A literatura a respeito da Segurança da Informação indica que a criação da Política de Segurança da Informação é sempre um dos primeiros passos para se implantar um sistema de gestão de segurança da informação (ABNT NBR ISO/IEC 27001, 2013). Contudo, somente a criação da PSI não garante sua conformidade na prática, dado que existe o fator humano que deve ser considerado.
Afinal, os colaboradores devem cumprir com a política estabelecida, e é nesse sentido que as campanhas de conscientização de segurança (security awareness) atuam: como um recurso para garantir que toda empresa receba treinamento, educação e conscientização apropriados em consonância com as políticas e procedimentos organizacionais.
Um ponto importante a destacar é que conscientização não é treinamento. O propósito da conscientização é simplesmente focar a atenção em segurança. A conscientização tem a intenção de alertar os indivíduos para reconhecer situações de segurança de TI e agir corretamente (NIST, SP 800-16). Inclusive, sabemos que você investe muita energia da sua empresa em processos automatizados e documentados, além das tecnologias de última ponta no mercado.
A realidade é que a maioria dos os programas de conscientização de segurança possuem orçamentos reduzidos, e os gerentes de segurança precisam utilizar ao máximo os recursos escassos que possuem. Este é um cenário difícil, pouco proveitoso e que traz resultados ínfimos à organização. Para obter resultados relevantes, é necessário direcionar corretamente a comunicação ao público-alvo e proporcionar campanhas otimizadas.
O programa de conscientização é um programa difícil de ser implementado com eficiência, dado que seu principal critério de sucesso é o envolvimento de uma audiência, que muitas vezes não é receptiva aos desafios propostos. O motivo principal é que estes programas são comumente orquestrados e executados por profissionais que não procuram entender como as pessoas funcionam, gerenciando campanhas genéricas e pouco eficientes.
Ter um ambiente seguro vai muito além de utilizar as melhores ferramentas disponíveis no mercado. Na verdade, um dos fatores mais importantes é o fator humano.
Através de métodos de conscientização, seguidos de avaliações, o PSAP é capaz de promover o tema segurança da informação como algo inerente ao cotidiano da empresa.
Entendemos segurança como um meio, e não como um fim. Enxergamos segurança como um processo que precisa ser constantemente revisitado, em atualizações e mudanças recorrentes, e que está sempre se reinventando. Isso porque segurança precisa ser muito mais dinâmica e veloz nas mudanças para não ficar para trás dos cibercriminosos.
Neste mesmo contexto, conscientizamos profissionais acerca do tema segurança da informação, utilizando ações como:
Para ser eficaz, o processo de conscientização é feito através de múltiplos canais, e a organização necessita assegurar que o pessoal estará exposto à mesma informação múltiplas vezes de diferentes formas. Sua base teórica de Segurança da Informação é a orientação sobre campanha de conscientização de segurança da informação do NIST (SP 800-50) e o Security Culture Framework. Os projetos de conscientização são conduzidos conforme os preceitos do Design Thinking e gerenciados com base nos conceitos e fundamentos do SCRUM.
A PROOF utiliza as seguintes ações para promover a conscientização dos colaboradores da organização:
Coleta de notícias e elaboração de relatórios que auxiliam a empresa a disseminar informações de forma planejada, fundamentais para toda a gestão da informação.
E-mail infográfico com recorrência de disparos. Aborda temas de forma lúdica, criativa, e de fácil absorção e interpretação para conscientizar o público sobre cibersegurança.
Recurso utilizado para gerar impacto visualmente, com o objetivo de transmitir uma informação, seja através de vídeo, cartilhas, ilustrações, logos, ícones, entre outras formas.
Mecânicas de jogos e pensamentos orientados para enriquecer o desempenho do treinamento e uma melhor capacitação sobre cibersegurança.
Simulações de phishing são utilizadas para projetar, criar e lançar um ataque ético, com o objetivo de conscientizar os funcionários sobre os riscos de um ataque real.
Ações tomadas no ambiente físico da empresa para testar sua segurança. Estratégias como: Tailgating, shoulder surfing, baiting, entre outros, são utilizadas para um avaliação da marca.
Imersão com palestras e bate-papos, que abordam determinados temas sobre cibersegurança, podendo durar de 1 a 3 dias.
Palestras educativas são eventos que tem por objetivo conscientizar e ensinar os participantes a respeito de temas específicos sobre cibersegurança, de uma forma dinâmica e com diálogo eficiente.
Caso tenha respondido “NÃO” para alguma destas perguntas, nós podemos te ajudar.
A PROOF é referência no mercado de Segurança da Informação, enxergando e combatendo riscos de negócio através das melhores ferramentas e metodologias de SI.
BRASIL:
Rio de Janeiro
Espírito Santo
São Paulo
Minas Gerais
Distrito Federal
PORTUGAL:
Lisboa
BRASIL:
Rio de Janeiro
Espírito Santo
São Paulo
Minas Gerais
Distrito Federal
PORTUGAL:
Lisboa