Dejan Kosutic Muitos dos praticantes de segurança da informação / continuidade de negócio com que falo tem o mesmo problema: os empregados em suas organizações não os levam a sério – não apenas os altos executivos, mas também seus pares.
Isto se deve ao fato de que os empregados geralmente não entendem sobre o que trata a segurança da informação ou continuidade de negócio – em outras palavras, você pode ter políticas e procedimentos perfeitos, mas simplesmente enviá-los através do e-mail interno não ajudará. Você precisa explicar para seus colegas porque a segurança da informação e a continuidade de negócio são necessárias, e como realizar certas atividades – que é o principal propósito da conscientização e do treinamento.
O ciclo de treinamento
Tanto a ISO 27001 quanto a ISO 22301 requerem que você lide com o treinamento de uma maneira sistemática, i.e. que realize estas etapas:
Figura: O ciclo de treinamento
- Definir quais conhecimentos e habilidades são necessárias para uma equipe em particular que possui um papel em seu sistema de gestão de segurança da informação (SGSI) ou sistema de gestão de continuidade de negócio (SGCN) – basicamente você precisa repassar a documentação do SGSI ou SGCN e verificar quais conhecimentos e habilidades são necessárias para cada pessoa responsável mencionada no documento.
- Realizar treinamentos para atingir o nível desejado de conhecimentos e habilidades – veja os métodos a seguir.
- Medir se cada indivíduo atingiu o nível desejado de conhecimento e habilidades – através de testes, entrevistas, etc. – uma vez que você saiba onde as lacunas estão, você pode reiniciar o processo a partir da etapa 1.
E isto é algo que precisa ser feito continuamente – seja pelo responsável pela segurança da informação (CISO) / coordenador de continuidade de negócio, ou pelo departamento de recursos humanos.
Métodos de treinamento
Frequentemente, os treinamentos são planejados através do plano de treinamento – por exemplo, você planejar para o seguinte:
- Cursos – veja este artigo para maiores informações: Como aprender sobre a ISO 27001 e a BS 25999-2.
- Leitura de literatura – existem muitos livros de segurança da informação e de continuidade de negócio disponíveis, bem como revistas.
- Participação em fóruns de especialistas na Internet – em alguns desdes você pode obter muitas respostas concretas para suas questões – como por exemplo, Expert Advice Community ou ISO 27001 security.
- Treinamentos na empresa – ministrados por especialistas da própria organização, ou por consultores contratados, organismos de certificação ou similares.
Métodos de elevação da conscientização
Em oposição aos treinamentos, os quais dão uma resposta a questão “Como?”, a conscientização deve dar uma resposta a questão “Por que?” – isto é, explicar aos seus empregados porque eles deveriam aceitar a segurança da informação ou continuidade de negócio.
Existem muitos métodos que você pode usar, por exemplo:
- Incluir os empregados no desenvolvimento da documentação – antes de publicar o documento, peça aos empregados suas opiniões (veja também: Sete passos para a implementação de políticas e procedimentos).
- Apresentações – organize reuniões curtas onde você pode explicar o que são as novas políticas e procedimentos sendo publicados, pergunte aos seus empregados suas opiniões sobre estes documentos, esclareça quaisquer mau entendidos.
- Artigos em sua intranet ou informativo – estórias simples (com tantos exemplos quanto possíveis) que podem ajudar os empregados a entender porque a segurança da informação / continuidade de negócio é importante.
- Discussões em fóruns internos – você pode iniciar e participar em discussões sobre fatos concretos (ou mitos) sobre segurança da informação / continuidade de negócio.
- E-learning – você pode criar treinamentos de curta duração online que explicam o significado destes tópicos, assim como para treinar seus empregados.
- Vídeos – eles são um poderoso método de apresentação – você pode distribuí-los via e-mail, através da intranet, etc.
- Mensagens ocasionais (via e-mail ou via sua intranet) – podem ser usadas não apenas para distribuir vídeos, mas também para enviar notícias relevantes e dicas para para continuidade de negócio.
- Reuniões – use algumas das reuniões regulares que são realizadas em sua organização – e.g., festas, aniversários, etc. para apresentar de forma breve o que você está fazendo e como isto afeta seus colegas.
- E, acima de tudo – comunicação em pessoa de forma diária – onde que que vá, com quem quer que fale – você tem que vender a ideia de segurança da informação / continuidade de negócio.
Não importa quais destes métodos você use, o ponto é que você os utilize sistematicamente – novamente, você deveria preparar algum tipo de plano onde você deveria definir quais destes métodos você irá realizar, e com que frequência.
O mito da implementação
Desta forma, como enfatizei neste artigo: The documentation myth – Why the templates are not enough?, simplesmente escrever as políticas e procedimentos não será o suficiente – você precisará utilizar conscientização e treinamento como uma ferramenta de auxílio para permitir que a documentação seja implementada.
Contudo, o timing aqui também é algo crucial: muitas organizações comentem o erro de publicar todos os seus documentos de uma vez. Por exemplo, se você publica 30 políticas e procedimentos ao mesmo tempo, estão infelizmente, nem mesmo os melhores programas de conscientização poderão ajudá-lo – seus empregados (com muita razão) começarão a pensar na segurança da informação / continuidade de negócio como uma sobrecarga.
Assim, você tem que publicar sua documentação gradualmente – a velocidade de publicação de seus novos documentos não deve ser na velocidade em que você os desenvolve, mas na velocidade na qual os seus empregados serão capazes de aceitá-los através dos seus programa de treinamento e conscientização.
Clique aqui para ver uma amostra gratuita do Plano de treinamento e conscientização.
Nós agradecemos a Rhand Leal pela tradução para o português.
