Kit de Sensibilização

O Kit de Sensibilização para a cibersegurança destinado às Universidades Ibero-Americanas é um projeto de colaboração entre a Rede Colaborativa MetaRed e o Instituto de Cibersegurança de Espanha (INCIBE), autor do kit original. A MetaRed Portugal encarregou-se de realizar as adaptações necessárias, nomeadamente a tradução dos conteúdos, para otimizar a sua utilização no âmbito das Instituições de Ensino Superior Portuguesas e conta com o apoio do Centro Nacional de Cibersegurança (CNCS) e do RCTS CERT nas ações de divulgação e disseminação do kit.

A sensibilização para a importância da segurança da informação, da privacidade e da utilização de dados e para a necessidade de medidas de proteção decorre do facto de grande parte das universidades ter de realizar ações e criar recursos que promovam a segurança da informação dentro das comunidades universitárias.

O objetivo deste projeto é adaptar o excelente trabalho realizado pelo INCIBE no seu kit de sensibilização para a cibersegurança a um novo cenário: as universidades.

Em que consiste o kit?

Este kit é composto por uma série de materiais gráficos e formativos que visam enfrentar e dar a conhecer os aspetos essenciais que os utilizadores (alunos, professores, investigadores, pessoal de administração e serviços, etc.) devem conhecer em matéria de segurança da informação, privacidade e potenciais riscos.

Simulação de ataque

Pósteres

Trípticos

Ações formativas

Proteções de ecrã

Conselhos

Como posso aceder ao kit?

O kit permite dois modos de utilização:

Versão simples para ser utilizada tal como foi concebida. Não inclui ficheiros de tipos de letra para edição.
Versão completa com todos os tipos de letra para edição e adaptação à imagem institucional de cada universidade. As adaptações deverão seguir as condições de uso formuladas pelo INCIBE e pela MetaRed.

Caso pretenda ter acesso ao kit de sensibilização para a cibersegurança destinado às universidades, o responsável pela cibersegurança, o diretor de TI ou equivalente da sua Instituição deve solicitá-lo e, após a autorização do coordenador de cibersegurança da MetaRed para o seu país, enviar-lhe-emos hiperligações para transferir o kit.

Se precisar de mais informações, pode contactar-nos enviando uma mensagem para ciberseguridad@metared.org.

Solicitar acceso

O que inclui?

Manual de implantação

O manual é o guia de aplicação do kit e contém informações sobre os materiais, além de um calendário para a sua distribuição dentro de uma universidade.

Ataques direcionados

A consciencialização começa com um ou dois exercícios que permitirão avaliar o nível de sensibilização da comunidade universitária para a segurança, ao mesmo tempo que despertam o interesse em aprender mais, Estes exercícios consistem em ataques-surpresa.

Estão incluídos dois ataques direcionados para lançar, um por correio eletrónico e outro através de uma pen USB. Podem lançar-se ambos no início, ou um no início e outro no final da sensibilização. O manual explica em pormenor como lançar estes ataques.

Pósteres e trípticos

Depois de lançar um ataque direcionado, colocaremos em lugares de passagem frequente dois tipos de materiais: pósteres e trípticos.

O kit inclui pósteres em dois tamanhos (A3 e A2). Estes elementos essencialmente gráficos visam sensibilizar os membros da comunidade, para que estes se sintam uma parte ativa da segurança da nossa universidade.

Além dos pósteres, foram criados para este kit vários trípticos que também podemos disponibilizar à comunidade universitária. Os trípticos combinam gráficos e textos para transmitir aspetos importantes de segurança relacionados com as ações de formação.

Ações de formação

Uma vez despertado o interesse, propõe-se a realização de um processo formativo que combina a distribuição de materiais para leitura e visualização com a organização opcional de diálogos. Esta fase é composta por sete blocos temáticos ou pacotes: a informação, fraudes por correio eletrónico, as palavras-passe, o posto de trabalho, o teletrabalho, dispositivos móveis e redes sociais.

Cada pacote contém os seguintes materiais: apresentações, documentos de texto, proteções de ecrã e teste de autoavaliação.

O kit inclui, como reforço, nove apresentações, uma para cada unidade temática, que podem ser utilizadas num diálogo. Estas apresentações permitem rever os conceitos-chave e as medidas de segurança básicas, assim como boas práticas quando se trabalha com informações sensíveis. A informação contida nas apresentações é concisa, já que cada uma delas é acompanhada por um documento de texto com a explicação pormenorizada dos conceitos.

Cada um dos pacotes é explicado num documento de texto. Estes documento contêm informações sobre os conceitos, medidas e boas práticas mencionados nas apresentações. As apresentações e os documentos podem ser distribuídos para uma leitura individual ou ser explicadas por um orador numa sessão formativa.

Uma vez revisto o material anterior, oferecem-se imagens com conselhos ou lembretes para utilizar durante vários meses como proteções de ecrã ou imagens de fundo do ambiente de trabalho. Devem ser mudadas todos os meses para todas serem visualizadas.

Por último, os materiais para realizar ações de formação contêm alguns testes de autoavaliação, com perguntas sobre cada tema, que permitem ao utilizador testar os conhecimentos adquiridos.

A informação

A informação constitui um dos ativos mais importante de qualquer organização, independentemente da sua dimensão ou área de atividade.

Recursos formativos, trabalhos e dissertações, práticas, documentos de administração, resultados de investigação, etc., são exemplos de informação que devemos proteger nas nossas universidades.

Para isso, temos de implantar medidas preventivas e reativas nas nossas universidades, destinadas a preservar e proteger a confidencialidade, a disponibilidade e a integridade da informação.

O correio eletrónico

A informação constitui um dos ativos mais importante de qualquer organização, independentemente da sua dimensão ou área de atividade.

Para isso, temos de implantar medidas preventivas e reativas nas nossas universidades, destinadas a preservar e proteger a confidencialidade, a disponibilidade e a integridade da informação.

Estas salvaguardas devem ser proporcionais ao caráter crítico da informação que tratamos, pelo que é importante identificá-la e classificá-la. As medidas também devem estar em consonância com os sistemas a proteger, com a informação que estes contêm, com as condições específicas de cada local e com as ameaças a que se expõem.O correio eletrónico é uma ferramenta de comunicação indispensável para o funcionamento da universidade. As suas vantagens são evidentes: acessibilidade, rapidez, possibilidade de enviar documentos anexos, etc.; no entanto, não foi criado a pensar na sua utilização atual nem na segurança.

Como em qualquer ferramenta de comunicação, é necessário definir a sua utilização correta e segura, uma vez que, para além das utilizações abusivas e dos erros inadvertidos, o correio eletrónico se tornou um dos meios mais utilizados pelos cibercriminosos para perpetrar os seus ataques.

É habitual receber nas caixas de entrada spam, mensagens de tipo phishing ou mensagens de falsas entidades ou pessoas. Nestes casos, utilizam técnicas de engenharia social para concretizar as suas finalidades maliciosas, por exemplo infetar o equipamento ou mesmo toda a rede da universidade, bem como roubar dados de acesso, dados bancários ou informações confidenciais.

Numa mensagem de correio eletrónico maliciosa, tanto o remetente como o assunto, o corpo de texto e os anexos ou hiperligações podem ter sido concebidos para enganar o destinatário da mensagem.

As palavras-passe

No estudo ou trabalho diário, é necessário aceder a diversos serviços, dispositivos e aplicações utilizando um duplo elemento: nome de utilizador e palavra-passe. Garantir a segurança deste duplo elemento é imperativo para a universidade, e a primeira medida de segurança a tomar é a utilização de palavras-passe seguras.

O posto de trabalho

O posto de trabalho ou estudo é o local onde realizamos as nossas tarefas diárias na universidade. Como parte destas atividades quotidianas, qualquer utilizador tem de aceder a diversos sistemas e tratar diferentes tipos de informação. Consequentemente, devemos ter em conta que o posto de trabalho é fundamental do ponto de vista da segurança da informação.

Além disso, é comum que, dentro de todas as instituições, exista uma série de protocolos sobre o modo como o pessoal deve utilizar os recursos da universidade para realizar o seu trabalho. O mesmo se aplica à informação, aos suportes e aos dispositivos eletrónicos. Todos devemos conhecer estas boas práticas e aplicá-las para zelar pelos recursos e proteger os interesses da universidade.

Os dispositivos móveis

Consultar o correio eletrónico, aceder a uma folha de cálculo ou fazer uma alteração de última hora num documento importante, em qualquer lugar, são algumas das tarefas que podem ser realizadas a partir dos dispositivos móveis. Atualmente, estes aparelhos são ferramentas indispensáveis para o trabalho ou o estudo, devido à sua mobilidade e ligação à Internet.

Os computadores portáteis, smartphones ou tablets permitem aos membros da comunidade universitária trabalhar ou estudar em qualquer lugar, como se estivessem nas instalações da universidade, o que veio abrir um novo leque de possibilidades mas também criar novos riscos para a universidade que os próprios utilizadores devem ter em conta.

O teletrabalho

No teletrabalho, além de utilizarmos dispositivos móveis, conectamo-nos a partir de fora da rede da universidade, utilizamos serviços para partilhar documentos e corremos riscos associados a ambientes de trabalho menos controlados. Tal implica novos riscos para a segurança da informação da nossa universidade, que devem ser tidos em consideração.

Neste âmbito, a utilização de dispositivos pessoais que pertencem aos trabalhadores da universidade, quer os funcionários de administração e serviços, quer os docentes ou investigadores, para cumprir as tarefas profissionais, tem o nome de BYOD (Bring Your Own Device).

Trata-se de uma prática muito frequente que beneficia tanto a universidade, reduzindo custos, como o trabalhador, permitindo-lhe uma melhor conciliação do trabalho com a vida pessoal, ou, no caso dos alunos, uma maior flexibilidade no estudo.

Apesar dos benefícios que proporciona, a sua utilização também comporta vários riscos, pelo que é necessário evitar, em especial, que a sua utilização ponha em causa a segurança das informações pessoais ou da universidade.

As redes sociais

Atualmente, as redes sociais são uma ferramenta muito importante para a sociedade e também, consequentemente, para a comunidade universitária. Através das redes sociais, os alunos, professores, investigadores ou pessoal de administração e serviços podem realizar contactos, partilhar opiniões, estudos, projetos, eventos, etc., da sua vida pessoal e profissional.

As redes sociais podem proporcionar muitas vantagens, Não obstante, as redes sociais também podem implicar riscos, e uma má gestão dessas redes, um comentário inoportuno ou os cibercriminosos podem afetar negativamente a imagem ou a reputação de uma pessoa.

Além disso, o responsável pela comunicação, ou comunity manager, das redes sociais de uma universidade deve ter em conta fatores pertinentes para a segurança da informação. As redes sociais tornaram-se uma ferramenta muito importante para as universidade, permitindo dar a conhecer os seus serviços e manter uma relação mais próxima com a comunidade universitária. Estabelecer uma imagem e reputação da universidade nas redes sociais não é fácil, e o que foi construído com esforço e tempo pode perder-se num ápice devido a um deslize ou a má gestão. Por conseguinte, é necessário ter em conta as circunstâncias que implicam riscos para a universidade na utilização das redes sociais.

Conselhos de segurança mensais

Para sintetizar, são incluídos alguns ficheiros com gráficos que contêm conselhos temáticos para reforçar o que foi aprendido. Estes materiais estão otimizados para utilização nas redes sociais e na Internet.

Inquérito de avaliação

Inquérito de avaliação Quando tiver terminado a sensibilização na sua universidade, pode partilhar connosco a sua experiência e as suas opiniões através do inquérito de satisfação. A sua colaboração é muito importante para melhorar este kit.

Preencher inquérito

Condições de uso

Os materiais do kit podem ser personalizados para o ambiente da universidade e com o logotipo da universidade que os utiliza, mas em nenhum caso os logotipos existentes serão removidos deles.
A autoria deste kit (INCIBE) será citada quando o conteúdo for lançado, original ou modificado pela universidade.
A universidade que faz uso dos materiais fornecerá dados sobre o uso dos materiais ao grupo internacional de cibersegurança da MetaRed, a fim de preparar um relatório anual que será enviado ao INCIBE. Os dados serão obtidos por meio de um inquérito que recolherá as informações do inquérito da INCIBE e informações adicionais propostas pela MetaRed.
Cada universidade que usa o kit será responsável por garantir a conformidade com essas condições.

Implantação recomendada

O kit foi concebido para ser desdobrado em várias etapas, mas, uma vez que cada universidade pode ter determinadas preferências, estas etapas são opcionais e podem ser aplicadas em função das necessidades específicas de cada organização.

Mais informações:

MetaRed Internacional: cibersegurança

ciberseguridad@metared.org

Com a colaboração de:

Todos os materiais são de propriedade do INCIBE (Instituto de Segurança Cibernética da Espanha) e foram adaptados ao campo das IES ibero-americanas pelo MetaRed.

O uso desses materiais deve seguir as condições de uso indicadas neste site.

Kit de Sensibilização para a cibersegurança -Edição das universidades ibero-americanas