A quem se destina este manual?
Este manual foi preparado com um objetivo simples em mente: ajudar organizações da sociedade civil a desenvolver um plano de segurança cibernética compreensível e implementável. À medida que o mundo migra cada vez mais para a modalidade online, a segurança cibernética deixa de ser apenas uma palavra da moda, e passa a ser vista como um conceito crítico para o sucesso de uma organização e a segurança de um time. Em especial, para organizações da sociedade civil nos espaços de democracia, advocacia, prestação de contas e direitos humanos, a segurança da informação (tanto online quanto offline) é um desafio que requer foco, investimento e vigilância.
Sua organização provavelmente será, se já não tiver sido, alvo de um ataque de segurança cibernética. A intenção aqui não é alarmar, mas sim falar de um fato que é realidade até mesmo para as organizações que não se consideram alvos de fato.
Em um ano médio, o Centro de Estudos Estratégicos e Internacionais, que mantém uma lista atualizada do que considera ser “incidentes cibernéticos significativos", cataloga centenas de ataques cibernéticos graves, muitos dos quais têm como alvo dezenas, senão centenas, de organizações simultaneamente. Além desses ataques denunciados, a cada ano, provavelmente há centenas de outros ataques menores que não são detectados ou relatados, muitos deles direcionados a organizações da sociedade civil que trabalham para apoiar a democracia, a responsabilidade e os direitos humanos. Muitas vezes, organizações que representam mulheres ou outros grupos marginalizados são particularmente visadas.
Ataques cibernéticos como esses têm consequências significativas. Se o objetivo é ter acesso ao seu dinheiro, reprimir sua voz, atrapalhar suas operações organizacionais, manchar sua reputação ou até mesmo roubar informações que podem causar danos psicológicos ou físicos aos seus parceiros ou funcionários, essas ameaças precisam ser levadas a sério.
A boa notícia é que você não precisa se tornar um codificador ou tecnólogo para defender a si mesmo e sua organização contra ameaças desse tipo. No entanto, você precisa estar preparado para investir esforço, energia e tempo no desenvolvimento e implementação de um plano de segurança organizacional que seja forte.
Se você nunca pensou em segurança cibernética na sua organização, não teve tempo de se concentrar nela, ou conhece algumas noções básicas sobre o tema, mas acha que sua organização poderia melhorar sua própria segurança cibernética, este manual foi feito para você. Independentemente de sua origem, este manual tem como objetivo fornecer à sua organização as informações essenciais necessárias para implementar um plano de segurança sólido. Um plano que ultrapasse o simples ato de colocar palavras no papel e possibilita que as melhores práticas sejam colocadas em ação.
O que é um plano de segurança e por que minha organização deveria adotar um?
Um plano de segurança é o conjunto de políticas, procedimentos e instruções escritas que foi definido por sua organização para alcançar o nível de segurança que você e seu time consideram adequados para proteger seus colaboradores, parceiros e informações.
Um plano de segurança organizacional bem elaborado e atualizado reforça a segurança e eficácia de uma organização, proporcionando a tranquilidade necessária para que os colaboradores se concentrem no importante trabalho diário que precisam desenvolver. Sem pensar em um plano abrangente, é muito fácil não enxergar certos tipos de ameaças, mantendo foco excessivo em determinado risco ou ignorando a segurança cibernética até que uma crise aconteça.
Quando você começa a desenvolver um plano de segurança, há algumas perguntas importantes para fazer a si mesmo que formam um processo conhecido como avaliação de risco. Responder a essas perguntas ajuda sua organização a entender as ameaças exclusivas enfrentadas. Além disso, com esse questionamento, você consegue dar um passo para trás e pensar de forma abrangente sobre o que precisa de proteção, e contra quem. Avaliadores treinados, auxiliados por sistemas como a estrutura de auditoria SAFETAG da Internews, podem ajudar a conduzir sua organização nesse processo. É válido ter acesso a esse nível de conhecimento profissional, porém, mesmo que você não possa passar por uma avaliação completa, procure se reunir com sua organização para considerar cuidadosamente as questões-chave a seguir:
Quais ativos sua organização possui e o que você deseja proteger?
Você pode começar a responder a essas perguntas criando um catálogo de todos os ativos da sua organização. Informações como mensagens, e-mails, contatos, documentos, calendários e locais são todos ativos possíveis. Telefones, computadores e outros dispositivos podem ser ativos. Além disso, pessoas, conexões e relacionamentos também podem ser ativos. Faça uma lista de seus ativos e tente catalogá-los em ordem de importância para a organização, onde você os mantém (talvez vários locais digitais ou físicos) e o que impede que outras pessoas os acessem, danifiquem ou interfiram neles. Tenha em mente que nem tudo tem a mesma importância. Se alguns dos dados da organização são uma questão de registro público ou informações que você já publica, não são segredos que você precisa proteger.
Quem são seus adversários e quais são suas capacidades e motivações?
“Adversário” é um termo comumente usado em segurança organizacional. Em termos simples, adversários são atores (indivíduos ou grupos) que estão interessados em atingir sua organização, atrapalhar seu trabalho e obter acesso ou destruir suas informações: os criminosos. Golpistas financeiros, concorrentes, autoridades ou governos locais ou nacionais, ou hackers com motivação política ou ideológica são exemplos de possíveis adversários. É importante fazer uma lista de seus adversários e pensar criticamente sobre quem pode querer gerar um impacto negativo na sua organização e sua equipe. Embora seja fácil imaginar atores externos (como um governo estrangeiro ou um grupo político específico) como adversários, lembre-se também de que os adversários podem ser pessoas que você conhece, como funcionários insatisfeitos, ex-funcionários e familiares ou parceiros que não desejam oferecer apoio. Diferentes adversários representam ameaças distintas e possuem recursos e capacidades diferentes para interferir nas suas operações e obter acesso ou destruir suas informações. Por exemplo, os governos costumam dispor de elevado capital e recursos poderosos, incluindo a capacidade de desativar a Internet ou usar tecnologia de vigilância onerosa; as redes móveis e os provedores de Internet provavelmente têm acesso a registros de chamadas e históricos de navegação; hackers habilidosos em redes Wi-Fi públicas têm a capacidade de interceptar comunicações ou transações financeiras mal protegidas. Você pode até se tornar seu próprio adversário, por exemplo, ao excluir acidentalmente arquivos importantes ou enviar mensagens privadas para a pessoa errada.
É provável que os motivos dos adversários sejam diferentes de acordo com as capacidades, interesses e estratégias que possuem. Eles estão interessados em descreditar sua organização? Talvez eles tenham a intenção de silenciar sua mensagem? Ou talvez eles vejam sua organização como concorrente e queiram ganhar vantagem? É importante entender a motivação de um adversário visto que isso pode ajudar sua organização a avaliar melhor as ameaças que ele representa.
Quais ameaças sua organização enfrenta? Em que medida essas ameaças são plausíveis e de alto impacto?
Ao identificar possíveis ameaças, é provável que você acabe com uma longa lista, o que pode ser avassalador. Você pode sentir que qualquer esforço seria inútil ou não saber por onde começar. Para ajudar a capacitar sua organização a dar os próximos passos produtivos, é útil analisar cada ameaça com base em dois fatores: a probabilidade de que a ameaça possa acontecer; e o impacto que ela poderia causar.
Para medir a probabilidade de uma ameaça (talvez “baixa, média ou alta”, com base nas chances de determinado evento provavelmente não acontecer, provavelmente acontecer ou acontecer com frequência), você pode usar informações que conhece sobre a capacidade e a motivação de seus adversários, análises de incidentes de segurança anteriores, experiências de outras organizações semelhantes e, claro, a presença de quaisquer estratégias de mitigação existentes que sua organização tenha implementado.
Para medir o impacto de uma ameaça, pense em como as coisas seriam se a ameaça realmente ocorresse. Faça perguntas como “Como a ameaça nos prejudicou como organização e como pessoas, física e mentalmente?”, “Qual a duração do efeito?”, “A ameaça dá origem a outras situações prejudiciais?” e “Como ela dificulta nossa capacidade de atingir nossos objetivos organizacionais agora e no futuro?” Ao responder a essas perguntas, considere se a ameaça é de baixo, médio ou alto impacto.
Para ajudá-lo a gerenciar esse processo de avaliação de risco, considere usar uma planilha, como esta desenvolvida pela Electronic Frontier Foundation. Lembre-se de que as informações que você desenvolve como parte desse processo (como uma lista de seus adversários e as ameaças que eles representam) podem ser confidenciais, por isso é importante mantê-las em segurança.
Depois de categorizar suas ameaças por probabilidade e impacto, comece a traçar um plano de ação mais informado. Ao se concentrar nas ameaças com maior probabilidade de acontecer E que terão impactos negativos significativos, você canalizará seus recursos limitados da maneira mais eficiente e eficaz possível. Seu objetivo é sempre mitigar o máximo de risco possível, mas ninguém – nem o governo ou companhia com mais recursos do mundo – pode eliminar o risco por completo. E está tudo bem: você pode fazer bastante para proteger a si mesmo, seus colegas e sua organização ao cuidar das ameaças mais significativas.