Como tratar essa questão? O que as organizaçõespodem fazer para manterem os seus ativos de informa-ção em segurança, uma vez que as pessoas estão dire-tamente relacionadas e fazem parte de seus processos?A resposta pode ser dada através de Campanhas deConscientização em Segurança da Informação, quetem se mostrado a alternativa mais eficaz para lidarcom a variável pessoas na equação da segurança da in-formação.

MMeellhhoorreess PPrrááttiiccaassA norma internacional ISO/IEC 27002 na sua seção

8.2.2, intitulada Conscientização, educação e treina-mento em segurança da informação, traz uma série derecomendações, onde coloca como o objetivo central aser alcançado, um nível de conscientização, educaçãoe treinamento nos procedimentos de segurança da in-formação e no uso correto dos recursos de processa-mento da informação, a ser fornecido parafuncionários, e onde seja pertinente, também para for-necedores e terceiros, para minimizar possíveis riscosde segurança da informação.Dentre essas recomendações, a norma cita a adoção

de um processo formal para informar sobre as políticase expectativas de segurança da informação da organi-zação, responsabilidades legais e conhecimento deameaças, todos adequados e relevantes para os papéis,

responsabilidades e habilidades da pessoa que estejarecebendo o treinamento.Ainda de acordo com a norma, outro ponto a ser

destacado nos treinamentos são orientações sobre in-cidentes de segurança da informação, com exemplosdo que poderia ocorrer, como responder a tais inciden-tes, quais os canais adequados para relatar os inciden-tes e como evitá-los futuramente.

PPrroocceessssoo CCoonnttíínnuuooO ideal é que a realização de campanhas de consci-

entização de segurança da informação seja um proces-so formal instituído e contínuo dentro da organização.Para isso, é preciso o apoio da Alta Gerência, atravésda demonstração clara que a conscientização das pes-soas é um fator crítico para o sucesso de todo plano desegurança da informação. Basta lembrar que ainda queexista um arsenal de tecnologias de proteção, se aspessoas não forem devidamente conscientizadas esensibilizadas, a organização continuará exposta auma grande quantidade de ameaças que elevam o riscoe a possibilidade da ocorrência de incidentes graves desegurança da informação.Uma vez que se tenha conseguido o apoio da Alta

Gerência, outras áreas da organização também terãoum papel fundamental para o sucesso das campanhas,a se destacar o Departamento de Recursos Humanos e

|32 Dezembro 2012 • segurancadigital.info

CampanhaDeConscientiza

ção

IInnttrroodduuççããoo

Quando se fala de Segurança da In-formação, se há um fato que pode serconsiderado consenso entre todas asvertentes que discutem o assunto, talfato refere-se às pessoas: são e sempreserão o elo mais fraco da corrente. Sejapela ingenuidade, falta de conheci-mento ou mesmo desinteresse pelo te-ma, as pessoas representam um vetorde vulnerabilidades contra o qual nãoexiste tecnologia que seja capaz deimpedir que ameaças se concretizemao explorar essas vulnerabilidades: fi-rewalls de nova geração, IPS/IDS,criptografia, etc., todas essas tecnolo-gias tornam-se ineficazes quando umusuário mantém sua senha anotada emum post-it embaixo do teclado.

de Comunicação, que deverão ser envolvidas e mos-traram-se comprometidas com os objetivos propostos.A implementação de uma campanha de conscienti-

zação em uma organização que a esteja realizando pe-la primeira vez, poderá ser planejada a partir dohistórico de ocorrências de incidentes de segurança dainformação e através de pesquisas de conhecimento.Com esses recursos será possível definir quais são ospontos críticos a serem trabalhados, tanto pelas falhasque foram exploradas, quanto pelas deficiências de co-nhecimento e comportamento identificadas. Para asorganizações que já possuem experiência na realizaçãode campanhas, os objetivos que foram trabalhados, as-sim como os resultados alcançados, poderão auxiliarno desenvolvimento de uma nova campanha.Para cada campanha a ser realizada, algumas ques-

tões de grande importância precisam ser respondidaspreviamente para que o plano de marketing seja efi-caz:

Com o público alvo e os meios de comunicaçãotendo sido definidos, as estratégias a serem definidasdeverão ser distribuídas em três níveis:

Para que uma campanha de conscientização apre-

sente resultados positivos ao longo do tempo, é pre-ciso ter em mente que sendo um processo, deverá serexecutada em períodos que podem variar de seismeses a um ano, dependendo da organização. Trei-namentos introdutórios e específicos para novosfuncionários que não tenham sido atingidos pelacampanha também são de suma importância, e de-vem ser empregados não só para apresentar as polí-ticas da organização como também o comportamentoesperado do funcionário em relação à segurança dainformação.

CCoonncclluussããooCampanhas de conscientização de segurança da

informação são uma ferramenta importante para osGestores de Segurança da Informação, e devemsempre fazer parte das suas estratégias e plano desegurança da informação. A prática tem demonstradoque os resultados alcançados com sua realização sãosempre positivos. Na realização de qualquer campa-nha, é importante observar que, para despertar o in-teresse e participação de todos os funcionários,devem ser utilizados temas que além de atenderemàs necessidades da organização, também possamagregar valor à vida pessoal de cada funcionário,como vírus eletrônicos, usos do e-mail e controle despam, senhas, mídias sociais, dentre outros.

RReeffeerrêênncciiaass BBiibblliiooggrrááffiiccaassASSOCIAÇÃO BRASILEIRA DE NORMAS

TÉCNICAS. NBR ISO/IEC 27002: Tecnologia dainformação – Técnicas de segurança – Código deprática para a gestão da segurança da informação.Rio de Janeiro, 2005.

ARTIGO Segurança Digital

|33 Dezembro 2012 • segurancadigital.info

Marcelo Veloso

MBA em Gestão de Segurança da Infor-mação pela Universidade FUMEC, Ba-charel em Sistemas de Informação pelaUniversidade PUC Minas, com 18 anosde experiência em TIC, atuando na áreade infraestrutura e ocupando cargos decoordenação e gestão. Certificações:MCSA, MCITP, MCTS, MCDST, MCP,

ITIL Foundation, ISO/IEC 27002, Cloud Computing Founda-tion e CCSK. Atualmente é Assessor na SEPLAG/MG, coor-denando projetos de Segurança da Informação no âmbito daCidade Administrativa de Minas Gerais.

Email: marcelo.veloso@outlook.comSite: http://mvsecurity.wordpress.comTwitter: @MVSecurityBR

Qual é o público alvo? Exemplo: Executivos,gerentes, colaboradores de forma geral.Quais os meios de comunicação serão utiliza-

dos? Exemplo: Cartazes, panfletos, palestras,workshops, newsletters, intranet, etc.

•

•

Conscientização: Porque fazer. Mostrar as pes-soas quais serão os benefícios a serem alcançadoscom as mudanças propostas. Para aceitação e ade-são aos princípios da segurança da informação, éimportante que as pessoas estejam conscientes doseu papel e como podem contribuir para a organi-zação. Mostrar também quais seriam os possíveismalefícios da não adesão também contribui paraalcançar esse objetivo.Educação: O que e quando fazer. Mostrar cla-

ramente às pessoas “o que fazer” em uma determi-nada situação, o que significa em esclarecer “oquando” também. Uma vez que as pessoas saibamo que deve ser feito, tendem a não serem afetadaspor fatores como medo, apreensão ou ansiedade.Treinamento: Como fazer. Quais as técnicas e

ferramentas estão disponíveis e como utilizá-laspara enfrentar uma situação específica. O treina-mento tornará sólido todo o conhecimento apre-sentado na conscientização e educação,enraizando esse conhecimento dentro de cada umdos atores envolvidos no processo.

•

•

•