Voltar
Formação em cibersegurança e software para empresas | MetaCompliance

Produtos

Descubra o nosso conjunto de soluções personalizadas de formação em sensibilização para a segurança, concebidas para capacitar e educar a sua equipa contra as ciberameaças modernas. Desde a gestão de políticas a simulações de phishing, a nossa plataforma equipa a sua força de trabalho com os conhecimentos e as competências necessárias para proteger a sua organização.

Automação da Sensibilização para a Segurança

Programe a sua campanha anual de sensibilização em apenas alguns cliques

Simulação de phishing

Impeça os ataques de phishing no seu caminho com o premiado software de phishing

Cyber Security eLearning

Envolver e educar os funcionários para que sejam a primeira linha de defesa

Gestão de políticas

Centralize as suas políticas num único local e faça uma gestão sem esforço dos ciclos de vida das políticas

Gestão de privacidade

Controlar, monitorizar e gerir a conformidade com facilidade

Biblioteca de conteúdos

Explore a nossa biblioteca de e-learning premiada, adaptada a cada departamento

Gestão de Incidentes

Assuma o controlo dos incidentes internos e corrija o que é importante

Voltar
Indústria

Indústrias

Explore a versatilidade das nossas soluções em diversos sectores. Desde o dinâmico sector tecnológico até aos cuidados de saúde, descubra como as nossas soluções estão a fazer ondas em vários sectores. 


Serviços Financeiros

Criando uma primeira linha de defesa para organizações de serviços financeiros

Governos

Uma solução de sensibilização para a segurança para os governos

Empresas

Uma solução de formação de sensibilização para a segurança para grandes empresas

Trabalhadores à distância

Incorporar uma cultura de sensibilização para a segurança - mesmo em casa

Sector da Educação

Formação de sensibilização para a segurança no sector da educação

Trabalhadores do sector da saúde

Veja a nossa sensibilização para a segurança personalizada para profissionais de saúde

Indústria tecnológica

Transformar a formação em sensibilização para a segurança na indústria tecnológica

Conformidade NIS2

Apoie os seus requisitos de conformidade Nis2 com iniciativas de sensibilização para a cibersegurança

Voltar
Recursos

Recursos

Desde cartazes e políticas a guias definitivos e estudos de casos, os nossos recursos de sensibilização gratuitos podem ser utilizados para ajudar a melhorar a sensibilização para a cibersegurança na sua organização.

Cyber Security Awareness For Dummies - MetaCompliance

Um recurso indispensável para criar uma cultura de ciberconsciência

Guia de Segurança Cibernética para Principiantes Elearning

O melhor guia para implementar uma aprendizagem eficaz sobre cibersegurança

Guia definitivo para phishing

Educar os funcionários sobre como detetar e prevenir ataques de phishing

Cartazes de consciencialização gratuitos

Descarregue estes cartazes gratuitos para aumentar a vigilância dos empregados

Política Anti Phishing

Criar uma cultura consciente da segurança e promover a sensibilização para as ameaças à cibersegurança

Estudos de casos

Saiba como estamos a ajudar os nossos clientes a promover comportamentos positivos nas suas organizações

Terminologia de Segurança Cibernética A-Z

Glossário de termos de cibersegurança obrigatórios

Modelo de maturidade comportamental da cibersegurança

Audite a sua formação de sensibilização e compare a sua organização com as melhores práticas

Coisas grátis

Descarregue os nossos activos de sensibilização gratuitos para melhorar a sensibilização para a cibersegurança na sua organização

Voltar
MetaCompliance | Formação e software de cibersegurança para funcionários

Sobre

Com mais de 18 anos de experiência no mercado da cibersegurança e da conformidade, a MetaCompliance oferece uma solução inovadora para a sensibilização do pessoal para a segurança da informação e para a automatização da gestão de incidentes. A plataforma MetaCompliance foi criada para responder às necessidades dos clientes de uma solução única e abrangente para gerir os riscos pessoais relacionados com a cibersegurança, a proteção de dados e a conformidade.

Porquê escolher-nos

Saiba por que a Metacompliance é o parceiro de confiança para o treinamento de conscientização sobre segurança

Especialistas em envolvimento de empregados

Facilitamos o envolvimento dos funcionários e a criação de uma cultura de consciencialização cibernética

Automação da Sensibilização para a Segurança

Automatize facilmente a formação de sensibilização para a segurança, o phishing e as políticas em minutos

MetaBlog

Mantenha-se informado sobre tópicos de formação de sensibilização cibernética e mitigue os riscos na sua organização.

Os passos-chave para uma gestão eficaz da quebra de dados

Gestão da quebra de dados

sobre o autor

Partilhar esta publicação

A existência de um plano de gestão da violação de dados assegura que o pessoal e os procedimentos correctos estão em vigor para lidar eficazmente com uma ameaça.

Imagine o pânico quando for detectada uma violação maciça de dados, talvez uma que esteja em curso há meses. Em 2017, Equifax alertou o mundo para o roubo de vários milhões de registos de dados que foram mantidos sob a sua vigilância.

O roubo foi iniciado por uma vulnerabilidade no Apache Struts, um quadro de desenvolvimento amplamente utilizado. O Equifax sabia da vulnerabilidade, mas o funcionário encarregado de remediar a situação não o fez. Seguiu-se uma série de acontecimentos infelizes, incluindo uma falha dos scanners de correcção para localizar mais vulnerabilidades múltiplas, exacerbada por várias falhas de operadores humanos.

Desde então, o Equifax gastou cerca de $1,4 mil milhões (£1 mil milhões) a melhorar a sua segurança. A empresa foi também multada em meio milhão de libras pelo Gabinete do Comissário de Informação do Reino Unido (ICO), e ao ex-CIO da Equifax foi aplicada uma pena de prisão de quatro meses por utilizar a violação para ganho pessoal. A violação de dados da Equifax foi motivo de pesadelos para a empresa.

Ao "andar uma milha na pele de outra pessoa" podemos compreender como cada parte de uma organização lida eficazmente com a gestão da violação de dados. Ao reflectir sobre como cada departamento pode ajudar a desescalar a cadeia de eventos que levam a uma violação de dados, a exposição de dados pode ser gerida de forma mais eficaz.

O Como, e Porquê da Gestão da Quebra de Dados

As violações de dados afectam todas as pessoas de uma organização. Da mesma forma, todos podem ajudar a prevenir ou minimizar o impacto de uma violação de dados. Segue-se uma análise das diferentes responsabilidades de cinco áreas-chave numa organização e do tipo de responsabilidades que cada uma tem na gestão de uma violação de dados.

A Equipa de Incidentes de Segurança

A gestão e prevenção da violação de dados é a base da equipa de incidentes de segurança. Esta equipa tem sido cada vez mais chamada à medida que as violações de dados aumentam em número e intensidade. O seu papel é central para a gestão de uma violação de dados e a equipa depende de um processo robusto para os ajudar nesta tarefa. A equipa de segurança deve poder recorrer a um plano de resposta a incidentes e a um plano de recuperação de desastres para os ajudar a conter a violação. Estes planos ajudam a informar as acções quando ocorre uma violação.

As etapas típicas de contenção e gestão de infracções incluem:

Confirmar a violação

Pode parecer um passo óbvio, mas confirmar que a violação ocorreu e se tem impacto em dados confidenciais ou sensíveis. Os dados recolhidos durante a análise da violação serão invocados se a violação for suficientemente grave para notificar uma autoridade de controlo. As informações que devem ser recolhidas e documentadas incluem:

  • Como foi detectada a violação
  • Onde ocorreu
  • Quem é impactado (incluir quaisquer vendedores de ecossistemas)
  • Quem denunciou a violação
  • A(s) data(s) em que ocorreram quaisquer infracções
  • Que nível de risco a violação representa para a organização/clientes, etc.
  • A violação está agora totalmente contida?

Como ocorreu a violação?

Uma análise da violação não só é necessária por razões de conformidade, como também pode ajudar a mitigar a exposição futura aos dados. As dinâmicas de violação são variadas. Os dados podem ser expostos por uma variedade de mecanismos tanto acidentais como maliciosos. Identificar estes mecanismos: tratou-se de uma exposição acidental de um empregado ou de um hack malicioso? A compreensão dos vectores e tácticas utilizadas pode ajudar a aliviar a exposição e a mitigar o ataque.

O tipo de dados afectados

Ser capaz de identificar o nível de risco dos dados afectados é crucial tanto para a notificação e conformidade da violação, como para compreender o impacto global sobre o negócio. Documentar o tipo e o nível de risco dos dados violados. Uma organização já deveria ter desenvolvido um sistema de classificação baseado numa norma como a ISO 27001. Esta norma estabelece quatro categorias de dados:

  1. Confidencial (só os quadros superiores têm acesso)
  2. Restrito (a maioria dos empregados tem acesso)
  3. Interno (todos os empregados têm acesso)
  4. Informação ao público (todos têm acesso)

Contenção e recuperação

Uma vez detectada uma violação, é vital conter a violação o mais rapidamente possível. As acções tomadas durante a análise da violação permitirão a criação de uma estratégia de contenção. As violações que envolvam funcionários podem exigir uma revisão da formação de sensibilização para a segurança. As violações que envolvam hackers maliciosos externos necessitarão de uma maior exploração dos sistemas e de medidas mitigadoras. Devem ser implementados planos de recuperação para minimizar o impacto da violação.

Legal e Conformidade

Todas as provas documentais recolhidas sobre a violação são utilizadas pelos departamentos jurídico e de conformidade para lidar com as consequências da violação. As equipas jurídica e de conformidade decidirão se a violação se enquadra no âmbito de um requisito de notificação de violação; por exemplo, ao abrigo da Secção 67 da Lei de Protecção de Dados do Reino Unido de 2018 (DPA 2108), deve ser feita uma notificação de violação de dados ao ICO no prazo de 72 horas após a empresa ter tomado conhecimento da violação. Todas as provas documentadas sobre a violação, o local, o porquê, e como é mitigada, recolhidas pela equipa de segurança, serão utilizadas nesta divulgação. Poderá também haver um requisito de revelar a violação a qualquer pessoa afectada. Isto pode exigir uma carta de divulgação pública completa publicada no website da empresa.

Regras de Notificação

A chave para o tratamento legal de uma violação de dados é tomar uma decisão informada sobre se/quando notificar a autoridade de controlo sobre a violação. Questões como, se existe um imperativo regulamentar para comunicar a violação, só podem ser feitas por pessoal qualificado e conhecedor. Esta decisão pode exigir que a violação seja tornada pública: isto tem óbvios efeitos de reputação duradouros e envolverá provavelmente o departamento de marketing para minimizar o impacto da marca. Aqui estão alguns exemplos de avisos públicos de violação:

Violação do Equifax

Violação de CapitalOne

Violação do Twitter

As regras de notificação de infracção variam consoante os diferentes regulamentos. Por exemplo, de acordo com o Regulamento Geral de Protecção de Dados da UE (GDPR), a notificação da violação deve ser feita no prazo de 72 horas após a identificação de uma violação. Contudo, nos termos do Regulamento de Privacidade e Comunicações Electrónicas (PECR, regulamento que é aplicado aos fornecedores de serviços de Internet e telecomunicações), uma violação de dados pessoais deve ser comunicada ao ICO o mais tardar 24 horas após a detecção.

O Pessoal

Tornando o pessoal parte do processo de gestão das violações, eles tornam-se um recurso de primeira linha na luta contra os ciberataques. O pessoal e a segurança cobrem um vasto espectro de potenciais vulnerabilidades, desde a exposição acidental a dados de phishing até ao conluio com hackers externos.

De acordo com o Data Breach Investigation Report 2020 (DBIR) da Verizon, cerca de 17% das violações de dados podem ser rastreadas simplesmente até erros. Por exemplo, funcionários que partilham palavras-passe ou reutilizam palavras-passe em múltiplas aplicações é uma má prática de segurança.

O phishing continua a ser a arma de eleição dos cibercriminosos; os phishers adoram imitar marcas como a Microsoft para enganar os utilizadores na entrega de credenciais empresariais. A formação de consciência de segurança ensina aos empregados sobre as muitas formas positivas que podem ajudar a manter uma boa postura de segurança da empresa.

Em termos de gestão de infracções, a sensibilização do pessoal deve estender-se à compreensão das suas responsabilidades no âmbito de vários regulamentos, tais como assegurar que os dados dos clientes são respeitados e utilizados dentro dos limites da legislação, tais como a DPA 2018 e a GDPR. Ao compreender onde pode ocorrer uma violação, juntamente com as responsabilidades ao abrigo de vários regulamentos relevantes, uma organização pode cooptar o pessoal para o processo de gestão da violação.

É importante, contudo, formar o pessoal ao nível relevante. Algum pessoal, tal como funcionários técnicos, pode necessitar de formação especializada em segurança e/ou passar por uma certificação.

As novas contratações têm de ser feitas a bordo dos programas de formação de sensibilização para a segurança de uma organização desde o primeiro dia. Revisões regulares da formação de sensibilização para a segurança do pessoal em áreas tais como:

  • Phishing
  • Higiene de segurança
  • Consciência da responsabilidade pela segurança dos dados

deve ser contínuo para se manter eficaz.

A formação de sensibilização para a segurança deve ser incorporada na política de segurança da empresa como parte de um processo de gestão de violações de dados.

Fornecedores de Terceiros

Os ecossistemas dos fornecedores podem ser complexos e podem envolver a quarta e quinta partes. Um relatório recente da Accenture, "State of Cyber Resilience 2020", concluiu que 40% das violações de segurança começam com ataques indirectos ao nível da cadeia de fornecimento. A gestão do risco dos fornecedores faz parte da gestão eficaz de uma violação de dados. As violações de dados relacionadas com o fornecedor são uma consideração de dois sentidos. Além de realizar uma análise de vulnerabilidade dos elos do fornecedor para mitigar os ciberataques, quando ocorre uma violação, o ecossistema do fornecedor deve ser analisado para ver se a violação tem impacto sobre o fornecedor.

A Direcção

Um relatório do governo britânico "Cyber Security Breaches Survey 2021" concluiu que 77% das empresas acreditam que a segurança cibernética é uma alta prioridade para os seus directores ou gestores de topo. Como resultado do elevado perfil das violações de dados, mais conselhos incluem agora peritos no domínio da segurança. Quando ocorre uma violação de dados, um conselho instruído pode apoiar o resto da organização no tratamento da violação, assegurando o cumprimento dos requisitos regulamentares, e assegurando a disponibilidade de um orçamento para gerir a violação e mitigar contra novos ataques.

Os funcionários sabem o que fazer quando há uma quebra de dados?

A implementação de medidas de gestão da violação de dados é uma tarefa empresarial. Uma das partes fundamentais para uma gestão eficaz da violação de dados é a forma como forma o seu pessoal. A relevância é fundamental para garantir que a gestão de incidentes funcione para a sua organização. Cada organização deve desenvolver a sua própria abordagem relevante e única para comunicar e gerir uma quebra de segurança.

A perfuração para optimizar a consciência começa ao nível do povo e do processo. Cada aspecto, desde o mais pequeno detalhe até ao grande quadro, deve ser suficientemente minucioso para assegurar que a sua política de resposta a incidentes seja robusta e compreensível por todo o pessoal. Isto deve incluir:

Comunicações: Desde os números de telefone utilizados até ao endereço de correio electrónico ou qualquer outro sistema utilizado para comunicar uma violação

Papéis e responsabilidades: Destacar os gestores de incidentes relevantes e as suas responsabilidades

Acções: Quem faz o quê, quando e como desempenha o seu papel na ajuda à gestão de uma violação de dados

Remediação: Como corrigir a violação e as lições aprendidas, incluindo qualquer actualização da formação de sensibilização para a segurança

Em empresas multinacionais maiores, estas linhas de comunicação precisam de reflectir em toda a organização, reunindo os departamentos e escritórios da empresa.

Todos precisam de aderir a este plano, desde empregados a gestores e membros do conselho de administração.

Conscientização sobre segurança cibernética para leigos

poderá gostar de ler estes