Política do CNJ estimula cultura de segurança nos tribunais

Para reforçar a proteção de dados e lidar com ataques direcionados a órgãos do Poder Judiciário, o Conselho Nacional de Justiça (CNJ) estabeleceu uma série de diretrizes de segurança. As orientações fazem parte da Estratégia Nacional de Segurança Cibernética do Poder Judiciário, que conta com políticas específicas, incluindo uma voltada para educação e cultura em cibersegurança.

A Política de Educação e Cultura em Segurança Cibernética do Poder Judiciário (PECSC-PJ) determina que os tribunais devem implementar ações para assegurar que todos os usuários compreendam seu papel na proteção de dados. Isso inclui ações de capacitação, fomento e conscientização em cibersegurança, além de campanhas de amplo alcance e testes públicos de segurança. 

De acordo com a política, as ações devem ser reportadas ao CNJ no início do ano, mostrando os resultados alcançados no ano anterior.

Para o especialista em cibersegurança e CEO da HSC Labs, Romulo Boschetti, a estratégia está no caminho correto, já que a conscientização é uma das principais barreiras contra incidentes de segurança. Segundo Boschetti, uma das melhores maneiras de atender às diretrizes do CNJ é por meio de uma plataforma de conscientização em cibersegurança, com avaliações, treinamentos e testes de usuários.

“De forma geral, o usuário é o elo mais fraco, e os cibercriminosos perceberam isso muito rapidamente. Em vez de tentar derrubar ferramentas de segurança, os hackers miram no desconhecimento do usuário e direcionam os ataques a eles. Uma plataforma de conscientização trabalha para reverter esse cenário”, afirma Boschetti.

Ele cita como exemplo a importância de ensinar o usuário a identificar phishing, técnica utilizada por criminosos para criar mensagens aparentemente legítimas, mas que são usadas para roubar dados e credenciais e para espalhar malware. Uma plataforma de treinamento prepara o usuário para lidar com essa ameaça, com campanhas de ataques phishing simulados.

“Como o phishing é um vetor para até 95% dos ataques, saber diferenciar uma mensagem real de uma mensagem maliciosa é fundamental”, destaca Boschetti.

Nesse sentido, o MindAware, da HSC Labs, oferece um programa completo de conscientização que atende às regras do CNJ. Ele tem como base uma metodologia 360°, que inclui a avaliação da maturidade em cibersegurança com simulações de ataques phishing; a educação do usuário com conhecimentos em segurança do básico ao avançado; e a conquista de aprendizado continuado, com usuários sempre conscientes.

As simulações de ataques são o pontapé inicial, permitindo ter um panorama geral da maturidade da instituição. Nelas, o usuário é exposto a modelos que simulam os ataques mais comuns no Brasil e recebe feedbacks de acordo com seu desempenho. 

Os treinamentos, por sua vez, incluem temas como phishing, engenharia social, ameaças cibernéticas, comportamento seguro, redes sociais e LGPD, com aulas em formatos variados. O software sugere duas trilhas de aprendizado com conteúdos pré-definidos, mas também permite que cada administrador monte trilhas personalizadas de aprendizado e adicione seus próprios conteúdos customizados.

Com base nos testes comportamentais (simulações de phishing) e no avanço dos treinamentos, é possível visualizar o grau de maturidade da instituição e de cada usuário por meio de um quadrante intuitivo, atualizado de forma contínua.

Segundo Boschetti, uma das grandes vantagens do MindAware para as diretrizes do CNJ é que ele oferece relatórios completos e detalhados que podem ser usados para comprovar a implementação e a efetividade das ações de conscientização. Ele destaca que a plataforma também é fácil de implementar, mesmo com equipes pequenas, e conta com consultoria e serviço de implementação.

Além disso, o MindAware também oferece funcionalidades extras que reforçam o atendimento às diretrizes de segurança do CNJ, como o monitoramento de senhas vazadas na deepweb e a integração com outras ferramentas de segurança, como antivírus e proteção de e-mail, para orquestrar a resposta a incidentes.

Mais informações no site hsclabs.com.