Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301

Muitos dos praticantes de segurança da informação / continuidade de negócio com que falo tem o mesmo problema: os empregados em suas organizações não os levam a sério – não apenas os altos executivos, mas também seus pares.

Isto se deve ao fato de que os empregados geralmente não entendem sobre o que trata a segurança da informação ou continuidade de negócio – em outras palavras, você pode ter políticas e procedimentos perfeitos, mas simplesmente enviá-los através do e-mail interno não ajudará. Você precisa explicar para seus colegas porque a segurança da informação e a continuidade de negócio são necessárias, e como realizar certas atividades – que é o principal propósito da conscientização e do treinamento.

O ciclo de treinamento

Tanto a ISO 27001 quanto a ISO 22301 requerem que você lide com o treinamento de uma maneira sistemática, i.e. que realize estas etapas:

Training_cycle_PT
Figura: O ciclo de treinamento

  1. Definir quais conhecimentos e habilidades são necessárias para uma equipe em particular que possui um papel em seu sistema de gestão de segurança da informação (SGSI) ou sistema de gestão de continuidade de negócio (SGCN) – basicamente você precisa repassar a documentação do SGSI ou SGCN e verificar quais conhecimentos e habilidades são necessárias para cada pessoa responsável mencionada no documento.
  2. Realizar treinamentos para atingir o nível desejado de conhecimentos e habilidades – veja os métodos a seguir.
  3. Medir se cada indivíduo atingiu o nível desejado de conhecimento e habilidades – através de testes, entrevistas, etc. – uma vez que você saiba onde as lacunas estão, você pode reiniciar o processo a partir da etapa 1.

E isto é algo que precisa ser feito continuamente – seja pelo responsável pela segurança da informação (CISO) / coordenador de continuidade de negócio, ou pelo departamento de recursos humanos.

Métodos de treinamento

Frequentemente, os treinamentos são planejados através do plano de treinamento – por exemplo, você planejar para o seguinte:

Métodos de elevação da conscientização

Em oposição aos treinamentos, os quais dão uma resposta a questão “Como?”, a conscientização deve dar uma resposta a questão “Por que?” – isto é, explicar aos seus empregados porque eles deveriam aceitar a segurança da informação ou continuidade de negócio.

Existem muitos métodos que você pode usar, por exemplo:

  • Incluir os empregados no desenvolvimento da documentação – antes de publicar o documento, peça aos empregados suas opiniões (veja também: Sete passos para a implementação de políticas e procedimentos).
  • Apresentações – organize reuniões curtas onde você pode explicar o que são as novas políticas e procedimentos sendo publicados, pergunte aos seus empregados suas opiniões sobre estes documentos, esclareça quaisquer mau entendidos.
  • Artigos em sua intranet ou informativo – estórias simples (com tantos exemplos quanto possíveis) que podem ajudar os empregados a entender porque a segurança da informação / continuidade de negócio é importante.
  • Discussões em fóruns internos – você pode iniciar e participar em discussões sobre fatos concretos (ou mitos) sobre segurança da informação / continuidade de negócio.
  • E-learning – você pode criar treinamentos de curta duração online que explicam o significado destes tópicos, assim como para treinar seus empregados.
  • Vídeos – eles são um poderoso método de apresentação – você pode distribuí-los via e-mail, através da intranet, etc.
  • Mensagens ocasionais (via e-mail ou via sua intranet) – podem ser usadas não apenas para distribuir vídeos, mas também para enviar notícias relevantes e dicas para para continuidade de negócio.
  • Reuniões – use algumas das reuniões regulares que são realizadas em sua organização – e.g., festas, aniversários, etc. para apresentar de forma breve o que você está fazendo e como isto afeta seus colegas.
  • E, acima de tudo – comunicação em pessoa de forma diária – onde que que vá, com quem quer que fale – você tem que vender a ideia de segurança da informação / continuidade de negócio.

Não importa quais destes métodos você use, o ponto é que você os utilize sistematicamente – novamente, você deveria preparar algum tipo de plano onde você deveria definir quais destes métodos você irá realizar, e com que frequência.

O mito da implementação

Desta forma, como enfatizei neste artigo: The documentation myth – Why the templates are not enough?, simplesmente escrever as políticas e procedimentos não será o suficiente – você precisará utilizar conscientização e treinamento como uma ferramenta de auxílio para permitir que a documentação seja implementada.

Contudo, o timing aqui também é algo crucial: muitas organizações comentem o erro de publicar todos os seus documentos de uma vez. Por exemplo, se você publica 30 políticas e procedimentos ao mesmo tempo, estão infelizmente, nem mesmo os melhores programas de conscientização poderão ajudá-lo – seus empregados (com muita razão) começarão a pensar na segurança da informação / continuidade de negócio como uma sobrecarga.

Assim, você tem que publicar sua documentação gradualmente – a velocidade de publicação de seus novos documentos não deve ser na velocidade em que você os desenvolve, mas na velocidade na qual os seus empregados serão capazes de aceitá-los através dos seus programa de treinamento e conscientização.

Clique aqui para ver uma amostra gratuita do Plano de treinamento e conscientização.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001