ECSM - Recommendations for ALL - PT

O MECS é uma campanha de sensibilização da UE que tem lugar em outubro. Destina-se a promover a sensibilização dos cidadãos para a cibersegurança. A campanha tem o objetivo DE MODIFICAR as perceções de ameaças à cibersegurança na vida quotidiana – no trabalho ou na vida privada

Segurança das redes e da informação (SRI) para os educadores

Público-alvo

Destina-se a educadores, definidos como formadores, professores, colegas envolvidos no domínio da educação formal e não formal, incluindo a aprendizagem ao longo da vida. O papel fundamental dos educadores não deve ser omitido em qualquer mapa das partes interessadas das TIC. 

Conselhos para a educação no domínio da SRI

  • Os resultados de um inquérito da ENISA mostram que para realizar a «melhor sessão» possível, um formador deve ter em conta o seguinte: uma pequena apresentação e atividades práticas; histórias e exemplos reais; uma sessão de formação totalmente imersiva, que poderá incluir: representação de papéis, exercícios de simulação, atividades em equipa; um jogo empresarial como parte dos testes e um conjunto de bons vídeos;

  • Desafios a superar:
    Compreender que a utilização de tecnologia implica riscos e que esses riscos não são apenas pessoais, mas podem igualmente ter repercussões noutras pessoas. É importante compreender a tecnologia e não apenas utilizá-la;
    O remapeamento das relações e comportamentos humanos reais na Internet: A netiqueta;
    Considerar conhecimentos especializados multidisciplinares (de caráter jurídico, técnico, organizacional, etc.);

  • Modelo de mediação para a educação no domínio da SRI

Recomendações

  • Recomendamos a adoção de uma atitude de iniciativa por parte dos educadores e dos seus estudantes;

  • Prossecução de parcerias público-privadas para financiar e desenvolver materiais e sessões atualizadas.

Mais informações: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Formação ao nível da segurança das redes e da informação para os trabalhadores

Público-alvo
A formação é uma componente fundamental para a manter os especialistas em segurança da informação e os trabalhadores atualizados com os mais recentes desenvolvimentos nesta área e também para melhorar as competências a fim de combater as ameaças de uma forma economicamente vantajosa.

Conselhos

  • Atualmente, a segurança da informação é uma questão candente, uma vez que está a desenvolver-se muito rapidamente e, de um modo ou de outro, afeta a vida de todos nós. As pessoas precisam de ter acesso a recursos, tutoriais, guias de utilização e sessões de formação sobre temas como manter níveis aceitáveis de segurança e de privacidade na condução das atividades quotidianas, cada vez mais dependentes das tecnologias da informação;

  • No que diz respeito ao tema relacionado com a proteção de serviços vitais e de infraestruturas de comunicação dos países que nos fornecem água potável, eletricidade e capacidade de comunicação, existe uma carência de especialistas que possam resolver problemas e formular recomendações. Os serviços relacionados com a segurança da informação, tais como o tratamento de incidentes, alertas e análise de artefactos, são objeto de grande procura, quando a necessidade surge. Em muitas ocasiões, é necessária uma equipa de resposta a emergências informáticas (http://www.enisa.europa.eu/activities/cert/ ). Como cada equipa é tão forte como os seus membros, existe uma necessidade constante de manter atualizados os trabalhadores, as equipas de resposta e a base de conhecimentos dos formadores, a fim de se poder responder às ameaças mais recentes e atenuá-las o mais rápida e eficientemente possível; 

  • Da perspetiva do formador, ser um formador proporciona uma excelente oportunidade para ser colocado em «campo» e ter um sentido de realidade sob diferentes perspetivas, uma vez que a comunicação na sala de aula deve ser bidirecional. A experiência e os conhecimentos atualizados, se tomarem em conta as reações nas sessões de informação, são elementos insubstituíveis para a obtenção de credibilidade junto dos formandos, uma vez que estes valorizam muito os exemplos da vida real e as situações de utilização;

  • Várias metodologias diferentes podem ser utilizadas para transmitir informações aos formandos, como, por exemplo, a organização de sessões práticas, de eventos específicos ou, simplesmente, a oferta de acesso a material de autoformação. Ambas as abordagens têm os seus benefícios, uma vez que a autoaprendizagem poderá ser benéfica, ao proporcionar flexibilidade e reduzir os custos globais. As sessões práticas incentivam a comunicação e oferecem excelentes oportunidades para as pessoas partilharem os seus conhecimentos e as suas experiências.

Recomendações

A ENISA tem realizado ações de formação no local a fim de apoiar as equipas de resposta a emergências informáticas e reforçado outras capacidades operacionais de diferentes comunidades. O material de formação é publicado no sítio Web da ENISA. 

Mais informações: http://www.enisa.europa.eu/activities/cert/support/exercise

Atualizações de software


Público-alvo

A ENISA adverte para os riscos de utilização de software desatualizado, não só devido à falta de suporte por parte do fabricante, mas também de terceiros, como os fabricantes de anti-malware, de outros tipos de software ou ainda fabricantes de periféricos. Esta utilização conduzirá a uma exposição permanente a vulnerabilidades e à impossibilidade de atualizar periféricos ou aplicações de terceiros.

Conselhos

  • A utilização de software descontinuado implica a exposição aos seguintes riscos:
    Os utilizadores finais serão incapazes de verificar a integridade do software, uma vez que os certificados de assinatura poderão ter expirado; a impossibilidade de verificar a integridade do pacote de software poderá expor o utilizador a malware; os sistemas potencialmente infetados podem espalhar a infeção em toda a rede; poderão também não ser aplicadas as políticas de segurança;

  • A perda de suporte do produto pelo fabricante de software descontinuado pode conduzir ao seguinte: os utilizadores de sistemas descontinuados não beneficiarão de atualizações ou avisos de segurança; novas vulnerabilidades deixarão de ser recolhidas, reportadas e analisadas e, portanto, não serão lançados novos patches de segurança; consequentemente, o software descontinuado pode ficar eternamente exposto a cada vulnerabilidade, tal como se se tratasse de um vetor de ataque do dia 0; a ausência de suporte por parte de software de terceiros e de fabricantes de hardware pode conduzir à indisponibilidade de utilização da plataforma como, por exemplo, erros desconhecidos que podem impedir o software descontinuado de funcionar; a incompatibilidade de sistemas operativos anteriores com novos dispositivos e a indisponibilidade de controladores para novas versões de periféricos podem impedir os utilizadores de atualizar ou substituir dispositivos usados ou avariados; a suspensão do suporte para os dispositivos existentes na plataforma descontinuada pode resultar na impossibilidade de continuar a utilizar o dispositivo em caso de falha; a suspensão do suporte por parte de fabricantes terceiros do software instalado pode impedir os clientes de atualizar as versões de software de terceiros ou aplicar-lhes patches, o que também se aplica a novas aplicações. Esta situação pode ser particularmente crítica em caso de indisponibilidade de versões atualizadas de antivírus e de soluções de anti-malware.

Recomendações

  • Os gestores de TI devem manter sempre os sistemas atualizados com os mais recentes patches de segurança. O software descontinuado deve ser considerado um risco de segurança elevado para componentes informáticos cruciais, a mitigar através da migração para novas soluções ou para outras plataformas. No caso de sistemas de informação de infraestruturas críticas, o risco de exposição pode ser alargado aos cidadãos e, consequentemente, a responsabilidade dos gestores informáticos aumenta. 

  • Os fabricantes devem certificar-se de que dispõem de tempo suficiente para a migração. Durante essa fase, a ENISA recomenda vivamente a utilização de avisos prévios e também uma análise aprofundada do impacto esperado na segurança dos utilizadores após a descontinuação do produto. 

  • Os utilizadores devem assegurar-se de que têm conhecimento e que compreendem o risco de segurança a que se expõem ao prosseguirem com a utilização de software obsoleto.

Mais informações: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Exercícios de cibersegurança para especialistas técnicos

Público-alvo

A ENISA esforçou-se para se tornar o facilitador de exercícios de cibersegurança pan-europeu e, de um modo mais geral, para apoiar o intercâmbio de boas práticas no domínio dos exercícios e cooperação na crise da cibersegurança. A ENISA é a força motriz da série de exercícios de cibersegurança pan-europeus Cyber Europe, bem como do exercício de cibersegurança conjunto UE-EUA (Cyber Atlantic) e das Conferências Internacionais anuais sobre temas no domínio dos exercícios e cooperação na crise da cibersegurança. Até ao momento, foram organizados dois exercícios de crise de cibersegurança pan-europeus, o Cyber Europe 2010, o Cyber Europe 2012 e, em 2011, um exercício de cibersegurança conjunto UE-EUA, o «Cyber Atlantic»; está em curso o terceiro exercício de crise de cibersegurança pan-europeu, o Cyber Europe 2014 (CE2014). Todas as partes interessadas da UE e da EFTA dos setores público e privado podem participar, incluindo as instituições e os organismos da UE. Os exercícios destinam-se, nomeadamente, às autoridades ligadas às cibercrises, tais como as agências de cibersegurança, equipas de resposta a emergências informáticas nacionais ou governamentais, às autoridades reguladoras nacionais, às entidades do setor privado e ainda aos especialistas em matéria de SRI.

Recomendações

  • O Cyber Europe 2012 revelou-se valioso na melhoria da gestão de ciberincidentes pan-europeus. É, por conseguinte, importante continuar com estes esforços e aprofundar o desenvolvimento no domínio dos exercícios de cibersegurança europeus. Os futuros exercícios de cibersegurança deverão explorar as dependências intersetoriais e focar-se mais em comunidades específicas;

  • O Cyber Europe 2012 constituiu uma oportunidade para a cooperação à escala internacional e para o fortalecimento da comunidade europeia de gestão de ciberincidentes. Para que se possa fomentar a cooperação internacional, é essencial facilitar o intercâmbio de boas práticas em matéria de exercícios de cibersegurança, ensinamentos recolhidos, conhecimentos especializados e organização de conferências. Tal assegurará uma comunidade mais forte, capaz de enfrentar crises de cibersegurança transnacionais. Todas as partes interessadas no domínio da cooperação internacional para as cibercrises devem receber formação sobre a utilização de procedimentos a fim de saberem como trabalhar com eles de forma adequada. O envolvimento de organizações do setor privado, enquanto atores, acrescentou valor a este exercício. Por conseguinte, os Estados-Membros da UE e os países da EFTA deveriam ponderar o envolvimento do setor privado em exercícios futuros; 

  • A comunidade da gestão de ciberincidentes europeia pode ser fortalecida com o feedback de outros setores críticos europeus (por exemplo, a saúde e os transportes) que são relevantes para o tratamento de crises de grande dimensão;

  • Cyber Europe 2014: Com base nos ensinamentos recolhidos dos dois exercícios pan-europeus anteriores, o CE2014 é um exercício de cibersegurança altamente sofisticado que está a ser levado a cabo em 2014 com vista à realização dos seguintes objetivos: testar os procedimentos e mecanismos de cooperação existentes para gerir cibercrises na Europa; melhorar as capacidades a nível nacional; explorar a cooperação existente entre o setor público e o setor privado; analisar os processos de aumento e de redução de escala (a um nível técnico, operacional e estratégico); compreender as questões de interesse público relacionadas com ciberataques de grande dimensão.

Mais informações: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Segurança de serviços de computação em nuvem para todos os utilizadores digitais


Público-alvo

Agentes de segurança da informação dos setores público e privado que utilizam e que já integraram serviços de computação em nuvem na sua vida quotidiana ou que considerariam recorrer a serviços de computação em nuvem para a sua atividade comercial. Diz igualmente respeito a todos os utilizadores digitais que utilizam, no seu quotidiano, serviços de computação em nuvem populares (redes sociais, etc.), como, por exemplo, Facebook, Dropbox, Instagram, Twitter e muitos outros, de modo a que percebam a forma como funciona o modelo de computação em nuvem, conheçam os benefícios e as desvantagens e se coloquem numa posição que lhes permita avaliar o tipo de informações que devem ou não colocar na «nuvem». A ENISA foca-se sobretudo em apoiar as PME e os órgãos de administração pública na avaliação da situação antes de migrarem para a computação em nuvem.

Conselhos

A ENISA sugere a todos os potenciais utilizadores de serviços de computação em nuvem que tenham em conta os seguintes elementos ao ponderarem o recurso a esses serviços:

  • Quais são os serviços que podem ir para a «nuvem» e quais são os benefícios da computação em nuvem que irão facilitar as suas vidas quotidianas? Exemplos: escalabilidade, um enorme potencial de armazenamento, cópias de segurança regulares, interoperabilidade;

  • Que tipo de informações irão transitar na «nuvem» e quão importantes são estas informações para os seus proprietários? Exemplos: dados pessoais, dados sensíveis e dados comerciais; 

  • Quais são as desvantagens da computação em nuvem que teriam um grande impacto no seu trabalho quotidiano e que soluções poderiam ser encontradas para as atenuar?

  • Como tomar uma decisão informada sobre o tipo de serviço de computação em nuvem de que precisa (IaaS, PaaS, SaaS) e quais são os limites das suas responsabilidades em cada tipo de serviço;

  • Invista tempo para discutir com o seu prestador de serviços de computação em nuvem e alcançar um entendimento comum, que deve ser referido no acordo de nível de serviço;

Recomendações

  • As publicações da ENISA sobre a segurança dos serviços de computação em nuvem são um bom manual sobre a forma como todos os clientes destes serviços podem proteger os seus bens e conhecer os seus direitos e responsabilidades ao utilizarem serviços de computação em nuvem. 

  • A segurança na nuvem deve ser considerada uma das suas maiores vantagens quando se recorre a serviços de computação em nuvem devido à escalabilidade.

Mais informações: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Privacidade para todos os utilizadores digitais


Público-alvo

Visa os utilizadores digitais. Os utilizadores têm os mesmos direitos em linha e fora de linha; devem estar conscientes dos seus direitos em linha. Os utilizadores poderão contar com o apoio das autoridades nacionais de proteção de dados.
«Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito» — artigo 16.o do Tratado de Lisboa

Conselhos

  • De acordo com o quadro jurídico da UE, os cidadãos da União Europeia usufruem de uma série de direitos no ambiente digital, tais como a proteção da vida privada e dos dados pessoais e a liberdade de expressão e de informação;

  • Os princípios de proteção da vida privada e dos dados pessoais em linha nem sempre são respeitados. De acordo com o inquérito Eurobarómetro de 2011, referente às atitudes relativas à proteção de dados e à identidade eletrónica na UE, 43 % dos utilizadores da Internet afirmam que lhes foram solicitados mais dados pessoais do que o necessário para o acesso ou utilização de um serviço em linha e 70 % dos europeus temem que os seus dados pessoais possam vir a ser utilizados para finalidades diferentes daquelas para que foram recolhidos. 75 % dos europeus pretendem eliminar as informações pessoais num sítio Web sempre que assim o entenderem;

  • Desafios a superar: As ações dos indivíduos nem sempre refletem os seus problemas de privacidade; ainda que tenham preocupações no que diz respeito à sua privacidade, os utilizadores podem decidir partilhar dados pessoais em troca de serviços ou bens a preço reduzido; apenas um terço (33 %) dos europeus está ciente da existência de uma autoridade pública nacional responsável pela proteção dos seus direitos no que diz respeito aos seus dados pessoais. 

  • Por último, os cidadãos europeus devem também estar habilitados a identificar práticas que violem esses princípios importantes e a tomar medidas apropriadas, incluindo o exercício dos seus direitos na qualidade de titulares de dados em relação aos responsáveis pelo tratamento de dados que não agem em conformidade com a lei e a apresentação de queixas às autoridades competentes, se for caso disso. Tal exige também uma maior sensibilização das pessoas em causa, uma vez que o primeiro passo neste percurso é assegurar que os titulares de dados conhecem e compreendem a importância de salvaguardar os seus dados contra uma divulgação desnecessária.

Recomendações

Recomendamos aos utilizadores a identificação de práticas que violem os seus direitos de titulares de dados, e a adoção de medidas apropriadas, incluindo a apresentação de queixas às autoridades competentes, se for caso disso. As Autoridades de Proteção de Dados (APD) deverão procurar melhorar a sensibilização dos utilizadores em relação aos seus direitos consagrados na legislação em matéria de proteção de dados e às possibilidades de exercício desses direitos que lhes são oferecidas pelo sistema legal, incluindo queixas pela recolha e armazenamento excessivos de dados pessoais.

Mais informações

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

EUROBARÓMETERO 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

APD Nacionais: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Redes inteligentes seguras

Público-alvo  

Todas as recomendações são dirigidas à Comissão Europeia, Estados-Membros, setor privado e especialistas em infraestruturas críticas.
As infraestruturas críticas são um ativo, um sistema ou parte deste, situado nos Estados-Membros, que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo num Estado-Membro, dada a impossibilidade de continuar a assegurar essas funções. Seguem-se recomendações nesta matéria.

Recomendações

  • Recomendação 1. A Comissão Europeia (CE) e as autoridades competentes dos Estados-Membros devem empreender iniciativas destinadas a melhorar o quadro regulamentar e político para a cibersegurança de redes inteligentes a nível nacional e da UE. 

  • Recomendação 2. A CE, em cooperação com a ENISA e os Estados-Membros, deve promover a criação de uma parceria público-privada (PPP) para coordenar as iniciativas de cibersegurança de redes inteligentes. 

  • Recomendação 3. A ENISA e a CE devem promover iniciativas de sensibilização e formação. 

  • Recomendação 4. A CE e os Estados-Membros, em cooperação com a ENISA, devem fomentar iniciativas de difusão e partilha de conhecimentos. 

  • Recomendação 5. A CE, em colaboração com a ENISA, os Estados-Membros e o setor privado, deve desenvolver um conjunto mínimo de medidas de segurança com base nas normas e orientações em vigor. 

  • Recomendação 6. Tanto a Comissão como as autoridades competentes dos Estados-Membros devem promover o desenvolvimento de sistemas de certificação da segurança de produtos, componentes e segurança organizacional. 

  • Recomendação 7. A CE e as autoridades competentes dos Estados-Membros devem promover a criação de bancos de ensaio e avaliações de segurança. 

  • Recomendação 8. A CE e os Estados-Membros, em cooperação com a ENISA, devem estudar de forma mais aprofundada e aperfeiçoar estratégias para coordenar as ações em caso de ciberincidentes pan-europeus de grande dimensão que afetem as redes elétricas. 

  • Recomendação 9. As autoridades competentes dos Estados-Membros, em cooperação com as CERT, devem iniciar atividades a fim de envolver as CERT no desempenhar de um papel consultivo na elaboração de soluções para os problemas de cibersegurança que afetam as redes elétricas. 

  • Recomendação 10. A CE e as autoridades competentes dos Estados-Membros, em colaboração com as instituições académicas e o setor de I&D, devem fomentar a investigação em programas de investigação de cibersegurança em curso para as redes inteligentes.

Mais informações: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations

Referências:

ENISA

  OUTROS

 

We use cookies to ensure we give you the best browsing experience on our website. Find out more on how we use cookies and how you can change your settings.

Ok, I understand No, tell me more