PROOF Security Awarness Program

Nossa atuação

A literatura a respeito da Segurança da Informação indica que a criação da Política de Segurança da Informação é sempre um dos primeiros passos para se implantar um sistema de gestão de segurança da informação (ABNT NBR ISO/IEC 27001, 2013). Contudo, somente a criação da PSI não garante sua conformidade na prática, dado que existe o fator humano que deve ser considerado.

Afinal, os colaboradores devem cumprir com a política estabelecida, e é nesse sentido que as campanhas de conscientização de segurança (security awareness) atuam: como um recurso para garantir que toda empresa receba treinamento, educação e conscientização apropriados em consonância com as políticas e procedimentos organizacionais.

Sobre o PSAP

O que é feito?

Capacitação proativa de SI aos colaboradores

Conformidade com exigências governamentais

Avaliação pré e pós programa de conscientização

Personalização conforme os objetivos da empresa

Conscientização não é treinamento!

Um ponto importante a destacar é que conscientização não é treinamento. O propósito da conscientização é simplesmente focar a atenção em segurança. A conscientização tem a intenção de alertar os indivíduos para reconhecer situações de segurança de TI e agir corretamente (NIST, SP 800-16). Inclusive, sabemos que você investe muita energia da sua empresa em processos automatizados e documentados, além das tecnologias de última ponta no mercado.

Transforme suas políticas em CULTURA.

Comunicação bem-sucedida.

A realidade é que a maioria dos os programas de conscientização de segurança possuem orçamentos reduzidos, e os gerentes de segurança precisam utilizar ao máximo os recursos escassos que possuem. Este é um cenário difícil, pouco proveitoso e que traz resultados ínfimos à organização. Para obter resultados relevantes, é necessário direcionar corretamente a comunicação ao público-alvo e proporcionar campanhas otimizadas.

Por que campanhas falham?

O programa de conscientização é um programa difícil de ser implementado com eficiência, dado que seu principal critério de sucesso é o envolvimento de uma audiência, que muitas vezes não é receptiva aos desafios propostos. O motivo principal é que estes programas são comumente orquestrados e executados por profissionais que não procuram entender como as pessoas funcionam, gerenciando campanhas genéricas e pouco eficientes.

Contexto

Em qual contexto o PSAP se encaixa?

Mensurar Maturidade

Conscientizar

Promover SI

Obter Compliance

Ter um ambiente seguro vai muito além de utilizar as melhores ferramentas disponíveis no mercado. Na verdade, um dos fatores mais importantes é o fator humano.

Através de métodos de conscientização, seguidos de avaliações, o PSAP é capaz de promover o tema segurança da informação como algo inerente ao cotidiano da empresa.

Diferenciais

Quais são os diferenciais da PROOF?

Entendemos segurança como um meio, e não como um fim. Enxergamos segurança como um processo que precisa ser constantemente revisitado, em atualizações e mudanças recorrentes, e que está sempre se reinventando. Isso porque segurança precisa ser muito mais dinâmica e veloz nas mudanças para não ficar para trás dos cibercriminosos.

Neste mesmo contexto, conscientizamos profissionais acerca do tema segurança da informação, utilizando ações como:

Para ser eficaz, o processo de conscientização é feito através de múltiplos canais, e a organização necessita assegurar que o pessoal estará exposto à mesma informação múltiplas vezes de diferentes formas. Sua base teórica de Segurança da Informação é a orientação sobre campanha de conscientização de segurança da informação do NIST (SP 800-50) e o Security Culture Framework. Os projetos de conscientização são conduzidos conforme os preceitos do Design Thinking e gerenciados com base nos conceitos e fundamentos do SCRUM.

A PROOF utiliza as seguintes ações para promover a conscientização dos colaboradores da organização:

Coleta de notícias e elaboração de relatórios que auxiliam a empresa a disseminar informações de forma planejada, fundamentais para toda a gestão da informação.

E-mail infográfico com recorrência de disparos. Aborda temas de forma lúdica, criativa, e de fácil absorção e interpretação para conscientizar o público sobre cibersegurança.

Recurso utilizado para gerar impacto visualmente, com o objetivo de transmitir uma informação, seja através de vídeo, cartilhas, ilustrações, logos, ícones, entre outras formas.

Mecânicas de jogos e pensamentos orientados para enriquecer o desempenho do treinamento e uma melhor capacitação sobre cibersegurança.

Simulações de phishing são utilizadas para projetar, criar e lançar um ataque ético, com o objetivo de conscientizar os funcionários sobre os riscos de um ataque real.

Ações tomadas no ambiente físico da empresa para testar sua segurança. Estratégias como: Tailgating, shoulder surfing, baiting, entre outros, são utilizadas para um avaliação da marca.

Imersão com palestras e bate-papos, que abordam determinados temas sobre cibersegurança, podendo durar de 1 a 3 dias.

Palestras educativas são eventos que tem por objetivo conscientizar e ensinar os participantes a respeito de temas específicos sobre cibersegurança, de uma forma dinâmica e com diálogo eficiente.

Necessidade

Por que contratar este serviço?

Sua empresa realiza ações de conscientização sobre SI?

Sua empresa mensura o nível de conhecimento dos colaboradores sobre SI?

Sua empresa evita incidentes de fator humano dentro de SI?

Caso tenha respondido “NÃO” para alguma destas perguntas, nós podemos te ajudar.

Vamos conversar?

Contato

Vamos conversar?