Conscientizar é preciso! Viver, mais ainda!

A pessoa humana é o elemento por onde a segurança da informação acontece na organização. Cada dia que passa fico mais convencido que o usuário é a última milha para alcançarmos o nível de proteção adequado. As organizações que não consideram este fato poderão até desenvolver técnicas e processos, porém não serão efetivas na proteção.Para desenvolver pessoas em segurança da informação é necessário conscientizar e treinar os usuários de uma maneira sob medida para cada organização. Isto exige recursos financeiros, tempo das pessoas, alinhamento com a estratégia de negócio, planejamento de atividades e trabalho constante. Não basta apenas a diretoria assinar o cheque. Toda organização tem que se comprometer!Ao desenvolver um processo de conscientização devemos considerar:a. Conscientização é um elemento da corrente de segurança.Conscientização é importante? Sim! Porém, este processo é um elo da corrente de segurança. Ele sozinho não vai resolver todas as questões. Por exemplo, o processo de conscientização vai fazer referência à política de segurança. Para tanto a organização precisa já ter uma política assinada e divulgada. Outro exemplo: ao conscientizar o usuário e divulgar as regras alguém pode alegar: ?… mas ninguém cumpre esse regulamento. Nem o presidente (da organização)!?b. O motivo da conscientização é o negócio.A conscientização do usuário não existe por si só ou por causa do processo de segurança. Ela tem como alvo o usuário, acontece dentro de atividades do processo de segurança da informação, mas, a sua motivação é a proteção dos bens de informação necessários para a realização do negócio. Isso tem que ser entendido por todos! Esse é o objetivo estratégico.c. Não é a festa de final de ano, mas se for divertido e agradável, melhor ainda!Seriedade e profissionalismo não impedem de transmitirmos a mensagem de segurança da informação de uma forma alegre e agradável. Havendo conteúdo verdadeiro as pessoas entendem a essência da mensagem. Evidentemente com respeito ao próximo e texto correto. d. Entenda e respeite a cultura organizacional.A conscientização em segurança da informação deve respeitar a cultura organizacional e a maneira de ser de cada pessoa. A utilização de teatro corporativo tem sido bem aceito nas organizações, porém, em uma das minhas experiências profissionais, apenas no terceiro ano utilizei esta forma de comunicação. Neste caso, no primeiro ano programei palestras presenciais e dinâmicas de grupo em sala de aula; no segundo ano foi realizado um treinamento via e-learning e somente no terceiro ano planejei e executei o teatro corporativo. Entender o momento da organização, respeitar a cultura organizacional e realizar a conscientização de forma mais adequada são ações de sabedoria do gestor da segurança da informação.e. Conscientização é para todosDo presidente ao usuário de menor hierarquia ou relacionamento profissional, todos devem participar do processo de conscientização e treinamento. Evidentemente podemos ter diferentes mensagens ou formas de apresentação da conscientização. Para algumas áreas, por exemplo, Call Center que interage diretamente com o público, podemos enfatizar aspectos da confidencialidade da informação fornecida pelo cliente. Para a direção executiva, minha sugestão é enfatizar a necessidade do alinhamento da segurança da informação com a estratégia e operacionalização do negócio.f. Conscientização é um treinamento. Treinamento é questão de RH.O Security Officer da organização tem a responsabilidade de promover e garantir a existência do processo de conscientização dos usuários em segurança da informação. Porém, minha experiência recomenda que a área de recursos humanos seja a área que operacionalize essas ações. Inclusive porque este treinamento deve fazer parte do plano anual do RH.g. Para algumas situações: ensinar!Para alguns aspectos é necessário ensinar como proceder. Por exemplo: o que o usuário deve fazer se o pro gama de antivírus indicar presença de vírus? Mandar remover o vírus? Chamar o Help Desk? Cancelar o aviso? Mandar um e-mail para todos os usuários da organização avisando que um novo vírus está atacando a organização? Outra situação: se o usuário identificar uma situação de vulnerabilidade o que deve fazer? E se o chefe for o causador? Existe um sistema de registro anônimo?h. Avaliar a efetividade do treinamento/conscientizaçãoNão é fácil, mas podemos e devemos avaliar a efetividade das ações de conscientização. Para algumas situações é fácil: diminuição de chamadas ao Help Desk para questões de vírus. Para outras não é tão óbvio: como medir o nível de conscientização do usuário. Minha sugestão é perguntar ao próprio usuário. Baseado nos assuntos destacados no processo de conscientização podemos desenvolver e realizar uma avaliação da efetividade desse treinamento.Como nas demais ações em segurança da informação, é fundamental que o processo de conscientização seja bem planejado e construído no tamanho e formato exatos para a organização. Você pode e deve conhecer os treinamentos de conscientização realizados por outras organizações. Nossos colegas com certeza terão o máximo prazer de compartilhar a experiência. Porém, tenha a sabedoria de trazer essa experiência para a realidade da sua organização.Acredito piamente que em segurança da informação, o usuário faz a diferença! Tanto que este é o título do meu livro voltado para o usuário final e que tem o objetivo de ser um elemento de apoio para o processo de conscientização dos usuários.Devemos fazer todo o possível para alcançar nosso objetivo operacional em conscientização: que o usuário internalize os conceitos e pratique a segurança da informação!