SlideShare uma empresa Scribd logo
Campanha De Conscientização

Introdução
Quando se fala de Segurança da Informação, se há um fato que pode ser
considerado consenso entre todas as
vertentes que discutem o assunto, tal
fato refere-se às pessoas: são e sempre
serão o elo mais fraco da corrente. Seja
pela ingenuidade, falta de conhecimento ou mesmo desinteresse pelo tema, as pessoas representam um vetor
de vulnerabilidades contra o qual não
existe tecnologia que seja capaz de
impedir que ameaças se concretizem
ao explorar essas vulnerabilidades: firewalls de nova geração, IPS/IDS,
criptografia, etc., todas essas tecnologias tornam-se ineficazes quando um
usuário mantém sua senha anotada em
um post-it embaixo do teclado.

Como tratar essa questão? O que as organizações
podem fazer para manterem os seus ativos de informação em segurança, uma vez que as pessoas estão diretamente relacionadas e fazem parte de seus processos?
A resposta pode ser dada através de Campanhas de
Conscientização em Segurança da Informação, que
tem se mostrado a alternativa mais eficaz para lidar
com a variável pessoas na equação da segurança da informação.

responsabilidades e habilidades da pessoa que esteja
recebendo o treinamento.
Ainda de acordo com a norma, outro ponto a ser
destacado nos treinamentos são orientações sobre incidentes de segurança da informação, com exemplos
do que poderia ocorrer, como responder a tais incidentes, quais os canais adequados para relatar os incidentes e como evitá-los futuramente.

Processo Contínuo
Melhores Práticas
A norma internacional ISO/IEC 27002 na sua seção
8.2.2, intitulada Conscientização, educação e treinamento em segurança da informação, traz uma série de
recomendações, onde coloca como o objetivo central a
ser alcançado, um nível de conscientização, educação
e treinamento nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação, a ser fornecido para
funcionários, e onde seja pertinente, também para fornecedores e terceiros, para minimizar possíveis riscos
de segurança da informação.
Dentre essas recomendações, a norma cita a adoção
de um processo formal para informar sobre as políticas
e expectativas de segurança da informação da organização, responsabilidades legais e conhecimento de
ameaças, todos adequados e relevantes para os papéis,

|32

O ideal é que a realização de campanhas de conscientização de segurança da informação seja um processo formal instituído e contínuo dentro da organização.
Para isso, é preciso o apoio da Alta Gerência, através
da demonstração clara que a conscientização das pessoas é um fator crítico para o sucesso de todo plano de
segurança da informação. Basta lembrar que ainda que
exista um arsenal de tecnologias de proteção, se as
pessoas não forem devidamente conscientizadas e
sensibilizadas, a organização continuará exposta a
uma grande quantidade de ameaças que elevam o risco
e a possibilidade da ocorrência de incidentes graves de
segurança da informação.
Uma vez que se tenha conseguido o apoio da Alta
Gerência, outras áreas da organização também terão
um papel fundamental para o sucesso das campanhas,
a se destacar o Departamento de Recursos Humanos e

Dezembro 2012 • segurancadigital.info
ARTIGO Segurança Digital

de Comunicação, que deverão ser envolvidas e mostraram-se comprometidas com os objetivos propostos.
A implementação de uma campanha de conscientização em uma organização que a esteja realizando pela primeira vez, poderá ser planejada a partir do
histórico de ocorrências de incidentes de segurança da
informação e através de pesquisas de conhecimento.
Com esses recursos será possível definir quais são os
pontos críticos a serem trabalhados, tanto pelas falhas
que foram exploradas, quanto pelas deficiências de conhecimento e comportamento identificadas. Para as
organizações que já possuem experiência na realização
de campanhas, os objetivos que foram trabalhados, assim como os resultados alcançados, poderão auxiliar
no desenvolvimento de uma nova campanha.
Para cada campanha a ser realizada, algumas questões de grande importância precisam ser respondidas
previamente para que o plano de marketing seja eficaz:
• Qual é o público alvo? Exemplo: Executivos,
gerentes, colaboradores de forma geral.
• Quais os meios de comunicação serão utilizados? Exemplo: Cartazes, panfletos, palestras,
workshops, newsletters, intranet, etc.

Com o público alvo e os meios de comunicação
tendo sido definidos, as estratégias a serem definidas
deverão ser distribuídas em três níveis:
• Conscientização: Porque fazer. Mostrar as pessoas quais serão os benefícios a serem alcançados
com as mudanças propostas. Para aceitação e adesão aos princípios da segurança da informação, é
importante que as pessoas estejam conscientes do
seu papel e como podem contribuir para a organização. Mostrar também quais seriam os possíveis
malefícios da não adesão também contribui para
alcançar esse objetivo.
• Educação: O que e quando fazer. Mostrar claramente às pessoas “o que fazer” em uma determinada situação, o que significa em esclarecer “o
quando” também. Uma vez que as pessoas saibam
o que deve ser feito, tendem a não serem afetadas
por fatores como medo, apreensão ou ansiedade.
• Treinamento: Como fazer. Quais as técnicas e
ferramentas estão disponíveis e como utilizá-las
para enfrentar uma situação específica. O treinamento tornará sólido todo o conhecimento apresentado na conscientização e educação,
enraizando esse conhecimento dentro de cada um
dos atores envolvidos no processo.
Para que uma campanha de conscientização apre-

|33

sente resultados positivos ao longo do tempo, é preciso ter em mente que sendo um processo, deverá ser
executada em períodos que podem variar de seis
meses a um ano, dependendo da organização. Treinamentos introdutórios e específicos para novos
funcionários que não tenham sido atingidos pela
campanha também são de suma importância, e devem ser empregados não só para apresentar as políticas da organização como também o comportamento
esperado do funcionário em relação à segurança da
informação.

Conclusão
Campanhas de conscientização de segurança da
informação são uma ferramenta importante para os
Gestores de Segurança da Informação, e devem
sempre fazer parte das suas estratégias e plano de
segurança da informação. A prática tem demonstrado
que os resultados alcançados com sua realização são
sempre positivos. Na realização de qualquer campanha, é importante observar que, para despertar o interesse e participação de todos os funcionários,
devem ser utilizados temas que além de atenderem
às necessidades da organização, também possam
agregar valor à vida pessoal de cada funcionário,
como vírus eletrônicos, usos do e-mail e controle de
spam, senhas, mídias sociais, dentre outros.

Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da
informação – Técnicas de segurança – Código de
prática para a gestão da segurança da informação.
Rio de Janeiro, 2005.
Marcelo Veloso
MBA em Gestão de Segurança da Informação pela Universidade FUMEC, Bacharel em Sistemas de Informação pela
Universidade PUC Minas, com 18 anos
de experiência em TIC, atuando na área
de infraestrutura e ocupando cargos de
coordenação e gestão. Certificações:
MCSA, MCITP, MCTS, MCDST, MCP,
ITIL Foundation, ISO/IEC 27002, Cloud Computing Foundation e CCSK. Atualmente é Assessor na SEPLAG/MG, coordenando projetos de Segurança da Informação no âmbito da
Cidade Administrativa de Minas Gerais.
Email: marcelo.veloso@outlook.com
Site: http://mvsecurity.wordpress.com
Twitter: @MVSecurityBR

Dezembro 2012 • segurancadigital.info

Mais conteúdo relacionado

Mais procurados

Gerenciamento de Projetos de TI
Gerenciamento de Projetos de TIGerenciamento de Projetos de TI
Gerenciamento de Projetos de TI
Eliseu Castelo
 
Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de tiSilvino Neto
 
Slides MPS-BR
Slides MPS-BRSlides MPS-BR
Slides MPS-BR
alinebicudo
 
Aula 1 Modelagem De Processos
Aula 1   Modelagem De ProcessosAula 1   Modelagem De Processos
Aula 1 Modelagem De Processos
Marcos Barato
 
Business Intelligence
Business IntelligenceBusiness Intelligence
Business Intelligence
Mauricio Uriona Maldonado PhD
 
Introdução ao BPM - André Venâncio
Introdução ao BPM - André VenâncioIntrodução ao BPM - André Venâncio
Introdução ao BPM - André Venâncio
André Venâncio
 
O que é Business Intelligence (BI)
O que é Business Intelligence (BI)O que é Business Intelligence (BI)
O que é Business Intelligence (BI)
Marco Garcia
 
US DOC ACMM Wallchart
US DOC ACMM WallchartUS DOC ACMM Wallchart
US DOC ACMM Wallchart
Paul Sullivan
 
Aula 06 qs - garantia da qualidade de sw
Aula 06   qs - garantia da qualidade de swAula 06   qs - garantia da qualidade de sw
Aula 06 qs - garantia da qualidade de sw
Junior Gomes
 
Cobit 5 used in an information security review
Cobit 5 used in an information security reviewCobit 5 used in an information security review
Cobit 5 used in an information security review
Johnbarchie
 
Business intelligence competency centre strategy and road map
Business intelligence competency centre strategy and road mapBusiness intelligence competency centre strategy and road map
Business intelligence competency centre strategy and road map
Omar Khan
 
Transformação Ágil
Transformação ÁgilTransformação Ágil
Transformação Ágil
Rildo (@rildosan) Santos
 
Business Intelligence - Prática e Experiências
Business Intelligence - Prática e ExperiênciasBusiness Intelligence - Prática e Experiências
Business Intelligence - Prática e Experiências
Mauricio Cesar Santos da Purificação
 
ISO 38500 Visão Geral
ISO 38500   Visão GeralISO 38500   Visão Geral
ISO 38500 Visão Geral
Carlos Teixeira
 
A Implementação do Sistema de Governança de TI
A Implementação do Sistema de Governança de TIA Implementação do Sistema de Governança de TI
A Implementação do Sistema de Governança de TI
Blue Hawk - B&IT Management
 
Enterprise Business Analysis Capability - Strategic Asset for Business Alignm...
Enterprise Business Analysis Capability - Strategic Asset for Business Alignm...Enterprise Business Analysis Capability - Strategic Asset for Business Alignm...
Enterprise Business Analysis Capability - Strategic Asset for Business Alignm...
Alan McSweeney
 
Plano Diretor de Tecnologia da Informação
Plano Diretor de Tecnologia da InformaçãoPlano Diretor de Tecnologia da Informação
Plano Diretor de Tecnologia da InformaçãoHelio Rebouças
 
Enterprise Architecture – Vision and Reality on the Same Page
Enterprise Architecture – Vision and Reality on the Same PageEnterprise Architecture – Vision and Reality on the Same Page
Enterprise Architecture – Vision and Reality on the Same Page
Simon Polovina
 
Modelagem De Banco De Dados
Modelagem De Banco De DadosModelagem De Banco De Dados
Modelagem De Banco De Dados
mgoberto
 

Mais procurados (20)

Gerenciamento de Projetos de TI
Gerenciamento de Projetos de TIGerenciamento de Projetos de TI
Gerenciamento de Projetos de TI
 
Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de ti
 
Slides MPS-BR
Slides MPS-BRSlides MPS-BR
Slides MPS-BR
 
resumo maximiano
resumo maximianoresumo maximiano
resumo maximiano
 
Aula 1 Modelagem De Processos
Aula 1   Modelagem De ProcessosAula 1   Modelagem De Processos
Aula 1 Modelagem De Processos
 
Business Intelligence
Business IntelligenceBusiness Intelligence
Business Intelligence
 
Introdução ao BPM - André Venâncio
Introdução ao BPM - André VenâncioIntrodução ao BPM - André Venâncio
Introdução ao BPM - André Venâncio
 
O que é Business Intelligence (BI)
O que é Business Intelligence (BI)O que é Business Intelligence (BI)
O que é Business Intelligence (BI)
 
US DOC ACMM Wallchart
US DOC ACMM WallchartUS DOC ACMM Wallchart
US DOC ACMM Wallchart
 
Aula 06 qs - garantia da qualidade de sw
Aula 06   qs - garantia da qualidade de swAula 06   qs - garantia da qualidade de sw
Aula 06 qs - garantia da qualidade de sw
 
Cobit 5 used in an information security review
Cobit 5 used in an information security reviewCobit 5 used in an information security review
Cobit 5 used in an information security review
 
Business intelligence competency centre strategy and road map
Business intelligence competency centre strategy and road mapBusiness intelligence competency centre strategy and road map
Business intelligence competency centre strategy and road map
 
Transformação Ágil
Transformação ÁgilTransformação Ágil
Transformação Ágil
 
Business Intelligence - Prática e Experiências
Business Intelligence - Prática e ExperiênciasBusiness Intelligence - Prática e Experiências
Business Intelligence - Prática e Experiências
 
ISO 38500 Visão Geral
ISO 38500   Visão GeralISO 38500   Visão Geral
ISO 38500 Visão Geral
 
A Implementação do Sistema de Governança de TI
A Implementação do Sistema de Governança de TIA Implementação do Sistema de Governança de TI
A Implementação do Sistema de Governança de TI
 
Enterprise Business Analysis Capability - Strategic Asset for Business Alignm...
Enterprise Business Analysis Capability - Strategic Asset for Business Alignm...Enterprise Business Analysis Capability - Strategic Asset for Business Alignm...
Enterprise Business Analysis Capability - Strategic Asset for Business Alignm...
 
Plano Diretor de Tecnologia da Informação
Plano Diretor de Tecnologia da InformaçãoPlano Diretor de Tecnologia da Informação
Plano Diretor de Tecnologia da Informação
 
Enterprise Architecture – Vision and Reality on the Same Page
Enterprise Architecture – Vision and Reality on the Same PageEnterprise Architecture – Vision and Reality on the Same Page
Enterprise Architecture – Vision and Reality on the Same Page
 
Modelagem De Banco De Dados
Modelagem De Banco De DadosModelagem De Banco De Dados
Modelagem De Banco De Dados
 

Semelhante a Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização

Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra InteligenciaGrupo Treinar
 
Modelo Estrela - Estratégias Digitais de Sucesso - Marcelo Minutti
Modelo Estrela - Estratégias Digitais de Sucesso - Marcelo MinuttiModelo Estrela - Estratégias Digitais de Sucesso - Marcelo Minutti
Modelo Estrela - Estratégias Digitais de Sucesso - Marcelo Minutti
Marcelo Minutti
 
Gestao do conhecimento: Produtividade e Competitividade
Gestao do conhecimento: Produtividade e CompetitividadeGestao do conhecimento: Produtividade e Competitividade
Gestao do conhecimento: Produtividade e Competitividade
Jose Claudio Terra
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
University of North Carolina at Chapel Hill
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
University of North Carolina at Chapel Hill Balloni
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
Erick Toledo (ET)
 
Biz miz o1 m4_u4.2_r6_pt
Biz miz o1 m4_u4.2_r6_ptBiz miz o1 m4_u4.2_r6_pt
Biz miz o1 m4_u4.2_r6_pt
EmanuelePristera
 
O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...
O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...
O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...
Silvio Melo Liborio
 
Ponto de vista_inteligência_estratégica
Ponto de vista_inteligência_estratégicaPonto de vista_inteligência_estratégica
Ponto de vista_inteligência_estratégica
Symnetics Business Transformation
 
Insurance Tech Português
Insurance Tech PortuguêsInsurance Tech Português
Insurance Tech Português
Hanson Wade Ltd
 
Mercado de trabalho marketing e vendas- artigo
Mercado de trabalho   marketing e vendas- artigoMercado de trabalho   marketing e vendas- artigo
Mercado de trabalho marketing e vendas- artigo
Deborah Moreira
 
atps Basico Gs Conhecimento
atps Basico Gs Conhecimentoatps Basico Gs Conhecimento
atps Basico Gs Conhecimento
arthfesta
 
Gestão da informacão e do Conhecimento
Gestão da informacão e do ConhecimentoGestão da informacão e do Conhecimento
Gestão da informacão e do Conhecimento
Adeildo Caboclo
 
uso-corporativo-redes-sociais (2).pptx
uso-corporativo-redes-sociais (2).pptxuso-corporativo-redes-sociais (2).pptx
uso-corporativo-redes-sociais (2).pptx
Thayanne5
 
[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...
[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...
[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...
TECNISA - Mais construtora por m²
 
Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...
Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...
Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...
REVIE Inteligencia Empresarial
 
Apresentação - Planejamento de Social Media
Apresentação - Planejamento de Social MediaApresentação - Planejamento de Social Media
Apresentação - Planejamento de Social Media
Content Stuff
 

Semelhante a Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização (20)

Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra Inteligencia
 
Gestão do Conhecimento
Gestão do ConhecimentoGestão do Conhecimento
Gestão do Conhecimento
 
Modelo Estrela - Estratégias Digitais de Sucesso - Marcelo Minutti
Modelo Estrela - Estratégias Digitais de Sucesso - Marcelo MinuttiModelo Estrela - Estratégias Digitais de Sucesso - Marcelo Minutti
Modelo Estrela - Estratégias Digitais de Sucesso - Marcelo Minutti
 
Gestao do conhecimento: Produtividade e Competitividade
Gestao do conhecimento: Produtividade e CompetitividadeGestao do conhecimento: Produtividade e Competitividade
Gestao do conhecimento: Produtividade e Competitividade
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
 
Biz miz o1 m4_u4.2_r6_pt
Biz miz o1 m4_u4.2_r6_ptBiz miz o1 m4_u4.2_r6_pt
Biz miz o1 m4_u4.2_r6_pt
 
O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...
O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...
O PROFISSIONAL INTELIGENTE EM B.I. De onde vem? Quem são? Como deve ser um pr...
 
Ponto de vista_inteligência_estratégica
Ponto de vista_inteligência_estratégicaPonto de vista_inteligência_estratégica
Ponto de vista_inteligência_estratégica
 
Insurance Tech Português
Insurance Tech PortuguêsInsurance Tech Português
Insurance Tech Português
 
Mercado de trabalho marketing e vendas- artigo
Mercado de trabalho   marketing e vendas- artigoMercado de trabalho   marketing e vendas- artigo
Mercado de trabalho marketing e vendas- artigo
 
atps Basico Gs Conhecimento
atps Basico Gs Conhecimentoatps Basico Gs Conhecimento
atps Basico Gs Conhecimento
 
Gestão da informacão e do Conhecimento
Gestão da informacão e do ConhecimentoGestão da informacão e do Conhecimento
Gestão da informacão e do Conhecimento
 
OS PILARES DA QUALIDADE
OS PILARES DA QUALIDADEOS PILARES DA QUALIDADE
OS PILARES DA QUALIDADE
 
uso-corporativo-redes-sociais (2).pptx
uso-corporativo-redes-sociais (2).pptxuso-corporativo-redes-sociais (2).pptx
uso-corporativo-redes-sociais (2).pptx
 
[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...
[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...
[Trabalhos Acadêmicos TECNISA] Case em Estratégias de Marketing de Relacionam...
 
Estratégias de mkt
Estratégias de mktEstratégias de mkt
Estratégias de mkt
 
Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...
Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...
Artigo: Inteligência Competitiva e a integração com Marketing e Redes Sociais...
 
Apresentação - Planejamento de Social Media
Apresentação - Planejamento de Social MediaApresentação - Planejamento de Social Media
Apresentação - Planejamento de Social Media
 

Mais de Marcelo Veloso

Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Marcelo Veloso
 
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Marcelo Veloso
 
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Marcelo Veloso
 
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Marcelo Veloso
 
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Marcelo Veloso
 
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Marcelo Veloso
 
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Marcelo Veloso
 
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Marcelo Veloso
 
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Marcelo Veloso
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Marcelo Veloso
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Marcelo Veloso
 
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Marcelo Veloso
 
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud ComputingPalestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
Marcelo Veloso
 
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoPalestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Marcelo Veloso
 
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da InformaçãoPalestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Marcelo Veloso
 

Mais de Marcelo Veloso (15)

Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
 
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
 
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
 
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
 
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
 
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
 
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
 
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
 
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
 
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
 
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud ComputingPalestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
 
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoPalestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
 
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da InformaçãoPalestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
 

Último

Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 
Guardioes Digitais em ação: Como criar senhas seguras!
Guardioes Digitais em ação: Como criar senhas seguras!Guardioes Digitais em ação: Como criar senhas seguras!
Guardioes Digitais em ação: Como criar senhas seguras!
Jonathas Muniz
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Gabriel de Mattos Faustino
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 

Último (6)

Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 
Guardioes Digitais em ação: Como criar senhas seguras!
Guardioes Digitais em ação: Como criar senhas seguras!Guardioes Digitais em ação: Como criar senhas seguras!
Guardioes Digitais em ação: Como criar senhas seguras!
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 

Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização

  • 1. Campanha De Conscientização Introdução Quando se fala de Segurança da Informação, se há um fato que pode ser considerado consenso entre todas as vertentes que discutem o assunto, tal fato refere-se às pessoas: são e sempre serão o elo mais fraco da corrente. Seja pela ingenuidade, falta de conhecimento ou mesmo desinteresse pelo tema, as pessoas representam um vetor de vulnerabilidades contra o qual não existe tecnologia que seja capaz de impedir que ameaças se concretizem ao explorar essas vulnerabilidades: firewalls de nova geração, IPS/IDS, criptografia, etc., todas essas tecnologias tornam-se ineficazes quando um usuário mantém sua senha anotada em um post-it embaixo do teclado. Como tratar essa questão? O que as organizações podem fazer para manterem os seus ativos de informação em segurança, uma vez que as pessoas estão diretamente relacionadas e fazem parte de seus processos? A resposta pode ser dada através de Campanhas de Conscientização em Segurança da Informação, que tem se mostrado a alternativa mais eficaz para lidar com a variável pessoas na equação da segurança da informação. responsabilidades e habilidades da pessoa que esteja recebendo o treinamento. Ainda de acordo com a norma, outro ponto a ser destacado nos treinamentos são orientações sobre incidentes de segurança da informação, com exemplos do que poderia ocorrer, como responder a tais incidentes, quais os canais adequados para relatar os incidentes e como evitá-los futuramente. Processo Contínuo Melhores Práticas A norma internacional ISO/IEC 27002 na sua seção 8.2.2, intitulada Conscientização, educação e treinamento em segurança da informação, traz uma série de recomendações, onde coloca como o objetivo central a ser alcançado, um nível de conscientização, educação e treinamento nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação, a ser fornecido para funcionários, e onde seja pertinente, também para fornecedores e terceiros, para minimizar possíveis riscos de segurança da informação. Dentre essas recomendações, a norma cita a adoção de um processo formal para informar sobre as políticas e expectativas de segurança da informação da organização, responsabilidades legais e conhecimento de ameaças, todos adequados e relevantes para os papéis, |32 O ideal é que a realização de campanhas de conscientização de segurança da informação seja um processo formal instituído e contínuo dentro da organização. Para isso, é preciso o apoio da Alta Gerência, através da demonstração clara que a conscientização das pessoas é um fator crítico para o sucesso de todo plano de segurança da informação. Basta lembrar que ainda que exista um arsenal de tecnologias de proteção, se as pessoas não forem devidamente conscientizadas e sensibilizadas, a organização continuará exposta a uma grande quantidade de ameaças que elevam o risco e a possibilidade da ocorrência de incidentes graves de segurança da informação. Uma vez que se tenha conseguido o apoio da Alta Gerência, outras áreas da organização também terão um papel fundamental para o sucesso das campanhas, a se destacar o Departamento de Recursos Humanos e Dezembro 2012 • segurancadigital.info
  • 2. ARTIGO Segurança Digital de Comunicação, que deverão ser envolvidas e mostraram-se comprometidas com os objetivos propostos. A implementação de uma campanha de conscientização em uma organização que a esteja realizando pela primeira vez, poderá ser planejada a partir do histórico de ocorrências de incidentes de segurança da informação e através de pesquisas de conhecimento. Com esses recursos será possível definir quais são os pontos críticos a serem trabalhados, tanto pelas falhas que foram exploradas, quanto pelas deficiências de conhecimento e comportamento identificadas. Para as organizações que já possuem experiência na realização de campanhas, os objetivos que foram trabalhados, assim como os resultados alcançados, poderão auxiliar no desenvolvimento de uma nova campanha. Para cada campanha a ser realizada, algumas questões de grande importância precisam ser respondidas previamente para que o plano de marketing seja eficaz: • Qual é o público alvo? Exemplo: Executivos, gerentes, colaboradores de forma geral. • Quais os meios de comunicação serão utilizados? Exemplo: Cartazes, panfletos, palestras, workshops, newsletters, intranet, etc. Com o público alvo e os meios de comunicação tendo sido definidos, as estratégias a serem definidas deverão ser distribuídas em três níveis: • Conscientização: Porque fazer. Mostrar as pessoas quais serão os benefícios a serem alcançados com as mudanças propostas. Para aceitação e adesão aos princípios da segurança da informação, é importante que as pessoas estejam conscientes do seu papel e como podem contribuir para a organização. Mostrar também quais seriam os possíveis malefícios da não adesão também contribui para alcançar esse objetivo. • Educação: O que e quando fazer. Mostrar claramente às pessoas “o que fazer” em uma determinada situação, o que significa em esclarecer “o quando” também. Uma vez que as pessoas saibam o que deve ser feito, tendem a não serem afetadas por fatores como medo, apreensão ou ansiedade. • Treinamento: Como fazer. Quais as técnicas e ferramentas estão disponíveis e como utilizá-las para enfrentar uma situação específica. O treinamento tornará sólido todo o conhecimento apresentado na conscientização e educação, enraizando esse conhecimento dentro de cada um dos atores envolvidos no processo. Para que uma campanha de conscientização apre- |33 sente resultados positivos ao longo do tempo, é preciso ter em mente que sendo um processo, deverá ser executada em períodos que podem variar de seis meses a um ano, dependendo da organização. Treinamentos introdutórios e específicos para novos funcionários que não tenham sido atingidos pela campanha também são de suma importância, e devem ser empregados não só para apresentar as políticas da organização como também o comportamento esperado do funcionário em relação à segurança da informação. Conclusão Campanhas de conscientização de segurança da informação são uma ferramenta importante para os Gestores de Segurança da Informação, e devem sempre fazer parte das suas estratégias e plano de segurança da informação. A prática tem demonstrado que os resultados alcançados com sua realização são sempre positivos. Na realização de qualquer campanha, é importante observar que, para despertar o interesse e participação de todos os funcionários, devem ser utilizados temas que além de atenderem às necessidades da organização, também possam agregar valor à vida pessoal de cada funcionário, como vírus eletrônicos, usos do e-mail e controle de spam, senhas, mídias sociais, dentre outros. Referências Bibliográficas ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. Marcelo Veloso MBA em Gestão de Segurança da Informação pela Universidade FUMEC, Bacharel em Sistemas de Informação pela Universidade PUC Minas, com 18 anos de experiência em TIC, atuando na área de infraestrutura e ocupando cargos de coordenação e gestão. Certificações: MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation, ISO/IEC 27002, Cloud Computing Foundation e CCSK. Atualmente é Assessor na SEPLAG/MG, coordenando projetos de Segurança da Informação no âmbito da Cidade Administrativa de Minas Gerais. Email: marcelo.veloso@outlook.com Site: http://mvsecurity.wordpress.com Twitter: @MVSecurityBR Dezembro 2012 • segurancadigital.info