“Prato do dia: Feijoada Completa !!!”. Este é, sem dúvida alguma, um ícone da culinária popular brasileira, com presença garantida nos cardápios de restaurantes de norte a sul do País. Em algumas regiões, tradicionalmente servida às quartas-feiras e, em outras, aos sábados, para a satisfação dos mais variados perfis de fiéis consumidores. Gorda ou magra, a depender do gosto freguês, a Feijoada vem mantendo sua posição de sucesso gastronômico, não apenas pela sua diversidade de sabor, como também, pelo seu valor nutritivo, custo acessível e seu papel – catalizador – social. De fato, motivos não faltam para justificar este sucesso e, para chegarmos até eles, a palavra-chave é Processo. Afinal, estamos falando de um prato cujo preparo envolve uma diversidade de ingredientes, com etapas e momentos de cozimentos distintos, temperos na medida correta e que exige um planejamento de dias, orientado por uma receita testada e fielmente seguida. Não há, portanto, espaço para improvisos de última hora.
Assim como no preparo da nossa tradicional Feijoada, a preparação e a manutenção de um ambiente resiliente a ataques cibernéticos em nossas entidades requerem processos planejados, bem definidos e formalmente registrados e observados. A partir desta edição, apresentaremos processos relacionados com a segurança da área de tecnologia capazes de proporcionar a mitigação de ameaças cibernéticas.
E nada mais conveniente e oportuno do que começarmos esta série pelo Processo de Conscientização e Treinamento.
Este processo consiste, basicamente, na promoção do engajamento e da aptidão de todos os dirigentes, colaboradores e prestadores de serviços da entidade na busca e manutenção contínuas de boas práticas de segurança da informação e de ambiente tecnológico eficiente e seguro, garantindo o desempenho apropriado de suas tarefas.
A execução do processo, portanto, não se limita à criação de políticas e estabelecimento de normativos internos voltados para a segurança da informação, já que o fator humano é de suma importância para o cumprimento das diretrizes estabelecidas.
De acordo com a norma ABNT NBR ISO 27002, convém que todos os colaboradores da organização recebam treinamento, educação e conscientização apropriados. Além disso, as políticas e os procedimentos organizacionais relevantes para as suas funções devem ser regularmente atualizados, sempre levando em consideração a segurança da informação e a proteção de dados.
Ainda nesta linha, a NIST 800-16 (1) estabelece, para o seu público alvo, que a conscientização de segurança seja obrigatória para todos os colaboradores, incluindo empregados, contratados, estagiários e quem estiver envolvido, de alguma forma, com sistemas de tecnologia da informação.
A área de Recursos Humanos, com o patrocínio da alta administração, deve trabalhar na criação e aplicação de um Programa de Treinamento e Conscientização, além de incentivar o respeito às políticas internas e o uso de canal de comunicação para consultas e reportes de desvios. O referido programa compreende atividades coordenadas e planejadas de acordo com as melhores especificações e as necessidades de cada assunto abordado. As ações para conscientização são diversas, não se limitando a: – criação de materiais criativos e atrativos, canais e ações fora do comum, palestras periódicas, treinamentos, aplicação de questionários, de jogos e realização de sorteios.
A seguir, apresentamos um quadro resumo de todos os pontos que devem ser observados para perfeita aplicação do Programa de Treinamento e Conscientização.
| 1 – Realizar Análise de gap de Habilidades. | Para entendimento das habilidades e comportamentos dos funcionários e terceiros da entidade e o quanto não estão aderindo às boas práticas, usando essas informações para criar um roteiro de linha de base da educação. |
| 2 – Realizar treinamentos para mitigação dos gaps de habilidades. | Para abordagem dos gaps de habilidades identificados, buscando impactar positivamente o comportamento de segurança dos membros da força de trabalho. |
| 3 – Atualizar conteúdo de conscientização com frequência. | Verificando se o programa de conscientização de segurança da organização é atualizado com frequência (pelo menos anualmente) para atender: (i) rotatividade de pessoal; (ii) evolução tecnológica permanente; (iii) melhora da maturidade de Governança Corporativa pelo aumento e/ou aperfeiçoamento dos controles internos; (iv) mudanças de paradigmas operacionais; e (v) mudança da legislação. |
| 4 – Oferecer treinamentos de autenticação segura a todos os funcionários. | Envolvendo todos os membros da força de trabalho, no sentido de entenderem sobre a importância de habilitar e utilizar a autenticação segura. |
| 5 – Treinar os funcionários na identificação de ataques de engenharia social. | Envolvendo todo o quadro de funcionários e terceiros da entidade no sentido de entenderem como identificar diferentes formas de ataques de engenharia social, como phishing, golpes telefônicos e fraudes telefônicas. |
| 6 – Treinar os funcionários no manuseio de dados. | Envolvendo todo o quadro de funcionários e terceiros da entidade, no sentido de entenderem como identificar e armazenar, transferir, arquivar e distribuir informações confidenciais adequadamente. |
| 7 – Treinar os funcionários sobre as causas de exposição não intencional de dados. | Envolvendo todos os funcionários e terceiros da entidade, para que os mesmos venham a conhecer as causas de exposições não intencionais de dados, como em casos de perda de dispositivos móveis ou em casos de envio de e-mail para a pessoa errada devido ao preenchimento automático do e-mail. |
| 8 – Treinar os funcionários na identificação e comunicação de incidentes. | Envolvendo todos os funcionários e terceiros da entidade para que eles possam identificar os indicadores de incidentes mais comuns e relatar esses incidentes à área de segurança para tratamento. |
| 9 – Garantir que o time de desenvolvimento de software seja treinado em codificação segura. | Certificando que todas as equipes de desenvolvimento de software recebam treinamento para escrever código seguro para seu ambiente, assim como responsabilidades específicas de desenvolvimento. |
Comissão Técnica Leste de Governança e Riscos
* Parte 1
Nota:
- Nacional Institute of Standards and Technology (NIS) – U.S Department of Commerce)
