SlideShare uma empresa Scribd logo
1 de 2
Baixar para ler offline
Campanha De Conscientização

Introdução
Quando se fala de Segurança da Informação, se há um fato que pode ser
considerado consenso entre todas as
vertentes que discutem o assunto, tal
fato refere-se às pessoas: são e sempre
serão o elo mais fraco da corrente. Seja
pela ingenuidade, falta de conhecimento ou mesmo desinteresse pelo tema, as pessoas representam um vetor
de vulnerabilidades contra o qual não
existe tecnologia que seja capaz de
impedir que ameaças se concretizem
ao explorar essas vulnerabilidades: firewalls de nova geração, IPS/IDS,
criptografia, etc., todas essas tecnologias tornam-se ineficazes quando um
usuário mantém sua senha anotada em
um post-it embaixo do teclado.

Como tratar essa questão? O que as organizações
podem fazer para manterem os seus ativos de informação em segurança, uma vez que as pessoas estão diretamente relacionadas e fazem parte de seus processos?
A resposta pode ser dada através de Campanhas de
Conscientização em Segurança da Informação, que
tem se mostrado a alternativa mais eficaz para lidar
com a variável pessoas na equação da segurança da informação.

responsabilidades e habilidades da pessoa que esteja
recebendo o treinamento.
Ainda de acordo com a norma, outro ponto a ser
destacado nos treinamentos são orientações sobre incidentes de segurança da informação, com exemplos
do que poderia ocorrer, como responder a tais incidentes, quais os canais adequados para relatar os incidentes e como evitá-los futuramente.

Processo Contínuo
Melhores Práticas
A norma internacional ISO/IEC 27002 na sua seção
8.2.2, intitulada Conscientização, educação e treinamento em segurança da informação, traz uma série de
recomendações, onde coloca como o objetivo central a
ser alcançado, um nível de conscientização, educação
e treinamento nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação, a ser fornecido para
funcionários, e onde seja pertinente, também para fornecedores e terceiros, para minimizar possíveis riscos
de segurança da informação.
Dentre essas recomendações, a norma cita a adoção
de um processo formal para informar sobre as políticas
e expectativas de segurança da informação da organização, responsabilidades legais e conhecimento de
ameaças, todos adequados e relevantes para os papéis,

|32

O ideal é que a realização de campanhas de conscientização de segurança da informação seja um processo formal instituído e contínuo dentro da organização.
Para isso, é preciso o apoio da Alta Gerência, através
da demonstração clara que a conscientização das pessoas é um fator crítico para o sucesso de todo plano de
segurança da informação. Basta lembrar que ainda que
exista um arsenal de tecnologias de proteção, se as
pessoas não forem devidamente conscientizadas e
sensibilizadas, a organização continuará exposta a
uma grande quantidade de ameaças que elevam o risco
e a possibilidade da ocorrência de incidentes graves de
segurança da informação.
Uma vez que se tenha conseguido o apoio da Alta
Gerência, outras áreas da organização também terão
um papel fundamental para o sucesso das campanhas,
a se destacar o Departamento de Recursos Humanos e

Dezembro 2012 • segurancadigital.info
ARTIGO Segurança Digital

de Comunicação, que deverão ser envolvidas e mostraram-se comprometidas com os objetivos propostos.
A implementação de uma campanha de conscientização em uma organização que a esteja realizando pela primeira vez, poderá ser planejada a partir do
histórico de ocorrências de incidentes de segurança da
informação e através de pesquisas de conhecimento.
Com esses recursos será possível definir quais são os
pontos críticos a serem trabalhados, tanto pelas falhas
que foram exploradas, quanto pelas deficiências de conhecimento e comportamento identificadas. Para as
organizações que já possuem experiência na realização
de campanhas, os objetivos que foram trabalhados, assim como os resultados alcançados, poderão auxiliar
no desenvolvimento de uma nova campanha.
Para cada campanha a ser realizada, algumas questões de grande importância precisam ser respondidas
previamente para que o plano de marketing seja eficaz:
• Qual é o público alvo? Exemplo: Executivos,
gerentes, colaboradores de forma geral.
• Quais os meios de comunicação serão utilizados? Exemplo: Cartazes, panfletos, palestras,
workshops, newsletters, intranet, etc.

Com o público alvo e os meios de comunicação
tendo sido definidos, as estratégias a serem definidas
deverão ser distribuídas em três níveis:
• Conscientização: Porque fazer. Mostrar as pessoas quais serão os benefícios a serem alcançados
com as mudanças propostas. Para aceitação e adesão aos princípios da segurança da informação, é
importante que as pessoas estejam conscientes do
seu papel e como podem contribuir para a organização. Mostrar também quais seriam os possíveis
malefícios da não adesão também contribui para
alcançar esse objetivo.
• Educação: O que e quando fazer. Mostrar claramente às pessoas “o que fazer” em uma determinada situação, o que significa em esclarecer “o
quando” também. Uma vez que as pessoas saibam
o que deve ser feito, tendem a não serem afetadas
por fatores como medo, apreensão ou ansiedade.
• Treinamento: Como fazer. Quais as técnicas e
ferramentas estão disponíveis e como utilizá-las
para enfrentar uma situação específica. O treinamento tornará sólido todo o conhecimento apresentado na conscientização e educação,
enraizando esse conhecimento dentro de cada um
dos atores envolvidos no processo.
Para que uma campanha de conscientização apre-

|33

sente resultados positivos ao longo do tempo, é preciso ter em mente que sendo um processo, deverá ser
executada em períodos que podem variar de seis
meses a um ano, dependendo da organização. Treinamentos introdutórios e específicos para novos
funcionários que não tenham sido atingidos pela
campanha também são de suma importância, e devem ser empregados não só para apresentar as políticas da organização como também o comportamento
esperado do funcionário em relação à segurança da
informação.

Conclusão
Campanhas de conscientização de segurança da
informação são uma ferramenta importante para os
Gestores de Segurança da Informação, e devem
sempre fazer parte das suas estratégias e plano de
segurança da informação. A prática tem demonstrado
que os resultados alcançados com sua realização são
sempre positivos. Na realização de qualquer campanha, é importante observar que, para despertar o interesse e participação de todos os funcionários,
devem ser utilizados temas que além de atenderem
às necessidades da organização, também possam
agregar valor à vida pessoal de cada funcionário,
como vírus eletrônicos, usos do e-mail e controle de
spam, senhas, mídias sociais, dentre outros.

Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da
informação – Técnicas de segurança – Código de
prática para a gestão da segurança da informação.
Rio de Janeiro, 2005.
Marcelo Veloso
MBA em Gestão de Segurança da Informação pela Universidade FUMEC, Bacharel em Sistemas de Informação pela
Universidade PUC Minas, com 18 anos
de experiência em TIC, atuando na área
de infraestrutura e ocupando cargos de
coordenação e gestão. Certificações:
MCSA, MCITP, MCTS, MCDST, MCP,
ITIL Foundation, ISO/IEC 27002, Cloud Computing Foundation e CCSK. Atualmente é Assessor na SEPLAG/MG, coordenando projetos de Segurança da Informação no âmbito da
Cidade Administrativa de Minas Gerais.
Email: marcelo.veloso@outlook.com
Site: http://mvsecurity.wordpress.com
Twitter: @MVSecurityBR

Dezembro 2012 • segurancadigital.info

Mais conteúdo relacionado

Mais procurados

Aula 1 sistema de gestão integrada
Aula 1 sistema de gestão integradaAula 1 sistema de gestão integrada
Aula 1 sistema de gestão integrada
frank encarnacão
 
Calculo cubagem
Calculo cubagemCalculo cubagem
Calculo cubagem
dodiga
 

Mais procurados (20)

Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da Informação
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
PETI - Planejamento Estratégico de TI
PETI - Planejamento Estratégico de TI PETI - Planejamento Estratégico de TI
PETI - Planejamento Estratégico de TI
 
Check list
Check listCheck list
Check list
 
Modulo 6 atividades insalubres & perigosas
Modulo 6 atividades insalubres & perigosasModulo 6 atividades insalubres & perigosas
Modulo 6 atividades insalubres & perigosas
 
ATR - Trabalho em Altura
ATR - Trabalho em AlturaATR - Trabalho em Altura
ATR - Trabalho em Altura
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Edi Troca Eletronica De Dados
Edi   Troca Eletronica De DadosEdi   Troca Eletronica De Dados
Edi Troca Eletronica De Dados
 
BECKMA - PROPOSTA COMERCIAL
BECKMA - PROPOSTA COMERCIALBECKMA - PROPOSTA COMERCIAL
BECKMA - PROPOSTA COMERCIAL
 
Modelo relatório de inspeção de segurança do trabalho
Modelo   relatório de inspeção de segurança do trabalhoModelo   relatório de inspeção de segurança do trabalho
Modelo relatório de inspeção de segurança do trabalho
 
Tecnologia Da Informaçao
Tecnologia Da InformaçaoTecnologia Da Informaçao
Tecnologia Da Informaçao
 
50723894 manual-de-lavanderia
50723894 manual-de-lavanderia50723894 manual-de-lavanderia
50723894 manual-de-lavanderia
 
Seguranca com-carrinho-manual
Seguranca com-carrinho-manualSeguranca com-carrinho-manual
Seguranca com-carrinho-manual
 
Logistica empresarial
Logistica empresarialLogistica empresarial
Logistica empresarial
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
 
Gestão da qualidade
Gestão da qualidadeGestão da qualidade
Gestão da qualidade
 
Aula 1 sistema de gestão integrada
Aula 1 sistema de gestão integradaAula 1 sistema de gestão integrada
Aula 1 sistema de gestão integrada
 
Calculo cubagem
Calculo cubagemCalculo cubagem
Calculo cubagem
 
Campanha adornos
Campanha adornosCampanha adornos
Campanha adornos
 
Folder adorno zero com portaria
Folder adorno zero   com portariaFolder adorno zero   com portaria
Folder adorno zero com portaria
 

Semelhante a Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização

Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra Inteligencia
Grupo Treinar
 
uso-corporativo-redes-sociais (2).pptx
uso-corporativo-redes-sociais (2).pptxuso-corporativo-redes-sociais (2).pptx
uso-corporativo-redes-sociais (2).pptx
Thayanne5
 

Semelhante a Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização (20)

Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra Inteligencia
 
Gestão do Conhecimento
Gestão do ConhecimentoGestão do Conhecimento
Gestão do Conhecimento
 
Modelo Estrela - Estratégias Digitais de Sucesso - Marcelo Minutti
Modelo Estrela - Estratégias Digitais de Sucesso - Marcelo MinuttiModelo Estrela - Estratégias Digitais de Sucesso - Marcelo Minutti
Modelo Estrela - Estratégias Digitais de Sucesso - Marcelo Minutti
 
Gestao do conhecimento: Produtividade e Competitividade
Gestao do conhecimento: Produtividade e CompetitividadeGestao do conhecimento: Produtividade e Competitividade
Gestao do conhecimento: Produtividade e Competitividade
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
 
Biz miz o1 m4_u4.2_r6_pt
Biz miz o1 m4_u4.2_r6_ptBiz miz o1 m4_u4.2_r6_pt
Biz miz o1 m4_u4.2_r6_pt
 
O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...
O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...
O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...
 
Ponto de vista_inteligência_estratégica
Ponto de vista_inteligência_estratégicaPonto de vista_inteligência_estratégica
Ponto de vista_inteligência_estratégica
 
Insurance Tech Português
Insurance Tech PortuguêsInsurance Tech Português
Insurance Tech Português
 
Mercado de trabalho marketing e vendas- artigo
Mercado de trabalho   marketing e vendas- artigoMercado de trabalho   marketing e vendas- artigo
Mercado de trabalho marketing e vendas- artigo
 
atps Basico Gs Conhecimento
atps Basico Gs Conhecimentoatps Basico Gs Conhecimento
atps Basico Gs Conhecimento
 
Gestão da informacão e do Conhecimento
Gestão da informacão e do ConhecimentoGestão da informacão e do Conhecimento
Gestão da informacão e do Conhecimento
 
OS PILARES DA QUALIDADE
OS PILARES DA QUALIDADEOS PILARES DA QUALIDADE
OS PILARES DA QUALIDADE
 
uso-corporativo-redes-sociais (2).pptx
uso-corporativo-redes-sociais (2).pptxuso-corporativo-redes-sociais (2).pptx
uso-corporativo-redes-sociais (2).pptx
 
[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...
[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...
[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...
 
Estratégias de mkt
Estratégias de mktEstratégias de mkt
Estratégias de mkt
 
Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...
Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...
Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...
 
Apresentação - Planejamento de Social Media
Apresentação - Planejamento de Social MediaApresentação - Planejamento de Social Media
Apresentação - Planejamento de Social Media
 

Mais de Marcelo Veloso

Mais de Marcelo Veloso (15)

Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
 
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
 
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
 
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
 
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
 
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
 
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
 
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
 
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
 
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
 
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud ComputingPalestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
 
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoPalestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
 
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da InformaçãoPalestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
 

Último

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Dirceu Resende
 

Último (11)

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docxATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
 
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docxATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
Apostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de  WORDApostila e caderno de exercicios de  WORD
Apostila e caderno de exercicios de WORD
 

Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização

  • 1. Campanha De Conscientização Introdução Quando se fala de Segurança da Informação, se há um fato que pode ser considerado consenso entre todas as vertentes que discutem o assunto, tal fato refere-se às pessoas: são e sempre serão o elo mais fraco da corrente. Seja pela ingenuidade, falta de conhecimento ou mesmo desinteresse pelo tema, as pessoas representam um vetor de vulnerabilidades contra o qual não existe tecnologia que seja capaz de impedir que ameaças se concretizem ao explorar essas vulnerabilidades: firewalls de nova geração, IPS/IDS, criptografia, etc., todas essas tecnologias tornam-se ineficazes quando um usuário mantém sua senha anotada em um post-it embaixo do teclado. Como tratar essa questão? O que as organizações podem fazer para manterem os seus ativos de informação em segurança, uma vez que as pessoas estão diretamente relacionadas e fazem parte de seus processos? A resposta pode ser dada através de Campanhas de Conscientização em Segurança da Informação, que tem se mostrado a alternativa mais eficaz para lidar com a variável pessoas na equação da segurança da informação. responsabilidades e habilidades da pessoa que esteja recebendo o treinamento. Ainda de acordo com a norma, outro ponto a ser destacado nos treinamentos são orientações sobre incidentes de segurança da informação, com exemplos do que poderia ocorrer, como responder a tais incidentes, quais os canais adequados para relatar os incidentes e como evitá-los futuramente. Processo Contínuo Melhores Práticas A norma internacional ISO/IEC 27002 na sua seção 8.2.2, intitulada Conscientização, educação e treinamento em segurança da informação, traz uma série de recomendações, onde coloca como o objetivo central a ser alcançado, um nível de conscientização, educação e treinamento nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação, a ser fornecido para funcionários, e onde seja pertinente, também para fornecedores e terceiros, para minimizar possíveis riscos de segurança da informação. Dentre essas recomendações, a norma cita a adoção de um processo formal para informar sobre as políticas e expectativas de segurança da informação da organização, responsabilidades legais e conhecimento de ameaças, todos adequados e relevantes para os papéis, |32 O ideal é que a realização de campanhas de conscientização de segurança da informação seja um processo formal instituído e contínuo dentro da organização. Para isso, é preciso o apoio da Alta Gerência, através da demonstração clara que a conscientização das pessoas é um fator crítico para o sucesso de todo plano de segurança da informação. Basta lembrar que ainda que exista um arsenal de tecnologias de proteção, se as pessoas não forem devidamente conscientizadas e sensibilizadas, a organização continuará exposta a uma grande quantidade de ameaças que elevam o risco e a possibilidade da ocorrência de incidentes graves de segurança da informação. Uma vez que se tenha conseguido o apoio da Alta Gerência, outras áreas da organização também terão um papel fundamental para o sucesso das campanhas, a se destacar o Departamento de Recursos Humanos e Dezembro 2012 • segurancadigital.info
  • 2. ARTIGO Segurança Digital de Comunicação, que deverão ser envolvidas e mostraram-se comprometidas com os objetivos propostos. A implementação de uma campanha de conscientização em uma organização que a esteja realizando pela primeira vez, poderá ser planejada a partir do histórico de ocorrências de incidentes de segurança da informação e através de pesquisas de conhecimento. Com esses recursos será possível definir quais são os pontos críticos a serem trabalhados, tanto pelas falhas que foram exploradas, quanto pelas deficiências de conhecimento e comportamento identificadas. Para as organizações que já possuem experiência na realização de campanhas, os objetivos que foram trabalhados, assim como os resultados alcançados, poderão auxiliar no desenvolvimento de uma nova campanha. Para cada campanha a ser realizada, algumas questões de grande importância precisam ser respondidas previamente para que o plano de marketing seja eficaz: • Qual é o público alvo? Exemplo: Executivos, gerentes, colaboradores de forma geral. • Quais os meios de comunicação serão utilizados? Exemplo: Cartazes, panfletos, palestras, workshops, newsletters, intranet, etc. Com o público alvo e os meios de comunicação tendo sido definidos, as estratégias a serem definidas deverão ser distribuídas em três níveis: • Conscientização: Porque fazer. Mostrar as pessoas quais serão os benefícios a serem alcançados com as mudanças propostas. Para aceitação e adesão aos princípios da segurança da informação, é importante que as pessoas estejam conscientes do seu papel e como podem contribuir para a organização. Mostrar também quais seriam os possíveis malefícios da não adesão também contribui para alcançar esse objetivo. • Educação: O que e quando fazer. Mostrar claramente às pessoas “o que fazer” em uma determinada situação, o que significa em esclarecer “o quando” também. Uma vez que as pessoas saibam o que deve ser feito, tendem a não serem afetadas por fatores como medo, apreensão ou ansiedade. • Treinamento: Como fazer. Quais as técnicas e ferramentas estão disponíveis e como utilizá-las para enfrentar uma situação específica. O treinamento tornará sólido todo o conhecimento apresentado na conscientização e educação, enraizando esse conhecimento dentro de cada um dos atores envolvidos no processo. Para que uma campanha de conscientização apre- |33 sente resultados positivos ao longo do tempo, é preciso ter em mente que sendo um processo, deverá ser executada em períodos que podem variar de seis meses a um ano, dependendo da organização. Treinamentos introdutórios e específicos para novos funcionários que não tenham sido atingidos pela campanha também são de suma importância, e devem ser empregados não só para apresentar as políticas da organização como também o comportamento esperado do funcionário em relação à segurança da informação. Conclusão Campanhas de conscientização de segurança da informação são uma ferramenta importante para os Gestores de Segurança da Informação, e devem sempre fazer parte das suas estratégias e plano de segurança da informação. A prática tem demonstrado que os resultados alcançados com sua realização são sempre positivos. Na realização de qualquer campanha, é importante observar que, para despertar o interesse e participação de todos os funcionários, devem ser utilizados temas que além de atenderem às necessidades da organização, também possam agregar valor à vida pessoal de cada funcionário, como vírus eletrônicos, usos do e-mail e controle de spam, senhas, mídias sociais, dentre outros. Referências Bibliográficas ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. Marcelo Veloso MBA em Gestão de Segurança da Informação pela Universidade FUMEC, Bacharel em Sistemas de Informação pela Universidade PUC Minas, com 18 anos de experiência em TIC, atuando na área de infraestrutura e ocupando cargos de coordenação e gestão. Certificações: MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation, ISO/IEC 27002, Cloud Computing Foundation e CCSK. Atualmente é Assessor na SEPLAG/MG, coordenando projetos de Segurança da Informação no âmbito da Cidade Administrativa de Minas Gerais. Email: marcelo.veloso@outlook.com Site: http://mvsecurity.wordpress.com Twitter: @MVSecurityBR Dezembro 2012 • segurancadigital.info