Defesas estratégicas para conformidade com TISAX® e resiliência organizacional
Bem-vindo à nossa 1ª edição.
É com grande entusiasmo que anuncio o lançamento do meu novo Substack, começando com a nossa 1ª edição! A partir de agora, centralizarei minhas publicações de artigos em uma plataforma mais estruturada e organizada, deixando de lado o espaço de blog do LinkedIn.
No meu Substack, você encontrará conteúdos exclusivos e aprofundados sobre Cibersegurança, GRC, Governança da IA e Governança de Dados. Continuo em minha missão de compartilhar conhecimento prático e estratégico para fortalecer a segurança das organizações.
Por que acompanhar?
- Artigos semanais: Insights atualizados e baseados em normas, relatórios e melhores práticas.
- Estrutura organizada: Conteúdo categorizado e de fácil acesso, ideal para consultas rápidas ou leituras detalhadas.
- Comunidade engajada: Um espaço para discutir tendências, compartilhar experiências e crescer juntos no universo da cibersegurança e governança.
Parece paradoxal discutir phishing em um mundo tão avançado tecnologicamente, mas sua persistência é inegável. O Verizon 2025 Data Breach Investigations Report (DBIR) revela que 10% das violações de dados envolvem engenharia social, com o phishing como tática predominante. Para empresas do setor automotivo que buscam ou mantêm a certificação TISAX® (Trusted Information Security Assessment Exchange), mitigar esse risco é uma prioridade estratégica. Estes índices têm caído, mas ainda estão lá e tem impactado as organizações.
O phishing combina engenharia social, fraude e manipulação psicológica para explorar o fator humano, presente em um grande percentual das violações, você pode encontrar dados consistentes no 2025 DBIR. Um único clique em um e-mail malicioso pode comprometer credenciais, instalar malware ou expor dados protegidos sob os rótulos de “Informações Necessitando Proteção” da TISAX®.
Resposta a Incidentes
A estrutura da TISAX®, baseada na ABNT NBR ISO/IEC 27001:2022, exige que as organizações implementem controles robustos e demonstrem maturidade em detecção, análise, resposta e recuperação de incidentes de segurança da informação. As normas ABNT NBR ISO/IEC 27035-1:2023 e 27035-2:2023 fornecem diretrizes detalhadas para estruturar essas práticas, especialmente contra ameaças como o phishing. Um plano de resposta a incidentes deve incluir:
- Planejamento e Preparação (ISO/IEC 27035-2, seção 6): Estabelecer uma política formal de gestão de incidentes, com papéis e responsabilidades claros. Por exemplo, definir quem é o coordenador de incidentes e como a Equipe de Resposta a Incidentes (IRT) será ativada.
- Detecção e Relato (ISO/IEC 27035-1, seção 5.3): Utilizar ferramentas como filtros de e-mail, detecção de anomalias e mecanismos de autenticação (SPF, DKIM, DMARC) para identificar e relatar e-mails maliciosos rapidamente. O 2025 DBIR destaca que credenciais obtidas via phishing em ambientes de terceiros (como repositórios GitHub) são um risco crescente, exigindo monitoramento rigoroso. Isso vai ficar para um próximo artigo.
- Resposta (ISO/IEC 27035-1, seção 5.5): Implementar procedimentos para quarentena de e-mails, bloqueio de IPs maliciosos, redefinição de senhas e comunicação com partes interessadas.
- Lições Aprendidas (ISO/IEC 27035-1, seção 5.6): Realizar simulações de phishing e análises pós-incidente para identificar vulnerabilidades e prevenir reincidências, atualizando políticas e controles conforme necessário.
Conscientização como requisito
A ABNT NBR ISO/IEC 27001:2022 (controle 6.3 – Conscientização, educação e treinamento em segurança da informação) e o módulo Information Security da TISAX® destacam a importância de programas formais de conscientização. Esses programas devem abordar ameaças específicas, como phishing, vishing (fraudes por chamadas telefônicas) e smishing (fraudes por SMS), que exploram a manipulação psicológica.
Melhores práticas incluem:
- Campanhas regulares de treinamento para reforçar a identificação de e-mails suspeitos.
- Simulações controladas de phishing, que replicam cenários reais, como e-mails falsos de fornecedores, para avaliar a reação dos colaboradores.
- Cultura de relato sem punição, incentivar o relato de incidentes sem medo de represálias, promovendo um ambiente de aprendizado contínuo.
Um programa eficaz de resposta a phishing deve estar integrado ao Sistema de Gestão de Segurança da Informação (SGSI) da organização. Isso reforça o ciclo PDCA (Plan-Do-Check-Act), atendendo tanto a TISAX® quanto a ISO/IEC 27001, e aumenta a resiliência contra ameaças emergentes. Por exemplo, a crescente sofisticação de ataques de phishing impulsionados por IA generativa, que cria e-mails altamente personalizados, exige controles atualizados e treinamentos adaptados.
Não tenho dúvidas que o phishing continuará evoluindo, mas sua organização pode, e deve, evoluir mais rápido. Com base nos princípios da ISO/IEC 27035, nos controles da ISO/IEC 27001 e nos requisitos da TISAX® VDA ISA 6.0, é possível transformar um dos maiores riscos digitais em uma fortaleza de defesa: a preparação estratégica e a resposta proativa.
Que tal realizar uma simulação de phishing em sua organização para testar a eficácia dos controles TISAX®.
Referências:
[1] ABNT NBR ISO/IEC 27001:2022: Segurança da informação, segurança cibernética e proteção à privacidade – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2022.
[2] ABNT NBR ISO/IEC 27035-1:2023: Tecnologia da informação – Gestão de incidentes de segurança da informação – Parte 1: Princípios e processo. Rio de Janeiro: ABNT, 2023.
[3] ABNT NBR ISO/IEC 27035-2:2023: Tecnologia da informação – Gestão de incidentes de segurança da informação – Parte 2: Diretrizes para planejar e preparar a resposta a incidentes. Rio de Janeiro: ABNT, 2023.
[4] VERIZON. 2025 Data Breach Investigations Report. Verizon, 2025. Disponível em: https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf. Acesso em: 10 maio 2025.
[5] VERBAND DER AUTOMOBILINDUSTRIE (VDA). Information Security Assessment (ISA) Version 6.0. [S.l.]: VDA, 2023. Disponível em: https://enx.com/en-us/TISAX/downloads/. Acesso em: 10 maio 2025.