O processo de criar um conceito de conscientização

Esquecemos de criar um conceito de conscientização em nossa organização, o processo de agregar a segurança da informação à pessoas é o mesmo que criar um seguro, digamos que a empresa investe em segurança da informação e segurança de TI, possui as tecnologias de ponta para sua proteção, em resumo, possui tudo que você leitor possa imaginar e desejar, mas a organização não tem pessoas treinadas, conscientizadas e verdadeiramente comprometida com a segurança da informação.

Será uma questão de tempo para essa empresa ter um incidente de segurança da informação.

Dados da IBM do Brasil aponta para um aumento incidentes de 2.100% em 12 meses, e que é tendência se manter para 2016.

Quantas empresas tem revisto suas estratégias, políticas e processos para adequar e proteger seu bem mais valioso?

Uma empresa deve estar ciente que a conscientização é fator fundamental de sucesso da empresa, devemos lembrar que pessoas são responsáveis pelas informações da empresa e devem estar consciente do seu papel na proteção dessa informação.

A conscientização deve ser um passo anterior ao processo de treinamento em segurança da informação, deve se focar em estimular as pessoas a participar ativamente da segurança da informação.

Mas como estimular a pessoa a agir ativamente em segurança da informação?

É fomentar o maior numero de informações a respeito do assunto, o trabalho deve ser constante dentro da empresa, divulgando sempre que possível conteúdo como, notícias, estudos, números, cartilhas, conversar sobre segurança da informação, fazer com que a segurança esteja no dia-a-dia das pessoas.

Os treinamentos e workshops de segurança da informação deve estar focados em apresentar as políticas e toda a estrutura de segurança da informação, mudanças aplicadas após o último encontro, e como as melhores praticas recomendam a realização de pelo menos dois ao ano, em outro realizar um apanhado menor, com maior foco e apresentado os notícias e evidências de casos com repercussão e sempre que possivel interaja com o público de forma a mostrar como um ataque acontece, utilize técnicas de phishing para mostrar o quanto eles mesmos estão vulneráveis, contrate um hacker para fazer um Hands on, invadindo um celular, página da web, derrubando um serviço, ou seja, use a imaginação e o céu é o limte, desde que seja tudo controlado.

Esse tipo de ação prende a atenção do público e mostra como tudo aquilo é possível, fácil e rápido. Como resultado terá maior engajamento dos colaboradores e por fim isso se replicará dentro da empresa.

O processo de treinamento e conscientização, é um dos principais processos e deve ser avaliado e reciclado/renovado constantemente, ele deve ser um clico e deve envolver todos os participantes da organização.

Uma corrente é tão forte quanto seu elo mais fraco.

Segundo o NIST

Conscientização para a Segurança e treinamentos devem ser focados em toda a população da empresa […] deve começar mirando todos os níveis da organização, incluindo profissionais de nível sênior e gerentes executivos.

Me atrevo a ir além, a segurança da informação deve ser uma preocupação constante e se estender a vida pessoal de cada indivíduo da empresa, se até mesmo pessoas treinadas e consciente em segurança da informação podem cair em golpes diga lá as demais pessoas.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *