(Período de inscrição encerradas. As organizações inscritas serão informadas do resultado até o dia 13/10/2025)

Como parte do programa Mídias Seguras, Vozes Livres!, os bolsitas da capacitação no método SAFETAG farão uma auditoria em uma organização ou coletivo de jornalismo, com mentoria do facilitador e líder técnico do programa. A escolha da organização será feita em conjunto dos alunos e da equipe Tecnologia Humanista.

As organizações de jornalismo selecionadas para a auditoria receberão um grant de EUR 2.500,00 , que serão pagos diretamente pela Internews, financiadora do programa, parte do projeto AGILE, financiado pela Comissão Européia. Esse grant tem como finalidade apoiar a implementação das recomendações geradas pela auditoria e serão acompanhadas pelo Instituto Tecnologia Humanista.

Para se candidatar ou nomear uma organização, basta preencher o formulário em https://forms.gle/odUYwbDnyqbUyteb8. Mas recomendamos que antes leia com atenção a descrição do programa e a seção de perguntas e resposta, a seguir:

O que é o SAFETAG e como sua organização de jornalismo ou comunicação social pode se beneficiar

O SAFETAG (Security Auditing Framework and Evaluation Template for Advocacy Groups) é uma metodologia internacional de auditoria de segurança digital criada para atender às necessidades específicas de organizações da sociedade civil, meios de comunicação independentes, coletivos de direitos humanos e grupos de advocacy.

Mais do que uma simples análise técnica, o SAFETAG combina ferramentas e práticas de segurança da informação com a compreensão do contexto político e social em que a organização atua, garantindo um diagnóstico realista e recomendações aplicáveis.

O que acontece durante a auditoria

Ao participar de uma auditoria SAFETAG, sua organização passa por um processo colaborativo conduzido por auditores/as capacitados/as. Esse processo inclui:

• Mapeamento de riscos e vulnerabilidades — avaliação técnica e organizacional, entrevistas com a equipe e análise de procedimentos internos.
  
• Diagnóstico personalizado — relatório detalhado com recomendações priorizadas por impacto e viabilidade.
  
• Plano de ação — roteiro claro para implementação de melhorias de curto, médio e longo prazo, incluindo orientações sobre políticas internas, ferramentas e práticas de segurança.

Todo o trabalho é realizado com sigilo absoluto visando proteger a organização e seu time. As informações coletadas na auditoria serão acessadas apenas pelo auditor, a equipe técnica da Tecnologia Humanista responsável pela mentoria e acompanhamento. O relatório de auditoria também poderá ser compartilhado com o líder técnico da Internews, como parte do compliance do projeto. E apenas estatísticas agregadas serão compartilhadas com a Comissão Européia, financiadora do projeto AGILE Internews, do qual o nosso programa é beneficiário.

O que esperar do processo

Organizações interessadas devem estar preparadas para:

• Participar ativamente das entrevistas e atividades propostas, nos prazos determinados no ítem linha do tempo
• Compartilhar informações internas relevantes para o diagnóstico, sempre com segurança e confidencialidade.
  
• Garantir acesso do auditor às instalações da organização que sejam relevantes para a auditoria, em caso de organizações com sedes e redações físicas.
• Assumir o compromisso de implementar as recomendações recebidas no período de Janeiro e Fevereiro de 2026, e de fortalecer a cultura de segurança digital de forma contínua

O resultado esperado é um fortalecimento real da sua capacidade de proteger dados, comunicações e pessoas — e de seguir atuando com segurança mesmo em contextos de alto risco.

Perguntas e Respostas

O que é o programa?

O programa é um projeto do Instituto Tecnologia Humanista ◉◎ com apoio de Internews Europa e Comissão Européia que treinará 15 pessoas em auditoria de cibersegurança utilizando a metodologia SAFETAG, e inclui bolsa de 2.000 Euros. Estas pessoas treinadas aplicarão os conhecimentos adquiridos em auditorias de cibersegurança gratuitas para 15 organizações jornalísticas, coletivos de mídia e iniciativas de comunicação independentes,que também receberão apoio financeiro 2.500 Euros para implementação das recomendações feitas pelas auditoras.

Quais são os benefícios esperados?

• Aumento de capacidades da sociedade civil em segurança cibernética – 15 profissionais receberão treinamento intensivo em auditoria de segurança digital usando a metodologia SAFETAG.

• Chamada: https://tecnologiahumanista.com.br/treinamento-safetag.html
• Formulário de candidatura em https://forms.gle/bmLpTWYmyutir8eaA 

• Fortalecimento de organizações jornalismo – As organizações beneficiárias receberão auditorias detalhadas e subsídios de até 2 500 € para implementar recomendações de mitigação.

• Formulário Candidatura/Nomeação de organizações de jornalismo como beneficiárias de auditoria SAFETAG em https://forms.gle/NN7QPj4Kn3QQbbxf8 

• Impacto sociopolítico – O programa visa melhorar a resiliência digital de veículos de imprensa em regiões brasileiras historicamente sub‑representadas, num momento crítico de preparação para as eleições presidenciais de 2026 (o ciclo eleitoral de 2026 já começou, a polarização e a violência política continuam dando a tônica do debate, o obscurantismo continua buscando calar vozes progressistas, e o autoritarismo é crescente no país).
• Preparação para o contexto brasileiro pré‑eleitoral 2026

• Análises de observatórios de mídia  e centros de pesquisa apontam aumento de ataques digitais contra jornalistas nas áreas de fronteira e nas regiões Norte‑Nordeste, onde a maioria das organizações alvo do programa opera.
• Desertos de notícias continuam a existir e ataques a jornalistas vem crescendo, com especialmente municípios pequenos, reforçando a necessidade de apoio técnico especializado

Quais são as atividades do programa?

• Para indivíduos:

• Outubro e Novembro: Treinamento em auditoria utilizando a metodologia SAFETAG
• Novembro-Dezembro: Mentoria de facilitador do Tecnologia Humanista na aplicação prática de uma auditoria
• Bolsa de 2.000 euros. A ser paga em duas parcelas: uma ao final do treinamento, e outra ao final da auditoria

• Para organizações jornalísticas:

• Novembro-Dezembro: Auditoria utilizando a metodologia SAFETAG por pessoa treinada pelo programa
• Janeiro-Fev/2026: Grant de 2500 euros para implementação de recomendações de auditoria.
• Acompanhamento baixa intensidade na implementação

• Seleção de organizações para auditoria:

• Tecnologia Humanista vai selecionar um grupo de organizações para formar o pool de organizações anfitriãs para auditoria, levando em consideração fatores geográficos (aumentar equidade de regiões com mais desertos de notícias e economicamente mais frágil), temas de interesse, priorizar veículos independentes, comunitários e de jornalismo comunitário e de jornalismo investigativo, assim como aqueles dirigidos por mulheres, pessoas LGBTQIA+, de etnias indígenas, pretas e pardas, no interior ao invés de capitais, capacidade de sustentar o que for implementado após auditoria, entre outros fatores.
• Organizações podem ser convidadas pelo Tecnologia Humanista, se candidatarem através de formulário e também serem nomeadas por leitores, alunos e candidatos ao treinamento, assim como por outras organizações

• Combinando auditoras-alunas e organizações

• A decisão de qual auditora será designada para cada organização auditada (anfitrião) será feita primariamente em conjunto entre Tecnologia Humanista e Alunos. A organização anfitriã poderá vetar auditoras, caso justificado.

O que é a metodologia SAFETAG?

SAFETAG é uma metodologia (i.e. framework) de auditoria de segurança da informação pensado para organizações de mídia. É desenhado de forma modular e flexível  para se ajustar às diferentes necessidade e condições financeiras de organizações de defesa de direitos humanos, de jornalismo e coletivos ativistas de diferentes tamanhos, em distintos contextos.

A metodologia foi criada antes da pandemia COVID‑19, e portanto, está passando por revisões que levam em consideração uma adoção maior de trabalho remoto, que criam novas atividades e formatos de avaliação de ferramentas na nuvem ou de colaboração remota.

No âmbito do Mídias Seguras, Vozes Livres, também estamos traduzindo materiais educativos do SAFETAG para português brasileiro.

Quais são as atividades típicas de uma auditoria SAFETAG?

1. Mapeamento de superfície de ataque – identificação de ativos digitais, servidores, contas de redes sociais e fluxos de informação.
2. Coleta de Dados em fontes abertas OSINT – uso de fontes abertas (buscas avançadas, “Google Dorking”, arquivos da internet, verificação de vazamentos no Have I Been Pwned, entre outros).
3. Análise de vulnerabilidades – avaliação de configuração de software, versões, redes de computadores, redes wi-fi, uso de serviços na nuvem, websites, etc e exposição de serviços.
4. Auditoria física – inspeção de segurança de instalações, a depender do caso.
5. Relatório e recomendações – produção de um documento estruturado com descobertas, classificação de risco (CVSS) e plano de mitigação.

Uma lista, por enquanto apenas em inglês do “cardápio” de atividades típicas SAFETAG, pode ser encontrada em https://safetag.org/activities/. É importante ter em mente que é comum que outras atividades, ou adaptações das atividades da lista, sejam executadas.

O que é demandado de organizações auditadas?

• Acesso a infraestrutura: em geral, utilizando credenciais (temporárias) ou sessões monitoradas para servidores, contas de e‑mail e redes sociais.
• Acesso a documentação: Por exemplo, acesso a políticas internas de segurança da informação, privacidade, procedimentos de resposta a incidentes, etc.
• Ponto de contato técnico: Auditores e mentores precisam ter um ponto de contato para facilitar acesso à equipe, fornecer informações, coordenar a coleta de evidências e responder a dúvidas dos auditores com alguma celeridade, etc
• Acesso à equipe:  além de ter informação quantitativa, frequentemente será necessário o uso de entrevistas, oficinas, etc. É preciso considerar a disponibilidade de membros da equipe além do ponto de contato
• Compromisso de implementar recomendações – geralmente dentro de 30‑60 dias após a entrega do relatório.

Qual o cronograma do projeto?

Aqui há um cronograma resumido:

Atividade	Período
Tradução de material SAFETAG	Agosto-Setembro
Seleção de Participantes de Treinamento	1/Ago/2025 -> 19/Set/2025
Treinamento de Auditores	19/Set/2025 -> 17/Nov/2025
Auditorias em organizações	17/Nov/2025 -> 19/Dez/2025
Acompanhamento da implementação	10/Jan/2026 -> 20/Fev/2026

Com quem as organizações terão contratos e acordos?

• Contratos
  

• Organizações Anfitriãs <-> Internews Europa – acordo de financiamento.

• Tecnologia Humanista vai dar suporte administrativo (coleta de documentos, relatórios) para Internews Europas

• Fellows & Auditoras – Documento de escopo, contratos individuais, termos de confidencialidade e conduta aceitável para auditoria
• Organizações Anfitriãs <-> Tecnologia Humanista – Documento de escopo, termos de confidencialidade e conduta aceitável durante mentoria de auditoria, e para acompanhamento de implementação de recomendações.

• Due‑diligence

• Internews Europa conduzirá a verificação de antecedentes das organizações beneficiárias e dos fellows, assegurando conformidade com normas internacionais de combate à lavagem de dinheiro e financiamento ilícito.

Só organizações de jornalismo podem participar?

O foco é jornalismo, mas além de veículos de imprensa / redações, são aceitos organizações de comunicação comunitária, organizações de fortalecimento de jornalismo (por exemplo, associações),  organizações de segurança digital cujos beneficiários sejam primariamente organizações de jornalismo e àquelas híbridas em que a produção de conteúdo jornalístico e investigativo sejam a espinha dorsal ou um departamento fundamental.

Membros da equipe de uma organização podem candidatar‑se ao treinamento?

Sim. Mas não necessariamente a auditoria será conduzida por um membro da equipe.

Auditoria é o mesmo que treinamentos de segurança digital?

Não, uma auditoria de segurança cibernética é uma avaliação sistemática e idealmente realizada de forma periódica. Ela verifica controles (procedimentos e ferramentas) técnicos, configurações, políticas e práticas dos membros de uma organização em relação à segurança de TI, informação e digital. Em geral, é feita utilizando uma metodologia e envolve comparar a situação da organização padrões estabelecidos, produzindo um relatório formal que identifica lacunas, riscos e recomenda formas de remediar estas lacunas e riscos; seu público alvo é a liderança de uma organização, auditores e equipes de TI/segurança.

Já um programa de treinamento em segurança digital é um esforço voltado a indivíduos de uma organização, utilizando cursos, simulações e campanhas de conscientização para aprimorar práticas e utilização de ferramentas, reduzir a suscetibilidade a ataques de engenharia social; seu objetivo é fortalecer diretamente a "camada humana" de defesa, em vez de avaliar fragilidades técnicas e contextuais, como é o caso do treinamento.

Qual a diferença para uma assistência emergencial ou resposta a incidentes?

A assistência responsiva é um suporte contextual, como respostas a algo específico, numa circunstância e tempos específicos (ad hoc) e acontece no caso de um incidente ou problema de segurança. O foco é a contenção imediata, investigação e orientação para atenuar ou evitar danos e restaurar operações, em vez de fornecer uma avaliação abrangente e pré-planejada.

Já uma auditoria de segurança cibernética, como mencionada anteriormente, é uma avaliação sistemática e idealmente realizada de forma periódica. Ela verifica controles (procedimentos e ferramentas) técnicos, configurações, políticas e práticas dos membros de uma organização em relação à segurança de TI, informação e digital. Em geral, é feita utilizando uma metodologia e envolve comparar a situação da organização padrões estabelecidos, produzindo um relatório formal que identifica lacunas, riscos e recomenda formas de remediar estas lacunas e riscos.

O que acontece se descobrirmos um ataque em curso durante a auditoria?

O processo exato será definido caso a caso antes da execução da auditoria. Dito isto, em casos de ataques, é necessário recorrer a profissionais ou organizações especializadas em respostas a incidentes ou assistência emergencial, algo que nem as auditoras formadas pelo programa e nem a equipe Tecnologia Humanista poderão oferecer neste projeto.

Neste caso, ajudaremos a organização sob ataque a encontrar quem pode atender a esta demanda, priorizando aquelas com as quais os membros da equipe Tecnologia Humanista já trabalharam anteriormente e com as quais podem colaborar facilmente. Por exemplo, Maria D'Ajuda e Open Briefing, entre outras.

Em caso de dúvidas, escreva para o email tecnologiahumanista{{{arroba}}}proton{{{ponto}}}me