Sensibilização e Treino em Cibersegurança - Exercício de Recolha de Informação -

Autores

  • José Martins
  • José Silva
  • Carlos Pimentel
  • António Galindro
  • João Rocha
  • Marco Custódio

Palavras-chave:

Exercício de Cibersegurança, Sensibilização e Treino, Cibersegurança, Segurança da Informação, Recolha de Informação

Resumo

Este artigo apresenta um método de planeamento para a execução de exercícios académicos de recolha de informação através do ciberespaço, e centrados na sensibilização e treino em cibersegurança dos colaboradores de uma organização. Está orientado principalmente para as organizações que procuram realizar a sensibilização e treino dos colaboradores de modo a mitigar o risco de obtenção e divulgação da informação classificada da sua organização por parte de uma organização oponente. A importância deste estudo é fundamental pois as organizações necessitam cada vez mais de optar por formações ajustadas a problemas concretos, à sua especificidade, e de medir o retorno dos seus investimentos em segurança da informação. O design do método de planeamento proposto tem por suporte uma revisão de literatura e a realização de um exercício académico de recolha de informação realizado no âmbito da Academia Militar / Exército Português. É um trabalho em progresso, onde através do método de investigação Action Research se procura identificar as principais fases, atividades e tarefas do método. Está ligado à prática do “saber fazer”, sendo necessário a realização de mais instâncias do exercício, em organizações com diferentes topologias, para a sua validação. Como principais resultados obtidos da realização deste tipo de exercício salientam- -se, a importância: (i) do treino individual na utilização das aplicações necessárias para recolha de informação; (ii) da forma de organizar o grupo para executar as atividades; (iii) e dos colaboradores possuírem conhecimentos técnicos do funcionamento das Redes de Computadores e da Internet, com especial atenção para os protocolos utilizados (por exemplo, o TCP-IP) e tecnologias de suporte (por exemplo, ativos de rede, firewalls). Perceciona-se ainda que numa primeira iteração deste tipo de exercícios é preferível: (i) a sua execução em ambientes virtuais, em virtude de se notar algum receio dos participantes em interagir com a organização real (alvo), face à sua inexperiência na utilização das ferramentas disponibilizadas; (ii) utilizar grupos de reduzida dimensão para permitir uma melhor interação entre os seus membros (e.g., três a seis pessoas); (iii) necessidade de software de business intelligence para integrar e analisar a informação recolhida. Este artigo procura lançar as bases para o design de um método de planeamento para execução de exercícios académicos de cibersegurança focados na recolha de informação ao nível organizacional, e em partilhar lições aprendidas com outras organizações militares e civis.

Downloads