Articles

Por que investir em um Programa de Conscientização de Segurança da Informação?

By 6 de October de 2021 No Comments

*Por Bárbara Moretto

A Segurança da Informação é sem dúvida um tema de relevância atual, pois a pandemia da Covid-19 contribuiu para o trabalho home office e o aumento acentuado dos números de ataques cibernéticos.

Investir em Segurança da Informação passou a ser foco também de pequenas e médias empresas. Contudo, não basta garantir apenas investimentos tecnológicos para reduzir o número de incidentes em segurança da informação. É muito importante fortalecer a cultura da segurança da informação, visto que o usuário é o elo mais fraco e mais difícil de controlar.

O ponto primordial é assegurar o comprometimento da Alta Direção com o tema. Dentre os principais motivadores para a implementação de um Programa de Conscientização da Segurança da Informação podemos destacar:

  • Garantir a Confidencialidade, Integridade e Disponibilidade da informação;
  • Reduzir vulnerabilidades e incidentes de segurança;
  • Favorecer a imagem da empresa e competitividade;
  • Demonstrar o compromisso com as melhores práticas;
  • Atender exigências legais, regulatórias ou de auditorias;
  • Focar nos papéis e responsabilidades dos colaboradores.

Os requisitos para implantar esse Programa de Conscientização são desde obedecer aos padrões das Normas ISO – IEC 27001/ 27002 e 27701, bem como avaliar e manter atualizados os Procedimentos e a Política de Segurança da Informação. Documentos esses que devem ser divulgados e compreendidos não só por todos os colaboradores, mas também pelas partes interessadas como acionistas, clientes, parceiros e terceiros.

Para o sucesso do Programa de Conscientização de Segurança da Informação é necessário:

  • Avaliar as possíveis restrições desse projeto que poderiam ser falta de comprometimento dos usuários, ou o fato de não colocar em prática o conteúdo adquirido e/ou a dificuldade técnica de assumir que se precisa de ajuda.
  • Trabalhar a mudança de paradigma de ações pontuais de treinamento para uma Campanha de Conscientização mais dinâmica e direcionada que possa efetivamente diminuir o risco da corporação em relação ao comportamento humano.
  • Envolver as áreas de Marketing, Recursos Humanos e Compliance no projeto.

E pensando de modo mais prático, qual a metodologia poderemos seguir para esse ciclo de implementação?

  • Iniciar uma avaliação da maturidade atual para indicar os temas a serem abordados.

Geralmente através de questionários ou outras ferramentas (testes de simulação, monitoramento de redes sociais) podemos entender o nível de conhecimento de segurança da informação e definir quais os temas prioritários:

  1. Como manter as suas senhas em segurança;
  2. Como proteger seu computador e celular corporativo;
  3. Engenharia Social;
  4. Classificação da Informação;
  5. Mesa Limpa;
  6. Utilização segura do correio eletrônico,
  7. Redes wifi;
  8. Navegando com Segurança na Internet;
  9. Cuidados ao baixar arquivos ou programas da internet;
  10. BYOD;
  11. Autenticação de 2 fatores;
  12. Privacidade de Dados etc.
  • Elaborar um planejamento que contém o teor da mensagem, os canais de comunicação e a periodicidade adequada. Divulgando conteúdos informativos mensalmente através de:
  1. E-mail marketing e Intranet;
  2. Ambiente físico (murais, monitores em elevadores, recepção e sala de descontração);
  3. Treinamentos internos;
  4. Palestras esporádicas com profissionais externos;
  5. Materiais divertidos e dinâmicos como jogos interativos com pontuações e premiações.
  • Executar todas as ações delimitadas e na sequência realizar análises após a Implementação da Campanha para:
  1. Medir a eficiência de todos esses conteúdos utilizados com os colaboradores;
  2. Verificar quais possíveis ações de melhoria.

Por fim, concluímos que se trata de um processo permanente de conscientização, educação e treinamento, no qual os colaboradores passam a entender a importância dos dados e informações que tem acesso e o seu papel participativo na proteção desses ativos.

*Bárbara Moretto é GRC and Information Security Consultant na SAFEWAY.

About Safeway:

THE SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Today through more than 23 strategic partnerships with global manufacturers and our SOC, SAFEWAY is considered a one stop shopping with the best technology solutions, processes and people.

Let's make the world a safer place to live and do business!