RECUPERAR SUAS INFORMAÇÕES

CRIAR CONTA

O usuário é o elo mais importante

A maioria dos incidentes de segurança da informação começam com o clique do usuário. E nem sempre, as soluções técnicas conseguem evitar um vazamento de informações

Pensamos que as empresas devem ir além da cibersegurança, focada nos aspectos técnicos. Mas, devem também focar no aspecto humano, considerado o elo mais fraco.

“Existem dois tipos de empresa: a que já foi hackeada e a que não sabe ter sido” (John Chambers, CEO da Cisco)

Conscientização em segurança da informação

O USUÁRIO É O ELO MAIS IMPORTANTE

AS QUATRO ETAPAS DO PROCESSO

1. DEFINIR OS OBJETIVOS

Como está a cultura de segurança da informação na sua empresa?
A etapa inicial é o entendimento da postura atual (As-Is) e onde se quer chegar (To-Be), através da definição dos objetivos que devem ser alcançados.
Há dois tipos de objetivos de relevância para o Comité: metas de resultado e resultados de aprendizado.
Um exemplo em um objetivo do resultado pode ser:
A organização deve, no prazo de seis meses, treinar todos os colaboradores contra phishing.
Um exemplo de um resultado de aprendizagem pode ser:
Aqueles que recebem treinamento anti-phishing evem estar cientes da importância de senhas fortes, ganhar experiência na criação de senhas fortes, aprender a gerenciar seu portfólio de senhas de forma segura e compartilhar esse conhecimento.

Objetivos
Ao longo do curso do treinamento que você terá de avaliar e, eventualmente, fazer algumas revisões. Como tal, você deve definir determinados objetivos, bem como definir e definir critérios de tolerância e aceitação. Naturalmente, se as metas para a formação são ajustadas uma revisão dos objetivos tem de ser considerada.
Logo em seguida, criamos uma linha de base e analisarmos as lacunas entre os objetivos e a linha de base usando um “Gap-Analysis” padrão.
É importante distinguir entre as métricas que são usadas para definir uma linha de base para um plano holístico, e as métricas que são usadas como um ponto de verificação para o progresso ou aqueles que revelam a necessidade de ajustes no plano inicial. No quadro de cultura de segurança, estes são de vital importância.
A maioria das organizações, se olhar com cuidado, já tem um monte de dados que podem ser usados. Algumas recomendações são para ter uma visão objetiva e mapear o fluxo de dados existente. Além disso, converse com indivíduos-chave, como o gerente de helpdesk, gerente de ti e até mesmo gerentes não-ti. Você pode se surpreender com o que você descobre.
Você vai acabar com os dois tipos de dados; ou quantitativa com base em números ou qualitativos com base em entrevistas ou inquéritos.

2. CONHECER E ENVOLVER A ORGANIZAÇÃO

Na segunda etapa é hora de conhecer a audiência! Descobrir quem envolver na organização e execução de seu programa de cultura de segurança, bem como passar o tempo definindo diferentes públicos-alvo. Qual é o negócio da empresa?
As equipes que devem ser envolvidas para organizar seu trabalho com cultura da segurança não são limitadas ao departamento da segurança da informação. Deve-se envolver e incluir conhecimentos de diversas áreas, as três mais óbvias:

  • Os executivos de C-Level, onde o apoio deve ser conquistado;
  • Recursos humanos – quem geralmente sabe mais sobre a cultura da empresa;
  •  Marketing ou Comunicação – entendem melhor a forma de comunicação interna.

Para o seu programa de cultura de segurança faz sentido compreender as diferenças que a sua organização compreende. Por exemplo, pode haver uma enorme diferença entre como as pessoas em seu departamento de vendas agem e se comunicam quando comparadas a um grupo de tamanho semelhante que lida com contabilidade, TIC ou produção. Compreender essas diferenças e usar essas diferenças ao projetar seu programa de cultura de segurança pode ser a diferença entre falha ou sucesso.
Em muitos casos, construir uma cultura de segurança é uma forma de gerenciamento de alterações. Para a maioria das pessoas é mais fácil aceitar coisas novas, mudanças e trabalho extra se eles entendem o porquê. Algumas das medidas que podem ser tomadas são:

  • Criar embaixadores ou incentivos para que as pessoas espalhem a mensagem em todo o negócio;
  • Fornecer informações regulares e oportunas;
  • Adequar a mensagem quando necessário.

A natureza humana é tal que haverá sempre uma resistência natural à mudança. Não é inédito para as pessoas e até mesmo as organizações dizem... "bem, nós sempre fizemos isso desta forma, por que mudar agora?"
Construir uma cultura de segurança é essencialmente um caso de cultura organizacional. Por essa razão, é importante preparar, planejar e detectar a resistência em uma fase inicial e, mais importante, ser capaz de gerenciá-lo efetivamente.

3. DEFINIR OS TEMAS

Agora vamos definir quais os temas que devem ser tratados. Há um grande número de tópicos diferentes que são relevantes para criar e manter a cultura de segurança para que você possa escolher e escolher aqueles que são relevantes para você e sua organização.
Para criar valor e resultados, é importante alinhar os temas certos com os objetivos definidos na primeira etapa.
Alguns temas são relevantes em diferentes estágios de um ciclo de vida dos funcionários. Um exemplo é a introdução de novos funcionários às políticas e regulamentos quando começam a trabalhar. Outra é durante a realocação, quando pode fazer sentido treinar o funcionário em rotinas de segurança local.
Deve-se trabalhar em estreita colaboração com a área de recursos humanos para criar um programa de cultura de segurança funcional.
Alguns temas são claros com base em metas, como senha, phishing. Outros podem ser revelados ao mapear a organização, e outros ainda ao ver o relatório de incidentes.
Os temas mais fáceis de definir são os objetivos globais, e aqueles que incluem toda a organização.
Exemplos de temas:

  • Política de Segurança da Informação
  • Redes sociais
  • BYOD
  • Dispositivos Móveis
  • Phishing
  • Engenharia social

Exemplos de atividades podem ser:

  • E-learning
  • Palestras e Treinamentos
  • Vídeos
  • Newsletter
  • Pílulas de conhecimentos
  • Cartazes e folhetos
  • Eventos internos

4. EXECUTAR A CAMPANHA

Na última etapa, vamos configurar um plano detalhado de metas definidas, seus grupos-alvo e as diferentes atividades e quando devem ser implementadas
O objetivo é criar uma visão geral das diferentes atividades que você planeja usar, distribuídas durante o período de tempo. A estrutura e o conteúdo consistem em 3 elementos principais.: Atividades, Métricas e Revisão.
Método de trabalho sugerido
Definir o prazo para a campanha
Criar atividades e instrumentos baseados em grupos-alvo
Criar cronograma (s) para as diferentes atividades. Marque quando eles serão feitos, como eles serão feitos, quem são os receptores e quem é responsável pela realização.
Crie uma linha do tempo para métricas. Marque Marcos baseados nos objetivos. Reserve tempo na frente para que os marcos funcionem com a coleta de dados e analise.
Configure uma linha do tempo para revisões.

TOP