ENTRE EM CONTATO 1-888-553-2256

The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301

Muitos dos praticantes de segurança da informação / continuidade de negócio com que falo tem o mesmo problema: os empregados em suas organizações não os levam a sério – não apenas os altos executivos, mas também seus pares.

Isto se deve ao fato de que os empregados geralmente não entendem sobre o que trata a segurança da informação ou continuidade de negócio – em outras palavras, você pode ter políticas e procedimentos perfeitos, mas simplesmente enviá-los através do e-mail interno não ajudará. Você precisa explicar para seus colegas porque a segurança da informação e a continuidade de negócio são necessárias, e como realizar certas atividades – que é o principal propósito da conscientização e do treinamento.

O ciclo de treinamento

blogpost-banner-risk-pt

Tanto a ISO 27001 quanto a ISO 22301 requerem que você lide com o treinamento de uma maneira sistemática, i.e. que realize estas etapas:

Training_cycle_PT
Figura: O ciclo de treinamento

  1. Definir quais conhecimentos e habilidades são necessárias para uma equipe em particular que possui um papel em seu sistema de gestão de segurança da informação (SGSI) ou sistema de gestão de continuidade de negócio (SGCN) – basicamente você precisa repassar a documentação do SGSI ou SGCN e verificar quais conhecimentos e habilidades são necessárias para cada pessoa responsável mencionada no documento.
  2. Realizar treinamentos para atingir o nível desejado de conhecimentos e habilidades – veja os métodos a seguir.
  3. Medir se cada indivíduo atingiu o nível desejado de conhecimento e habilidades – através de testes, entrevistas, etc. – uma vez que você saiba onde as lacunas estão, você pode reiniciar o processo a partir da etapa 1.

E isto é algo que precisa ser feito continuamente – seja pelo responsável pela segurança da informação (CISO) / coordenador de continuidade de negócio, ou pelo departamento de recursos humanos.

Métodos de treinamento

Frequentemente, os treinamentos são planejados através do plano de treinamento – por exemplo, você planejar para o seguinte:

Métodos de elevação da conscientização

Em oposição aos treinamentos, os quais dão uma resposta a questão “Como?”, a conscientização deve dar uma resposta a questão “Por que?” – isto é, explicar aos seus empregados porque eles deveriam aceitar a segurança da informação ou continuidade de negócio.

Existem muitos métodos que você pode usar, por exemplo:

  • Incluir os empregados no desenvolvimento da documentação – antes de publicar o documento, peça aos empregados suas opiniões (veja também: Sete passos para a implementação de políticas e procedimentos).
  • Apresentações – organize reuniões curtas onde você pode explicar o que são as novas políticas e procedimentos sendo publicados, pergunte aos seus empregados suas opiniões sobre estes documentos, esclareça quaisquer mau entendidos.
  • Artigos em sua intranet ou informativo – estórias simples (com tantos exemplos quanto possíveis) que podem ajudar os empregados a entender porque a segurança da informação / continuidade de negócio é importante.
  • Discussões em fóruns internos – você pode iniciar e participar em discussões sobre fatos concretos (ou mitos) sobre segurança da informação / continuidade de negócio.
  • E-learning – você pode criar treinamentos de curta duração online que explicam o significado destes tópicos, assim como para treinar seus empregados.
  • Vídeos – eles são um poderoso método de apresentação – você pode distribuí-los via e-mail, através da intranet, etc.
  • Mensagens ocasionais (via e-mail ou via sua intranet) – podem ser usadas não apenas para distribuir vídeos, mas também para enviar notícias relevantes e dicas para para continuidade de negócio.
  • Reuniões – use algumas das reuniões regulares que são realizadas em sua organização – e.g., festas, aniversários, etc. para apresentar de forma breve o que você está fazendo e como isto afeta seus colegas.
  • E, acima de tudo – comunicação em pessoa de forma diária – onde que que vá, com quem quer que fale – você tem que vender a ideia de segurança da informação / continuidade de negócio.

Não importa quais destes métodos você use, o ponto é que você os utilize sistematicamente – novamente, você deveria preparar algum tipo de plano onde você deveria definir quais destes métodos você irá realizar, e com que frequência.

O mito da implementação

Desta forma, como enfatizei neste artigo: The documentation myth – Why the templates are not enough?, simplesmente escrever as políticas e procedimentos não será o suficiente – você precisará utilizar conscientização e treinamento como uma ferramenta de auxílio para permitir que a documentação seja implementada.

Contudo, o timing aqui também é algo crucial: muitas organizações comentem o erro de publicar todos os seus documentos de uma vez. Por exemplo, se você publica 30 políticas e procedimentos ao mesmo tempo, estão infelizmente, nem mesmo os melhores programas de conscientização poderão ajudá-lo – seus empregados (com muita razão) começarão a pensar na segurança da informação / continuidade de negócio como uma sobrecarga.

Assim, você tem que publicar sua documentação gradualmente – a velocidade de publicação de seus novos documentos não deve ser na velocidade em que você os desenvolve, mas na velocidade na qual os seus empregados serão capazes de aceitá-los através dos seus programa de treinamento e conscientização.

Clique aqui para ver uma amostra gratuita do Plano de treinamento e conscientização.

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

14 respostas para “Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301”

  1. miko disse:

    Hi, Dejan, My i know how to select the case as a test plan ? find the most critical sinario and excutive the test ?

  2. miko disse:

    Dear Dejan,
    Thank for your respond. by the way
    How many scenario we need to select for exrcising and testing ? is there any specify requirement?

    • ISO 22301 does not specify the number of scenarios – normally, you will use only one scenario for exercising and testing, for example an earthquake that has destroyed the building on the primary location. The next year you can use some other scenario.

  3. miko disse:

    Hi, Dejan
    May i know what is the big changes between version 2005 and 2013 for information security continuity ? (Business Continuity). appreciate your input.

  4. jean-luc disse:

    Hi Dejan and Miko

    I’m amazd by the short, precise, complete and exact answers by Dejan – No joke and no flattery. I see I have to learn a lot.
    May I give some indication on the change of mind between 2005 and 2013 versions (27001 and 27002, which are closely linked through Annex A).
    In the ‘old’ version, one might have the impression that Information security was imposing a BCP and its management, and that it was ‘showing the way’ on how to do it.
    We corrected in in the new version as it is not an information security requirement and security isn’t driving the organisation. So we made sure that
    – the BCM material and discussions was covered by information security (as any other information, so no specific mention)

    – the (selected) main information/IT security controls and their management were included in the BCM. We thought that security has also to be active in crisis time. probably with more emphasis as a big part of the rest might have vanished. by this information security brings its part on the consolidation of what remains and the reconstruction of what’s the most important.
    Best Regards
    Jean-Luc

  5. Hi Dejan,
    You said RPO and RTO is not related and need not be equal. But for a disaster hit company if RPO is 1 hour and the RTO is 4 hour, then what’s the point in taking the backup every 1 hour for the business/datacenter which is non-functional/operational for 4 hours? Moreover, in the first place how can the backup be taken if your systems/business is nonfunctional for 4 hours?

    • Tushar, the point with the backup is not what happens after the disaster, but what happens before: while your business is operating normally, you have to perform the backup frequently enough so that you do not lose too much of your data once a disaster occurs – this way, once you start your recovery you will have enough of the data from backup.

      • In your post you had equated RPO to the backup frequency. Therefore in a case of disaster RPO of 1 hour doesn’t serve any purpose if RTO is going to be 4 or 8 hour long. Hence was the question on your statement that RTO & RPO needn’t be related. I believe RTO & RPO should be related in some way, RTO should be equal to or less than RPO for RPO to make sense.

  6. miko disse:

    Hi, Dejan,
    May i knoew what are the diffrent of Business continuity in version 2005 and 2013?
    appreciate your input

    • ISO 27001:2005 was requiring to implement business continuity in your whole company, while ISO 27001:2013 requires to implement business continuity only for information security operations.

      Although, in my opinion it is very difficult to implement the continuity of information security operations only, which in reality means that you have to implement business continuity for larger part of your company.

  7. miko disse:

    Dear Dejan,
    Thank you very much for your valuable advice.
    in the case, can i assume there is nothing change for version 2005 and 2013 for BC.
    If i maintain existing Business continuity mangement framework as well as Business continuity plan for the conversion, will it agaist any compliance of 2013

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.