Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização
0 gostou681 visualizações
Campanhas de conscientização em segurança da informação são essenciais para mitigar riscos associados ao comportamento das pessoas, consideradas o elo mais fraco na segurança. A norma ISO/IEC 27002 recomenda um processo contínuo de treinamento e conscientização para funcionários, que deve incluir vantagens e práticas de segurança. Campanhas devem ser planejadas com o apoio da alta gerência e focar em conscientização, educação e treinamento para serem eficazes.
Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização
- 1. Campanha De Conscientização Introdução Quando se fala de Segurança da Informação, se há um fato que pode ser considerado consenso entre todas as vertentes que discutem o assunto, tal fato refere-se às pessoas: são e sempre serão o elo mais fraco da corrente. Seja pela ingenuidade, falta de conhecimento ou mesmo desinteresse pelo tema, as pessoas representam um vetor de vulnerabilidades contra o qual não existe tecnologia que seja capaz de impedir que ameaças se concretizem ao explorar essas vulnerabilidades: firewalls de nova geração, IPS/IDS, criptografia, etc., todas essas tecnologias tornam-se ineficazes quando um usuário mantém sua senha anotada em um post-it embaixo do teclado. Como tratar essa questão? O que as organizações podem fazer para manterem os seus ativos de informação em segurança, uma vez que as pessoas estão diretamente relacionadas e fazem parte de seus processos? A resposta pode ser dada através de Campanhas de Conscientização em Segurança da Informação, que tem se mostrado a alternativa mais eficaz para lidar com a variável pessoas na equação da segurança da informação. responsabilidades e habilidades da pessoa que esteja recebendo o treinamento. Ainda de acordo com a norma, outro ponto a ser destacado nos treinamentos são orientações sobre incidentes de segurança da informação, com exemplos do que poderia ocorrer, como responder a tais incidentes, quais os canais adequados para relatar os incidentes e como evitá-los futuramente. Processo Contínuo Melhores Práticas A norma internacional ISO/IEC 27002 na sua seção 8.2.2, intitulada Conscientização, educação e treinamento em segurança da informação, traz uma série de recomendações, onde coloca como o objetivo central a ser alcançado, um nível de conscientização, educação e treinamento nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação, a ser fornecido para funcionários, e onde seja pertinente, também para fornecedores e terceiros, para minimizar possíveis riscos de segurança da informação. Dentre essas recomendações, a norma cita a adoção de um processo formal para informar sobre as políticas e expectativas de segurança da informação da organização, responsabilidades legais e conhecimento de ameaças, todos adequados e relevantes para os papéis, |32 O ideal é que a realização de campanhas de conscientização de segurança da informação seja um processo formal instituído e contínuo dentro da organização. Para isso, é preciso o apoio da Alta Gerência, através da demonstração clara que a conscientização das pessoas é um fator crítico para o sucesso de todo plano de segurança da informação. Basta lembrar que ainda que exista um arsenal de tecnologias de proteção, se as pessoas não forem devidamente conscientizadas e sensibilizadas, a organização continuará exposta a uma grande quantidade de ameaças que elevam o risco e a possibilidade da ocorrência de incidentes graves de segurança da informação. Uma vez que se tenha conseguido o apoio da Alta Gerência, outras áreas da organização também terão um papel fundamental para o sucesso das campanhas, a se destacar o Departamento de Recursos Humanos e Dezembro 2012 • segurancadigital.info
- 2. ARTIGO Segurança Digital de Comunicação, que deverão ser envolvidas e mostraram-se comprometidas com os objetivos propostos. A implementação de uma campanha de conscientização em uma organização que a esteja realizando pela primeira vez, poderá ser planejada a partir do histórico de ocorrências de incidentes de segurança da informação e através de pesquisas de conhecimento. Com esses recursos será possível definir quais são os pontos críticos a serem trabalhados, tanto pelas falhas que foram exploradas, quanto pelas deficiências de conhecimento e comportamento identificadas. Para as organizações que já possuem experiência na realização de campanhas, os objetivos que foram trabalhados, assim como os resultados alcançados, poderão auxiliar no desenvolvimento de uma nova campanha. Para cada campanha a ser realizada, algumas questões de grande importância precisam ser respondidas previamente para que o plano de marketing seja eficaz: • Qual é o público alvo? Exemplo: Executivos, gerentes, colaboradores de forma geral. • Quais os meios de comunicação serão utilizados? Exemplo: Cartazes, panfletos, palestras, workshops, newsletters, intranet, etc. Com o público alvo e os meios de comunicação tendo sido definidos, as estratégias a serem definidas deverão ser distribuídas em três níveis: • Conscientização: Porque fazer. Mostrar as pessoas quais serão os benefícios a serem alcançados com as mudanças propostas. Para aceitação e adesão aos princípios da segurança da informação, é importante que as pessoas estejam conscientes do seu papel e como podem contribuir para a organização. Mostrar também quais seriam os possíveis malefícios da não adesão também contribui para alcançar esse objetivo. • Educação: O que e quando fazer. Mostrar claramente às pessoas “o que fazer” em uma determinada situação, o que significa em esclarecer “o quando” também. Uma vez que as pessoas saibam o que deve ser feito, tendem a não serem afetadas por fatores como medo, apreensão ou ansiedade. • Treinamento: Como fazer. Quais as técnicas e ferramentas estão disponíveis e como utilizá-las para enfrentar uma situação específica. O treinamento tornará sólido todo o conhecimento apresentado na conscientização e educação, enraizando esse conhecimento dentro de cada um dos atores envolvidos no processo. Para que uma campanha de conscientização apre- |33 sente resultados positivos ao longo do tempo, é preciso ter em mente que sendo um processo, deverá ser executada em períodos que podem variar de seis meses a um ano, dependendo da organização. Treinamentos introdutórios e específicos para novos funcionários que não tenham sido atingidos pela campanha também são de suma importância, e devem ser empregados não só para apresentar as políticas da organização como também o comportamento esperado do funcionário em relação à segurança da informação. Conclusão Campanhas de conscientização de segurança da informação são uma ferramenta importante para os Gestores de Segurança da Informação, e devem sempre fazer parte das suas estratégias e plano de segurança da informação. A prática tem demonstrado que os resultados alcançados com sua realização são sempre positivos. Na realização de qualquer campanha, é importante observar que, para despertar o interesse e participação de todos os funcionários, devem ser utilizados temas que além de atenderem às necessidades da organização, também possam agregar valor à vida pessoal de cada funcionário, como vírus eletrônicos, usos do e-mail e controle de spam, senhas, mídias sociais, dentre outros. Referências Bibliográficas ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. Marcelo Veloso MBA em Gestão de Segurança da Informação pela Universidade FUMEC, Bacharel em Sistemas de Informação pela Universidade PUC Minas, com 18 anos de experiência em TIC, atuando na área de infraestrutura e ocupando cargos de coordenação e gestão. Certificações: MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation, ISO/IEC 27002, Cloud Computing Foundation e CCSK. Atualmente é Assessor na SEPLAG/MG, coordenando projetos de Segurança da Informação no âmbito da Cidade Administrativa de Minas Gerais. Email: [email protected] Site: http://mvsecurity.wordpress.com Twitter: @MVSecurityBR Dezembro 2012 • segurancadigital.info