Uma boa gestão de campanhas de segurança da informação trata o projeto como contínuo e o adapta para a realidade de sua empresa
Existem diversas ações internas e paralelas em uma empresa, um programa de educação continuada, por exemplo, que embora envolva uma programação externa dos funcionários, continua sendo um recurso da empresa, e por isso, será uma ação gerenciada por alguém que se responsabilize pela tarefa ou o próprio setor de RH.
Quando falamos em conscientização em cibersegurança, o assunto não é muito diferente, é preciso um responsável ou um grupo de pessoas capaz de manter sua disponibilidade para organizar o processo contínuo de conhecimento sobre o tema.
Ainda que para alguns ambientes a conscientização seja um projeto pontual ou responsivo a alguma ação sofrida pela empresa.
O importante trabalho da gestão de campanhas de segurança da informação
Dentro do contexto de planejamento e aplicação de uma campanha de conscientização, um dos personagens mais importantes é o profissional responsável pela organização da ação.
Por muitas vezes envolver, conforme já mencionado, até mesmo uma mudança de cultura em empresas com mais tempo no mercado, é esse profissional que estará presente em todas as fases do processo para garantir que o plano não apenas seja aplicado, como também monitorado e tenha seus resultados devidamente apurados.
A função pode ser exercida por gestores ou outros profissionais que tenham um background tecnológico, ou ainda, trabalhe ao lado de alguém do setor de recursos humanos para tornar traçar o perfil e fazer mudanças assertivas ao longo da campanha.
O importante trabalho do gestor da campanha de conscientização também funciona como referência para profissionais que possam ter dúvidas sobre determinados processos.
O gestor de campanha tem o papel de incentivar a equipe a aderir ao projeto, fazendo com que todos pensem na segurança das informações da empresa, e também as seguintes tarefas:
- Fazer com que todos entendam as ameaças e riscos que seus setores e a empresa como um todo estão sujeitos no dia a dia.
- Tornar público a importância do comportamento e ações de cada um no processo para manter a empresa mais segura.
- Despertar nos funcionários de outros setores o interesse em aprender mais sobre segurança da informação e a avaliarem seu atual conhecimento sobre essas vulnerabilidades.
- Manter os colaboradores informados sobre as melhores práticas do momento e traduzi-las da melhor maneira para o setor da empresa.
- Auxiliar na atualização, ou até mesmo na criação da política de proteção de dados organizacional.
- Garantir que a conscientização seja constante, mantendo os picos de informação sempre equilibrados para que ninguém ache que foi apenas uma ação passageira.
O que considerar e qual a importância de uma política de segurança de dados
Empresas sem uma política de proteção de dados formalizada pode ter problemas na produção de campanhas de conscientização pelo simples fato de não terem uma base de conhecimento pública para seus funcionários entenderem o que é importante.
Se a sua empresa está no processo de criação ou até mesmo adaptação do plano vigent, é importante considerar os seguintes fatores na hora de elaborar uma política de segurança de dados:
- Classificação de sensibilidade dos dados
Antes de qualquer coisa, é necessário categorizar o nível de sigilo dos dados da empresa.
Entenda por dado todo tipo de informação, desde número de funcionários a faturamentos e informações de clientes e fornecedores.
É de extrema importância definir os tipos de dados que percorrem pelos servidores de uma empresa antes de definir sua estratégia de proteção, bem como definir seus níveis de sigilo.
Isto é, criar um controle de acesso a partir de uma análise de lacunas, de acordo os requisitos da norma ISO 27001:
Considerado o padrão e referência em Segurança da Informação, a norma ISO 27001 é aperfeiçoada de maneira contínua desde sua origem, em 1922.
Sua adoção cria um modelo holístico de segurança da informação ao tratar diversos temas, como: telecomunicações, recursos humanos, licenciamento, etc.
Seu grande diferencial é o fato de ser independente de fabricantes, com foco no estabelecimento de processos que podem ser materializados à realidade de cada organização.
Esses dados podem ser categorizados como públicos, internos, confidenciais ou secretos, e devido a isso suas demandas de proteção são muito diferentes.
Por exemplo, dados como o balanço financeiro da empresa podem ser categorizados como confidenciais, dependendo da modalidade do CNPJ, já informações como número de funcionários podem ser públicas ou confidenciais, tudo vai depender da estratégia da organização.
Com isso definido é possível entender quem terá acesso a determinados dados e qual será o procedimento para definir seu fluxo de acessos ou necessidade de proteção.
- Processos e ferramentas da Política de Segurança de Dados
Considerado o padrão e referência em Segurança da Informação, a norma ISO 27001 é aperfeiçoada de maneira contínua desde sua origem, em 1922.
Sua adoção cria um modelo holístico de segurança da informação ao tratar diversos temas, como: telecomunicações, recursos humanos, licenciamento, etc.
Seu grande diferencial é o fato de ser independente de fabricantes, com foco no estabelecimento de processos que podem ser materializados à realidade de cada organização.
Esses dados podem ser categorizados como públicos, internos, confidenciais ou secretos, e devido a isso suas demandas de proteção são muito diferentes.
Por exemplo, dados como o balanço financeiro da empresa podem ser categorizados como confidenciais, dependendo da modalidade do CNPJ, já informações como número de funcionários podem ser públicas ou confidenciais, tudo vai depender da estratégia da organização.
Com isso definido é possível entender quem terá acesso a determinados dados e qual será o procedimento para definir seu fluxo de acessos ou necessidade de proteção.
- Tempo e processo de implementação
Para empresas que operam de maneira muito diferente, talvez o processo de aplicação de uma nova política de proteção de dados não seja tão fácil.
Mas é um erro pensar que somente a parte tecnológica importa no processo, pois se as práticas afetam a rotina de funcionários, eles também precisam enxergar seus benefícios e sua importância.
É preciso considerar que para qualificar a equipe a trabalhar da forma mais segura possível, é necessário um treinamento constante a respeito de segurança da informação e o cumprimento de uma agenda de atualização da PSI.
- Qual o perfil da empresa?
Processos muito complexos para uma empresa menos tradicional podem não funcionar tão bem, por isso uma das principais etapas de implementação de políticas de segurança da informação é analisar o perfil da organização para trabalhar em ações personalizadas.
O momento também é ideal para mapear todas as perguntas que devem ser respondidas: qual a finalidade de implementação, quem são os responsáveis, a quem recorrer em situações emergenciais, o que deve ser protegido e em quanto tempo tudo estará implementado.
- Treinamento, disponibilidade e compromisso
Se os processos irão mudar, os funcionários precisam ser instruídos para aplicar as novas diretrizes, e dependendo da intensidade da mudança, treinamentos específicos podem ser necessários.
Após todos os processos serem ensinados, é interessante que os participantes se comprometam formalmente a cumprir o que foi aprendido.
E para garantir que não restem dúvidas, além de pontuar as pessoas que podem auxiliar no esclarecimento, é interessante criar um canal para que todos possam revisar os itens sempre que necessário.
Em longo prazo, o treinamento tem o foco em que cada colaborador possa ser mais produtivo na utilização dos sistemas e tenha consciência dos riscos de maus hábitos online como visualizar spams e acessar conteúdo de fontes desconhecidas.
- Normas
O que é permitido e proibido para que as políticas sejam cumpridas?
Regras para o uso de softwares e equipamentos, bloqueio de sites e aplicativos são algumas das normas que podem ser necessárias para a aplicação da PSI.
Isso evita o inconveniente de um malware ser embutido nos arquivos da empresa após uma pesquisa descuidada na internet.
- Planos de contingência
E se mesmo com a política de segurança da informação algum dado for comprometido? E se o usuário tiver problemas e ninguém próximo para auxiliar?
É preciso definir planos de contingência para que todos possam tomar decisões rápidas e assertivas nos momentos críticos, uma estratégia que depende exclusivamente de uma pessoa ou local único para acesso, está fadada ao erro, pois imprevistos sempre podem acontecer.
Esse plano deve ser traçado a partir de um estudo dos riscos que a empresa corre e visando passos como: diagnóstico, definir prioridades, ciência dos colaboradores de como seguir esse plano e estratégias pré-definidas.
- Alinhamentos internos
Durante a criação da política de segurança da informação é também importante manter todos os diferentes setores da organização alinhados para que seja possível compreender como isso afetaria cada uma das áreas.
Além disso, o RH precisa estar muito presente durante o processo, pois eles terão papel fundamental no planejamento instrutivo das medidas apresentadas.
- Avaliação e atualizações
Com o plano aplicado, é preciso analisar periodicamente os impactos causados por ele.
Paralelo a isso, independente do sucesso da estratégia principal, é preciso estar informado sobre práticas e novas tecnologias que possam tornar as coisas cada dia melhores e mais efetivas.
Quando um bom gestor acredita na importância das ações de conscientização para a proteção de dados, isso deixa de ser um processo trabalhoso e entendiante, pois as pessoas passam a acreditar em sua aplicação.
Será que você é um mestre da segurança da informação?
Uma das melhores maneiras de proteger os ativos de uma empresa, é através da inclusão dos colaboradores, o fator humano, no processo. Isso começa através de ações como uma campanha de conscientização.
Preparamos um desafio para que seja possível definir, por onde começar uma estratégia em sua organização.
Como manter uma empresa segura?
Conte com a assessoria de um dos especialistas em segurança e privacidade da Compugraf e descubra como manter a segurança de sua empresa.