Fases do PNPC
O PNPC é desenvolvido em três etapas: sensibilização, avaliação de riscos e acompanhamento. A aplicação de cada fase depende do perfil da instituição a ser atendida.
SENSIBILIZAÇÃO
A fase de sensibilização tem a finalidade de promover cultura de proteção de conhecimentos sensíveis por meio de palestras, que são atividades de conscientização de todo o corpo funcional, inclusive a alta direção, para incentivar a adoção de medidas e comportamentos de proteção adequados. A sensibilização é o passo inicial para que todas as ações propostas pelo Programa sejam bem-sucedidas. Nessa fase, a instituição é motivada a refletir sobre uma série de questões:
- Sua instituição possui informações cobiçadas por governos, empresas ou entidades estrangeiras?
- Quais prejuízos o vazamento de informações estratégicas traria para sua instituição ou para o país?
- Quanto um ator adverso estaria disposto a investir para ter acesso antecipado a decisões estratégicas da sua instituição?
- Quão protegidos estão os conhecimentos sensíveis da sua instituição?
Palestras oferecidas pelo PNPC:
| Palestra | Sobre | Duração |
| Sensibilização: Ameaças aos Conhecimentos Sensíveis e Condutas de Proteção | O público-alvo são funcionários da instituição, inclusive terceirizados. Aborda a importância do conhecimento sensível, as ameaças que incidem sobre ele e medidas de proteção. | 1h |
| Apresentação do PNPC | Com foco na alta direção e gestores, aborda os principais aspectos da proteção do conhecimento sensível, apresenta o PNPC e os requisitos para sua implementação na instituição parceira. | 40min |
| Briefing de Segurança para Viagens ao Exterior | Voltada para servidores públicos e funcionários de instituições estratégicas que realizam viagens ao exterior. Aborda as ameaças específicas das situações de viagem e as condutas indicadas para prevenção de incidentes e proteção de conhecimentos sensíveis. | 1h |
| Visitas de Delegações Estrangeiras | Voltada para instituições que recebem visitas de delegações estrangeiras. Aborda o tema da engenharia social e as condutas indicadas para proteção dos conhecimentos sensíveis. | 1h |
| Engenharia Social | Voltada para funcionários de instituições parceiras, busca explicar os aspectos psicológicos explorados na engenharia social e sua utilização em ataques cibernéticos, além de abordar medidas de prevenção. | 1h |
| Redes Sociais | Busca explorar os aspectos de segurança relacionados às redes sociais, frequentemente usadas para coleta de informações e ataques cibernéticos, bem como auxiliar em estratégias de proteção pessoais e corporativas. | 1h |
AVALIAÇÃO DE RISCOS
A fase de avaliação de riscos tem o objetivo de fornecer compreensão dos riscos que afetam a consecução dos objetivos institucionais e é realizada por meio de metodologia própria, desenvolvida pela ABIN. É realizada em três etapas: Levantamento Inicial, Avaliação do Sistema de Proteção e Relatório de Avaliação de Riscos (RAR).
No Levantamento Inicial, os profissionais da ABIN e o grupo de trabalho da instituição parceira avaliam quem ou o que poderia, de forma intencional ou não, causar danos ou prejuízos ao sistema de proteção da instituição. Nesta etapa, são identificados:
- os conhecimentos sensíveis que precisam de proteção;
- os meios de produção, suporte, armazenamento e transmissão dos conhecimentos sensíveis; e
- as ameaças reais e potenciais aos conhecimentos sensíveis produzidos pela instituição.
Para identificar vulnerabilidades, realiza-se uma Avaliação do Sistema de Proteção nos seguintes segmentos:
- Proteção Física: conjunto de medidas voltadas para a salvaguarda dos locais onde são elaborados, tratados, manuseados ou guardados conhecimentos, dados e materiais sensíveis.
- Proteção de Documentos: conjunto de medidas voltadas para a salvaguarda de documentos e materiais sensíveis durante sua elaboração, manuseio, trânsito, difusão, armazenamento e descarte.
- Proteção na Gestão de Pessoas: conjunto de medidas que visam a dificultar o ingresso na instituição de agentes adversos, bem como a assegurar padrões de comportamento adequados à salvaguarda de assuntos sensíveis.
- Proteção de Sistemas de Informação: conjunto de medidas que visam a garantir o funcionamento da infraestrutura tecnológica de suporte ao acesso, armazenamento e comunicação dos dados, informações e conhecimentos sensíveis.
A análise de cada segmento é realizada por meio de listas de verificação, entrevistas, visitas e estudo de normas, documentos e plantas. Nem sempre são avaliados todos os segmentos em uma instituição.
Os resultados do Levantamento Inicial e da Avaliação do Sistema de Proteção subsidiam o cálculo do risco. O Relatório de Avaliação de Riscos (RAR) consolida esse trabalho e contempla a situação encontrada na instituição, as vulnerabilidades e as ameaças existentes ou potenciais.
O relatório tem o objetivo de subsidiar a implementação de medidas corretivas no sistema de proteção da organização e fornecer recomendações para os controles de segurança que necessitem de aperfeiçoamento, a fim de reduzir o nível de risco.
ACOMPANHAMENTO
Na última fase, a ABIN oferece apoio e assessoramento na implementação de recomendações de segurança como, por exemplo, na elaboração de políticas e normas internas. A Agência também realiza reavaliação dos riscos e eventos de sensibilização periódicos.
Além disso, o Fórum do PNPC reúne periodicamente instituições atendidas pelo programa para troca de experiências sobre a proteção dos conhecimentos sensíveis.