
Este manual estabelece diretrizes para proteger os sistemas e a rede da empresa contra a infecção por cavalos de Troia. Ele inclui ações preventivas e um plano de resposta em caso de detecção.
1. O que é um Cavalo de Troia?
1. O que é um Cavalo de Troia?
Um cavalo de Troia (ou Trojan) é um tipo de malware que se disfarça de software legítimo e útil, enganando o usuário para que o instale. Ele não se replica como um vírus, mas causa danos sérios. Depois de instalado, o cavalo de Troia pode:
Roubar dados confidenciais (senhas, dados bancários).
Permitir acesso remoto a um invasor (backdoor).
Instalar outro malware (como ransomware).
Criptografar arquivos e pedir resgate.
A maioria das infecções acontece através de:
Software pirateado ou crackeado.
Anexos de e-mail maliciosos disfarçados de documentos importantes.
Downloads de sites não confiáveis.
2. Prevenção: Mantenha-se Alerta
2. Prevenção: Mantenha-se Alerta
A prevenção é a melhor forma de defesa. As seguintes medidas são obrigatórias para todos os funcionários e sistemas.
Antivírus e Firewall:
Todos os computadores devem ter um antivírus instalado e atualizado.
O firewall (nativo do sistema operacional ou de terceiros) deve estar sempre habilitado para monitorar e bloquear conexões de saída suspeitas.
Conscientização dos Funcionários:
Não baixe software de sites não oficiais ou de fontes desconhecidas. Isso é a principal causa de infecção.
Não abra anexos ou clique em links de remetentes desconhecidos ou que pareçam suspeitos, mesmo que o e-mail pareça urgente.
Atualizações:
Mantenha o sistema operacional e todos os aplicativos (navegadores, leitores de PDF, etc.) sempre atualizados. As atualizações frequentemente corrigem vulnerabilidades que os cavalos de Troia exploram para entrar.
Política de Privilégios Mínimos:
Apenas a equipe de TI deve ter permissão para instalar novos programas.
Os funcionários devem usar contas sem privilégios de administrador. Isso evita que um cavalo de Troia tenha acesso total ao sistema.
Backups:
Faça backups regulares dos dados críticos da empresa. Isso é fundamental, pois muitos cavalos de Troia agem em conjunto com ransomware.
3. Resposta: O que Fazer se um Cavalo de Troia for Detectado
3. Resposta: O que Fazer se um Cavalo de Troia for Detectado
Se um cavalo de Troia for detectado ou se o computador apresentar um comportamento suspeito (lentidão, pop-ups inesperados, arquivos desaparecendo), siga este plano de ação imediatamente.
Fase 1: Contenção Imediata
Isole o Dispositivo: Desligue o computador infectado e o desconecte da rede (cabo de rede ou Wi-Fi). Isso evita que o malware se comunique com o invasor e se espalhe para outros sistemas.
Acione a Equipe de TI: Notifique a equipe de suporte de TI sobre a suspeita de infecção.
Fase 2: Análise e Erradicação
Análise: A equipe de TI fará uma varredura completa no sistema para identificar o cavalo de Troia. Se ele agiu como um backdoor, é crucial identificar quais arquivos ele acessou ou roubou.
Remoção: Tente remover o malware com as ferramentas de segurança. Se a remoção for complexa ou o sistema estiver seriamente comprometido, a formatação e reinstalação do sistema operacional são a melhor opção.
Verificação: A equipe de TI verificará outros computadores na rede para garantir que a ameaça não se espalhou.
Fase 3: Recuperação e Pós-Incidente
Restauração: Se os arquivos foram roubados ou criptografados, a equipe de TI restaurará os dados do último backup seguro.
Aprendizado: Analise como a infecção ocorreu e use essa informação para fortalecer as defesas e educar os funcionários.
Documentação: Registre o incidente, as ações tomadas e as lições aprendidas para melhorar a segurança da empresa.
Spyware
Spyware
Manual de Prevenção e Resposta a Spyware
Este manual estabelece as diretrizes para proteger os sistemas e a rede da empresa contra infecções por spyware. Ele inclui ações preventivas e um plano de resposta em caso de detecção.
1. O que é Spyware?
1. O que é Spyware?
Spyware é um software malicioso projetado para coletar informações sobre um usuário ou uma organização sem o seu conhecimento. Ele atua secretamente, monitorando a atividade do computador, capturando dados confidenciais e transmitindo-os a um invasor.
O spyware pode:
Roubar senhas e informações bancárias.
Gravar o que é digitado no teclado (keylogging).
Capturar telas e informações de sites.
Controlar o microfone ou a webcam do dispositivo.
A maioria das infecções ocorre através de:
Downloads de softwares gratuitos ou piratas.
E-mails de phishing com links ou anexos maliciosos.
Pop-ups falsos que afirmam que seu computador precisa de um "limpador de vírus".
2. Prevenção: Fique um Passo à Frente
2. Prevenção: Fique um Passo à Frente
A melhor defesa contra spyware é a prevenção. As seguintes medidas são obrigatórias para todos os funcionários e sistemas.
Antivírus e Anti-Spyware:
Todos os computadores da empresa devem ter um antivírus robusto com capacidade de detecção de spyware.
Mantenha o software de segurança sempre atualizado.
Navegação Segura:
Use um navegador com recursos de segurança integrados, como a proteção contra pop-ups.
Não clique em pop-ups de publicidade ou que prometem prêmios.
Não baixe software de sites não confiáveis ou de fontes desconhecidas.
Senhas Fortes:
Use senhas fortes e únicas para todas as contas e ative a autenticação multifator (MFA) sempre que possível. Um keylogger pode capturar a sua senha, mas não o seu código de MFA.
Política de Privilégios Mínimos:
Apenas a equipe de TI deve ter permissões para instalar novos programas.
Os funcionários devem usar contas sem privilégios de administrador. Isso evita que um spyware tenha acesso total ao sistema.
Conscientização dos Funcionários:
Eduque os funcionários sobre como identificar links e anexos suspeitos.
Reforce a ideia de que a navegação segura é uma responsabilidade de todos.
3. Resposta: O que Fazer se um Spyware for Detectado
3. Resposta: O que Fazer se um Spyware for Detectado
Se um computador apresentar sinais de spyware (lentidão, pop-ups inesperados, atividade suspeita na internet), siga este plano de ação imediata.
Fase 1: Contenção Imediata
Isole o Dispositivo: Desconecte o computador suspeito da rede imediatamente (desconecte o cabo de rede ou desligue o Wi-Fi). Isso impede que o spyware transmita dados confidenciais a um invasor.
Acione a Equipe de TI: Notifique a equipe de suporte de TI sobre a suspeita de infecção.
Mude as Senhas: Se a atividade do computador puder ter sido monitorada, altere todas as senhas de contas importantes (e-mail, redes sociais, sistemas da empresa) a partir de um dispositivo seguro.
Fase 2: Análise e Erradicação
Análise da Ameaça: A equipe de TI fará uma varredura completa no sistema com as ferramentas de segurança para identificar o spyware.
Remoção do Spyware: Tente remover o software malicioso com as ferramentas de segurança. Se a remoção não for bem-sucedida ou se o sistema estiver seriamente comprometido, a formatação e reinstalação do sistema operacional são a melhor opção.
Fase 3: Recuperação e Pós-Incidente
Verificação: A equipe de TI deve verificar outros computadores na rede para garantir que a ameaça não se espalhou.
Aprendizado: Análise como a infecção ocorreu e use essa informação para fortalecer as defesas.
Documentação: Registre o incidente, as ações tomadas e as lições aprendidas para melhorar a segurança da empresa.
Phishing
Phishing
Manual de Prevenção e Resposta a Ataques de Phishing
Manual de Prevenção e Resposta a Ataques de Phishing
Este manual estabelece as diretrizes para proteger a empresa contra ataques de phishing, o principal vetor de entrada para a maioria dos incidentes de cibersegurança. O foco é educar os funcionários, que são a primeira linha de defesa.
1. O que é Phishing?
1. O que é Phishing?
Phishing é um ataque de engenharia social que usa a comunicação para enganar as pessoas, fazendo-as revelar informações confidenciais (como senhas, dados de cartão de crédito) ou executar ações perigosas (como baixar um arquivo malicioso). Os criminosos se disfarçam de uma entidade confiável, como um banco, um colega de trabalho ou um serviço conhecido.
Os ataques mais comuns são:
Phishing por E-mail: O tipo mais comum. Mensagens com links e anexos suspeitos.
Spear Phishing: Ataques direcionados a uma pessoa específica, com informações personalizadas para parecerem mais críveis.
Vishing: Phishing feito por telefone.
Smishing: Phishing por SMS.
2. Prevenção: Mantenha-se Alerta
2. Prevenção: Mantenha-se Alerta
A prevenção é a única forma eficaz de combater o phishing. A educação e a vigilância de cada funcionário são fundamentais.
Verifique o Remetente:
Sempre desconfie de e-mails que parecem vir de um serviço conhecido.
Passe o mouse sobre o endereço de e-mail do remetente para ver o endereço real. Um e-mail do "https://www.google.com/search?q=banco.itau.com" vindo de "@outloook.com" é um sinal claro de fraude.
Cuidado com Anexos e Links:
Nunca clique em links ou baixe anexos de e-mails inesperados, mesmo que pareçam urgentes.
Passe o mouse sobre o link para ver o endereço real. Se o link não corresponder ao site oficial (ex: apple.com.br), é um sinal de alerta.
Fique de Olho na Urgência e Erros:
Os e-mails de phishing frequentemente usam linguagem de urgência ("Sua conta será bloqueada!") para forçar uma ação rápida.
Erros de gramática e de ortografia são sinais comuns de que a mensagem não é legítima.
Use Autenticação Multifator (MFA):
O MFA exige uma segunda forma de verificação (como um código no celular) para o login. Se um atacante roubar sua senha por phishing, ele ainda não conseguirá acessar sua conta.
Habilite a MFA em todos os serviços que a oferecem.
Nunca Compartilhe Credenciais:
Nenhum serviço legítimo (banco, suporte de TI, etc.) pedirá sua senha por e-mail, telefone ou mensagem de texto.
3. Resposta: O que Fazer se For Alvo de um Ataque
3. Resposta: O que Fazer se For Alvo de um Ataque
Se você suspeitar que foi alvo de um ataque de phishing ou que clicou em um link malicioso, siga este plano de ação imediata.
Fase 1: Contenção Imediata
Isole o Dispositivo: Se você baixou um arquivo, desligue o computador e o desconecte da rede (desligue o Wi-Fi ou desconecte o cabo de rede).
Mude suas Credenciais: A partir de outro dispositivo seguro, altere a senha da conta comprometida imediatamente. Se você usar a mesma senha em outros sites, mude todas elas.
Acione a Equipe de TI: Notifique a equipe de suporte de TI sobre a suspeita de incidente. Eles irão investigar a extensão do ataque.
Fase 2: Análise e Erradicação
Análise da Ameaça: A equipe de TI fará uma varredura completa no sistema para garantir que nenhum malware foi instalado.
Remoção: Se um software malicioso foi detectado, ele será removido. Em casos graves, o sistema pode precisar ser formatado.
Fase 3: Recuperação e Pós-Incidente
Monitoramento: A equipe de TI monitorará sua conta em busca de atividades suspeitas, como acessos não autorizados.
Aprendizado: A equipe de segurança usará o incidente como um estudo de caso para educar outros funcionários.
Documentação: O incidente será documentado para ajudar a empresa a fortalecer suas defesas no futuro.
Engenharia Social
Engenharia Social
Manual de Prevenção e Resposta a Ataques de Engenharia Social
Manual de Prevenção e Resposta a Ataques de Engenharia Social
Este manual estabelece as diretrizes para proteger a empresa contra ataques de engenharia social, que manipulam a confiança e o comportamento humano. O foco é educar os funcionários, que são a primeira e mais importante linha de defesa.
1. O que é Engenharia Social?
1. O que é Engenharia Social?
Engenharia Social é a arte de manipular as pessoas para que revelem informações confidenciais ou executem ações perigosas. Diferente de ataques técnicos que exploram falhas de software, a engenharia social explora a confiança, a curiosidade, a urgência ou o medo.
Os ataques mais comuns incluem:
Phishing: Uso de e-mails, SMS ou mensagens falsas para enganar as vítimas.
Vishing: Phishing por telefone, onde o atacante se passa por uma autoridade (banco, suporte de TI).
Pretexting: O atacante cria uma história falsa (um pretexto) para obter informações. Ex: "Sou do suporte técnico, preciso que me passe sua senha para resolver um problema urgente."
Baiting: Atrair a vítima com uma promessa falsa, como um pendrive infectado com "filmes grátis".
2. Prevenção: Mantenha-se Alerta
2. Prevenção: Mantenha-se Alerta
A prevenção é a única forma eficaz de combater a engenharia social. A educação e a vigilância de cada funcionário são fundamentais.
Verifique a Fonte: Sempre desconfie de mensagens inesperadas ou solicitações urgentes. Verifique a identidade do remetente. Se for por telefone, desligue e ligue de volta para o número oficial da empresa.
Cuidado com a pressa: Engenheiros sociais criam um senso de urgência para que você aja sem pensar. Pare e pense: uma solicitação para transferir dinheiro ou compartilhar senhas é sempre motivo para desconfiar.
Proteja suas Credenciais:
Nunca compartilhe suas senhas com ninguém, mesmo que a pessoa diga que é do suporte de TI.
Ative a Autenticação Multifator (MFA) para todas as contas que oferecem essa opção. Se um atacante roubar sua senha, ele ainda não conseguirá entrar.
Seja Cético: Se algo parece bom demais para ser verdade (como uma oferta de prêmio inesperada), provavelmente é uma fraude.
Denuncie: Se você receber uma mensagem suspeita ou uma ligação de engenharia social, não responda. Relate imediatamente à equipe de segurança da empresa.
3. Resposta: O que Fazer se For Alvo de um Ataque
3. Resposta: O que Fazer se For Alvo de um Ataque
Se você suspeitar que foi alvo de um ataque de engenharia social ou que revelou alguma informação, siga este plano de ação imediatamente.
Fase 1: Contenção Imediata
Mude suas Credenciais: Se você compartilhou sua senha, altere-a imediatamente em todas as contas em que a usou. Use um dispositivo seguro para fazer isso.
Isole o Dispositivo: Se você baixou um arquivo ou programa suspeito, desligue o computador e o desconecte da rede (desligue o Wi-Fi ou desconecte o cabo de rede).
Acione a Equipe de TI: Notifique a equipe de suporte sobre a suspeita de incidente. Eles irão investigar a extensão do ataque.
Fase 2: Análise e Erradicação
Análise da Ameaça: A equipe de TI fará uma varredura completa no sistema para garantir que nenhum malware foi instalado.
Verificação de Logs: A equipe verificará os logs de acesso para ver se houve atividade não autorizada em sua conta.
Remoção: Se um software malicioso foi detectado, ele será removido. Em casos graves, o sistema pode precisar ser formatado.
Fase 3: Recuperação e Pós-Incidente
Monitoramento: A equipe de TI monitora sua conta em busca de atividades suspeitas, como acessos não autorizados.
Aprendizado: A equipe de segurança usará o incidente como um estudo de caso para educar outros funcionários e fortalecer as defesas.
Documentação: O incidente será documentado para ajudar a empresa a aprimorar seus treinamentos de segurança no futuro.
Vazamento de Dados
Vazamento de Dados
Manual de Prevenção e Resposta a Vazamento de Dados
Manual de Prevenção e Resposta a Vazamento de Dados
Este manual estabelece as diretrizes e os procedimentos para a equipe de Tecnologia da Informação (TI) e outros departamentos, com o objetivo de proteger dados confidenciais e pessoais da empresa. O foco é prevenir um vazamento e, caso ele ocorra, garantir uma resposta rápida e eficaz para mitigar os danos, em total conformidade com a LGPD.
1. O que é um Vazamento de Dados?
1. O que é um Vazamento de Dados?
Um vazamento de dados é um incidente de segurança em que informações confidenciais ou sensíveis são acessadas, roubadas, divulgadas ou expostas a um terceiro não autorizado.
Os vazamentos podem ocorrer por:
Ataques cibernéticos: Ransomware, invasão de servidores.
Erros humanos: Envio de e-mail com dados confidenciais para o destinatário errado.
Ameaças internas: Um funcionário mal-intencionado que copia dados.
2. Prevenção: Proteja o Ativo mais Valioso
2. Prevenção: Proteja o Ativo mais Valioso
A melhor forma de lidar com um vazamento de dados é evitar que ele aconteça. As seguintes medidas devem ser implementadas.
Conheça seus Dados:
Mapeamento de Dados: Identifique quais dados a empresa armazena (de clientes, funcionários, fornecedores), onde eles estão e quem tem acesso a eles.
Classificação de Dados: Classifique os dados por nível de sensibilidade (público, interno, confidencial, pessoal e sensível). Dê prioridade máxima à proteção de dados pessoais.
Implemente Controles de Segurança:
Controle de Acesso: Garanta que apenas os funcionários com necessidade de acesso tenham permissão para ver ou editar dados confidenciais. Use senhas fortes e autenticação multifator (MFA).
Criptografia: Criptografar dados sensíveis em repouso (armazenados em servidores) e em trânsito (durante a transferência).
Firewall e Antivírus: Mantenha um firewall e um antivírus atualizado para proteger a rede de invasores e malwares.
Conscientização dos Funcionários:
Treinamento: Eduque os funcionários sobre a importância da proteção de dados e sobre os riscos de ataques como phishing.
Políticas de Uso: Estabeleça políticas claras sobre como os funcionários devem manusear dados sensíveis, como não usar pendrives de terceiros ou enviar dados por e-mail não criptografado.
3. Resposta: O que Fazer Durante um Vazamento
3. Resposta: O que Fazer Durante um Vazamento
Se a empresa suspeitar ou confirmar um vazamento de dados, a resposta deve ser imediata, coordenada e em conformidade com a lei.
Fase 1: Detecção e Avaliação
Isole a Fonte: Isole o sistema, dispositivo ou conta que foi comprometido para evitar que o vazamento se espalhe.
Confirme o Vazamento: O líder de TI ou segurança deve confirmar se o vazamento ocorreu e qual a sua extensão.
Avalie o Impacto: A equipe deve determinar quais dados foram comprometidos (nomes, CPFs, dados bancários), qual o número de pessoas afetadas e qual o risco para elas. Essa avaliação é crucial para a notificação legal.
Fase 2: Comunicação e Notificação Legal
Acione a Equipe de Resposta: Notifique a equipe de resposta a incidentes, incluindo o advogado responsável pela conformidade com a LGPD.
Notificação à ANPD: Se o vazamento representar um "risco ou dano relevante" para os titulares dos dados, a empresa deve notificar a Autoridade Nacional de Proteção de Dados (ANPD) em um prazo razoável.
Notificação aos Titulares dos Dados: Se a LGPD for aplicável, a empresa deve comunicar os clientes e outros afetados sobre o vazamento de forma clara e objetiva.
Fase 3: Mitigação e Recuperação
Redefinir Senhas: Fazer a redefinição de senhas para as contas comprometidas.
Restaurar Backups: Se os dados foram corrompidos ou roubados, a equipe de TI deve restaurar os dados a partir do último backup seguro.
Análise Forense: Conduza uma investigação completa para identificar a causa-raiz do vazamento e as vulnerabilidades exploradas.
4. Pós-Incidente: Lições Aprendidas
4. Pós-Incidente: Lições Aprendidas
Após a resposta, a empresa deve analisar o incidente para evitar que ele se repita.
Relatório: Elabore um relatório detalhado sobre o incidente, incluindo as ações tomadas e as lições aprendidas.
Melhorias: Use o conhecimento adquirido para fortalecer as defesas, como aprimorar as políticas de segurança ou investir em novas tecnologias.
A chave para a segurança contra vazamentos de dados é a preparação, a vigilância e um plano de resposta claro, que combine ações técnicas com obrigações legais.
Violações em Sistemas
Violações em Sistemas
Manual de Prevenção e Resposta a Violações em Sistemas
Este manual estabelece as diretrizes para proteger os sistemas e a rede da empresa contra acessos não autorizados. Ele aborda tanto a prevenção quanto as ações necessárias em caso de um ataque.
1. O que é uma Violação de Sistema?
1. O que é uma Violação de Sistema?
Uma violação de sistema é um incidente de segurança em que um invasor obtém acesso não autorizado a um computador, servidor, rede ou sistema. O objetivo pode ser roubar dados, instalar malware, causar interrupção ou danificar a infraestrutura.
As violações ocorrem principalmente por:
Credenciais roubadas: Senhas fracas ou vazadas, roubadas por phishing ou outros meios.
Vulnerabilidades: Falhas de software não corrigidas que permitem que o invasor entre.
Ameaças internas: Um funcionário com acesso privilegiado que age de má-fé.
2. Prevenção: Fortaleça a sua Fortaleza
2. Prevenção: Fortaleça a sua Fortaleza
A prevenção é a melhor forma de defesa. As seguintes medidas são obrigatórias para todos os sistemas e funcionários.
Gerenciamento de Acesso e Credenciais:
Senhas Fortes: Todos os funcionários devem usar senhas fortes e únicas para cada serviço.
Autenticação Multifator (MFA): Habilite a MFA em todos os sistemas críticos. Isso é a defesa mais eficaz contra roubo de credenciais.
Princípio do Mínimo Privilégio: Os funcionários só devem ter acesso aos dados e sistemas que precisam para trabalhar. As contas de administrador devem ser usadas apenas quando estritamente necessário.
Atualização e Gerenciamento de Vulnerabilidades:
Patches: Mantenha o sistema operacional e todos os softwares sempre atualizados. As atualizações frequentemente corrigem falhas de segurança conhecidas.
Varredura de Vulnerabilidades: Use ferramentas para escanear regularmente seus sistemas e encontrar vulnerabilidades antes que os invasores as explorem.
Monitoramento e Detecção:
Logs: Configure a auditoria e os logs de acesso em todos os servidores. Monitore logs de login e de atividade de contas privilegiadas para identificar comportamentos incomuns.
Sistemas de Detecção: Se possível, use um Sistema de Detecção de Intrusões (IDS) para monitorar o tráfego de rede em busca de atividade maliciosa.
3. Resposta: O que Fazer se uma Violação Ocorrer
3. Resposta: O que Fazer se uma Violação Ocorrer
Se um sistema apresentar comportamento suspeito ou se for confirmado que ele foi violado, siga este plano de ação imediatamente.
Fase 1: Contenção Imediata
Isole o Sistema: Desconecte o sistema ou servidor violado da rede imediatamente. Isso impede que o invasor se mova para outros sistemas ou que a ameaça se espalhe.
Mantenha as Evidências: Desligue o sistema de forma controlada apenas se ele não estiver processando dados. Se possível, mantenha-o ligado e tire-o da rede, para que as evidências na memória RAM não se percam.
Acione a Equipe de Resposta: Notifique a equipe de TI ou o responsável pela segurança.
Fase 2: Análise e Erradicação
Análise Forense: A equipe de TI ou um especialista externo fará uma investigação para descobrir como o invasor entrou, qual vulnerabilidade foi explorada e o que ele fez no sistema.
Remoção: Remova a causa-raiz da violação (ex: remova um backdoor, aplique um patch, desative a conta comprometida).
Verificação: Verifique outros sistemas para garantir que a ameaça não se espalhou.
Fase 3: Recuperação e Pós-Incidente
Restauração: Se os arquivos foram corrompidos ou alterados, a equipe de TI restaurará os dados do último backup seguro.
Fortaleça as Defesas: Com base nas lições aprendidas, fortaleça suas defesas. Por exemplo, se a violação foi por um ataque de força bruta, aprimore a política de senhas.
Documentação: Registre o incidente, as ações tomadas e as lições aprendidas para melhorar a segurança da empresa.
Page updated
Google Sites
Report abuse