Artigo publicado na 9ª Edição da Revista Segurança Digital sobre Campanhas de Conscientização em Segurança da Informação, apresentando a importância da implementação de um processo contínuo de Conscientização, Educação e Treinamento nas organizações, como uma ferramenta importante a ser utilizada nas estratégias e planos de segurança da informação.
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização
1. Campanha De Conscientização
Introdução
Quando se fala de Segurança da Informação, se há um fato que pode ser
considerado consenso entre todas as
vertentes que discutem o assunto, tal
fato refere-se às pessoas: são e sempre
serão o elo mais fraco da corrente. Seja
pela ingenuidade, falta de conhecimento ou mesmo desinteresse pelo tema, as pessoas representam um vetor
de vulnerabilidades contra o qual não
existe tecnologia que seja capaz de
impedir que ameaças se concretizem
ao explorar essas vulnerabilidades: firewalls de nova geração, IPS/IDS,
criptografia, etc., todas essas tecnologias tornam-se ineficazes quando um
usuário mantém sua senha anotada em
um post-it embaixo do teclado.
Como tratar essa questão? O que as organizações
podem fazer para manterem os seus ativos de informação em segurança, uma vez que as pessoas estão diretamente relacionadas e fazem parte de seus processos?
A resposta pode ser dada através de Campanhas de
Conscientização em Segurança da Informação, que
tem se mostrado a alternativa mais eficaz para lidar
com a variável pessoas na equação da segurança da informação.
responsabilidades e habilidades da pessoa que esteja
recebendo o treinamento.
Ainda de acordo com a norma, outro ponto a ser
destacado nos treinamentos são orientações sobre incidentes de segurança da informação, com exemplos
do que poderia ocorrer, como responder a tais incidentes, quais os canais adequados para relatar os incidentes e como evitá-los futuramente.
Processo Contínuo
Melhores Práticas
A norma internacional ISO/IEC 27002 na sua seção
8.2.2, intitulada Conscientização, educação e treinamento em segurança da informação, traz uma série de
recomendações, onde coloca como o objetivo central a
ser alcançado, um nível de conscientização, educação
e treinamento nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação, a ser fornecido para
funcionários, e onde seja pertinente, também para fornecedores e terceiros, para minimizar possíveis riscos
de segurança da informação.
Dentre essas recomendações, a norma cita a adoção
de um processo formal para informar sobre as políticas
e expectativas de segurança da informação da organização, responsabilidades legais e conhecimento de
ameaças, todos adequados e relevantes para os papéis,
|32
O ideal é que a realização de campanhas de conscientização de segurança da informação seja um processo formal instituído e contínuo dentro da organização.
Para isso, é preciso o apoio da Alta Gerência, através
da demonstração clara que a conscientização das pessoas é um fator crítico para o sucesso de todo plano de
segurança da informação. Basta lembrar que ainda que
exista um arsenal de tecnologias de proteção, se as
pessoas não forem devidamente conscientizadas e
sensibilizadas, a organização continuará exposta a
uma grande quantidade de ameaças que elevam o risco
e a possibilidade da ocorrência de incidentes graves de
segurança da informação.
Uma vez que se tenha conseguido o apoio da Alta
Gerência, outras áreas da organização também terão
um papel fundamental para o sucesso das campanhas,
a se destacar o Departamento de Recursos Humanos e
Dezembro 2012 • segurancadigital.info
2. ARTIGO Segurança Digital
de Comunicação, que deverão ser envolvidas e mostraram-se comprometidas com os objetivos propostos.
A implementação de uma campanha de conscientização em uma organização que a esteja realizando pela primeira vez, poderá ser planejada a partir do
histórico de ocorrências de incidentes de segurança da
informação e através de pesquisas de conhecimento.
Com esses recursos será possível definir quais são os
pontos críticos a serem trabalhados, tanto pelas falhas
que foram exploradas, quanto pelas deficiências de conhecimento e comportamento identificadas. Para as
organizações que já possuem experiência na realização
de campanhas, os objetivos que foram trabalhados, assim como os resultados alcançados, poderão auxiliar
no desenvolvimento de uma nova campanha.
Para cada campanha a ser realizada, algumas questões de grande importância precisam ser respondidas
previamente para que o plano de marketing seja eficaz:
• Qual é o público alvo? Exemplo: Executivos,
gerentes, colaboradores de forma geral.
• Quais os meios de comunicação serão utilizados? Exemplo: Cartazes, panfletos, palestras,
workshops, newsletters, intranet, etc.
Com o público alvo e os meios de comunicação
tendo sido definidos, as estratégias a serem definidas
deverão ser distribuídas em três níveis:
• Conscientização: Porque fazer. Mostrar as pessoas quais serão os benefícios a serem alcançados
com as mudanças propostas. Para aceitação e adesão aos princípios da segurança da informação, é
importante que as pessoas estejam conscientes do
seu papel e como podem contribuir para a organização. Mostrar também quais seriam os possíveis
malefícios da não adesão também contribui para
alcançar esse objetivo.
• Educação: O que e quando fazer. Mostrar claramente às pessoas “o que fazer” em uma determinada situação, o que significa em esclarecer “o
quando” também. Uma vez que as pessoas saibam
o que deve ser feito, tendem a não serem afetadas
por fatores como medo, apreensão ou ansiedade.
• Treinamento: Como fazer. Quais as técnicas e
ferramentas estão disponíveis e como utilizá-las
para enfrentar uma situação específica. O treinamento tornará sólido todo o conhecimento apresentado na conscientização e educação,
enraizando esse conhecimento dentro de cada um
dos atores envolvidos no processo.
Para que uma campanha de conscientização apre-
|33
sente resultados positivos ao longo do tempo, é preciso ter em mente que sendo um processo, deverá ser
executada em períodos que podem variar de seis
meses a um ano, dependendo da organização. Treinamentos introdutórios e específicos para novos
funcionários que não tenham sido atingidos pela
campanha também são de suma importância, e devem ser empregados não só para apresentar as políticas da organização como também o comportamento
esperado do funcionário em relação à segurança da
informação.
Conclusão
Campanhas de conscientização de segurança da
informação são uma ferramenta importante para os
Gestores de Segurança da Informação, e devem
sempre fazer parte das suas estratégias e plano de
segurança da informação. A prática tem demonstrado
que os resultados alcançados com sua realização são
sempre positivos. Na realização de qualquer campanha, é importante observar que, para despertar o interesse e participação de todos os funcionários,
devem ser utilizados temas que além de atenderem
às necessidades da organização, também possam
agregar valor à vida pessoal de cada funcionário,
como vírus eletrônicos, usos do e-mail e controle de
spam, senhas, mídias sociais, dentre outros.
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da
informação – Técnicas de segurança – Código de
prática para a gestão da segurança da informação.
Rio de Janeiro, 2005.
Marcelo Veloso
MBA em Gestão de Segurança da Informação pela Universidade FUMEC, Bacharel em Sistemas de Informação pela
Universidade PUC Minas, com 18 anos
de experiência em TIC, atuando na área
de infraestrutura e ocupando cargos de
coordenação e gestão. Certificações:
MCSA, MCITP, MCTS, MCDST, MCP,
ITIL Foundation, ISO/IEC 27002, Cloud Computing Foundation e CCSK. Atualmente é Assessor na SEPLAG/MG, coordenando projetos de Segurança da Informação no âmbito da
Cidade Administrativa de Minas Gerais.
Email: marcelo.veloso@outlook.com
Site: http://mvsecurity.wordpress.com
Twitter: @MVSecurityBR
Dezembro 2012 • segurancadigital.info