Um doa maiores desafios ao se gerenciar a seguran\u00e7a da informa\u00e7\u00e3o \u00e9 assegurar que as pessoas possam lidar com informa\u00e7\u00f5es e as atividades de seguran\u00e7a de forma apropriada. Pessoas despreparadas ou n\u00e3o treinadas podem ser um risco a informa\u00e7\u00e3o, e para o neg\u00f3cio, sendo t\u00e3o perigosas quanto quaisquer outras amea\u00e7as conhecidas.<\/p>\n
A ISO 27001<\/a> lida com esta situa\u00e7\u00e3o atrav\u00e9s da sua cl\u00e1usula 7.2 de uma forma bem direta:<\/p>\n Adicionalmente, a ISO 27001 possui um item extra relacionado ao registro de evid\u00eancias sobre a execu\u00e7\u00e3o deste processo.<\/p>\n Pequenas organiza\u00e7\u00f5es, ou aquelas sem conhecimento especializado interno sobre TI \/ Seguran\u00e7a, podem se deparar com as seguintes quest\u00f5es:<\/p>\n Assim como muitas outras quest\u00f5es envolvendo sistemas de gest\u00e3o, existem muitos poss\u00edveis m\u00e9todos para lidar adequadamente com compet\u00eancias em seguran\u00e7a da informa\u00e7\u00e3o e recursos humanos, mas eu gostaria de apresentar a voc\u00ea o uso de certifica\u00e7\u00f5es pessoais.<\/p>\n Certifica\u00e7\u00f5es pessoais s\u00e3o designa\u00e7\u00f5es concedidas a uma pessoa para assegurar qualifica\u00e7\u00e3o na realiza\u00e7\u00e3o de um trabalho ou atividade. Geralmente concedidas por associa\u00e7\u00f5es de profissionais ou institutos educacionais, elas tamb\u00e9m podem ser concedidas por um certificador privado (e.g., um fabricante ou fornecedor).<\/p>\n Alguns programas de certifica\u00e7\u00e3o possuem padr\u00f5es rigorosos para acredita\u00e7\u00e3o, similares \u00e0queles para licenciaturas, e este \u00e9 o ponto chave para apoiar o uso de certifica\u00e7\u00f5es pessoais como forma de atender a cl\u00e1usula 7.2. O American National Standards Institute (ANSI), o Institute for Credentialing Excellence (ICE), e o International Register of Certificated Auditors (IRCA) s\u00e3o exemplos de organiza\u00e7\u00f5es que definem normas para acredita\u00e7\u00e3o de programas de certifica\u00e7\u00e3o.<\/p>\n Voltemos as quest\u00f5es feitas anteriormente para desenvolver esta resposta, mas lembre-se de que muitas das pr\u00f3ximas informa\u00e7\u00f5es se aplicam apenas a organiza\u00e7\u00f5es de certifica\u00e7\u00e3o acreditadas.<\/p>\n Quais compet\u00eancias minha organiza\u00e7\u00e3o precisa? <\/em><\/strong>Geralmente, organiza\u00e7\u00f5es sabem quais produtos \/ servi\u00e7os elas tem\/precisam, mas n\u00e3o sabem o que \u00e9 preciso para us\u00e1-los\/oper\u00e1-los. Nestes casos, certifica\u00e7\u00f5es orientadas a produto \/ tecnologia<\/strong> podem ajudar ao definir o conjunto de conhecimentos necess\u00e1rios para configurar \/ usar \/ operar estes produtos \/ servi\u00e7os adequadamente. Sistemas operacionais, bases de dados e servi\u00e7os de e-mail s\u00e3o exemplos de produtos \/ servi\u00e7os para os quais voc\u00ea pode encontrar certifica\u00e7\u00f5es adequadas que podem ajud\u00e1-lo a definir quais compet\u00eancias sua organiza\u00e7\u00e3o precisa.<\/p>\n Outros casos relevantes s\u00e3o sobre fun\u00e7\u00f5es \/ trabalhos que sua organiza\u00e7\u00e3o precisa realizar, tal como gest\u00e3o ou garantia. Para estas, voc\u00ea pode encontrar certifica\u00e7\u00f5es orientadas a profiss\u00e3o<\/strong>. Estas certifica\u00e7\u00f5es se focam em conhecimento n\u00e3o orientado a tecnologia ou produto, provendo ao profissional compet\u00eancias mais hol\u00edsticas sobre o uso de pr\u00e1ticas. Gerente de projeto, gestor de seguran\u00e7a e auditor l\u00edder s\u00e3o exemplos de fun\u00e7\u00f5es \/ trabalhos para os quais voc\u00ea pode encontrar certifica\u00e7\u00f5es adequadas que podem ajud\u00e1-lo a definir quais compet\u00eancias sua organiza\u00e7\u00e3o precisa. Veja estes artigos para mais informa\u00e7\u00f5es sobre treinamentos em ISO 27001 \/ BS 25999-2: Como aprender sobre a ISO 27001 e a BS 25999-2<\/a> e How to become ISO 27001 Lead Auditor<\/a>.<\/p>\n O que seriam educa\u00e7\u00e3o, treinamento ou experi\u00eancia adequadas? <\/em><\/strong>Para obter algumas destas certifica\u00e7\u00f5es, o profissional deve submeter a organiza\u00e7\u00e3o certificadora um conjunto de evid\u00eancias de educa\u00e7\u00e3o, treinamento e experi\u00eancia anteriores (que podem variar de certificador para certificador e entre tipos de certifica\u00e7\u00f5es), sob forma de diplomas escolares \/ universit\u00e1rios, certificados de treinamento e cartas de recomenda\u00e7\u00e3o de empregadores. A partir destes requisitos sua organiza\u00e7\u00e3o pode definir par\u00e2metros adequados para verificar o n\u00edvel de educa\u00e7\u00e3o, treinamento ou experi\u00eancia de seus empregados.<\/p>\n Como \/ Onde uma organiza\u00e7\u00e3o pode obter as compet\u00eancias necess\u00e1rias e avaliar as a\u00e7\u00f5es tomadas?<\/strong> <\/em>Ap\u00f3s obter as certifica\u00e7\u00f5es, algumas delas devem ser mantidas pelo profissional (uma nova vers\u00e3o do produto pode ser lan\u00e7ada ou novos conhecimentos publicados).<\/em> Para permanecerem atualizados, eles devem participar de programa de treinamento, ou outras atividades verific\u00e1veis que demonstrem que eles est\u00e3o constantemente atualizando seus conhecimentos.<\/p>\n Para apoiar os profissionais na manuten\u00e7\u00e3o de suas certifica\u00e7\u00f5es, muitos certificadores proveem refer\u00eancias para centros de treinamento, ou promovem eventos sobre novos produtos \/ tecnologias \/ pr\u00e1ticas, onde estes profissionais podem obter \/ compartilhar o conhecimento necess\u00e1rio para desenvolver suas carreiras. Informa\u00e7\u00f5es sobre estes cursos e eventos podem ser usadas pela sua organiza\u00e7\u00e3o para planejar e registrar atividades relacionadas a obten\u00e7\u00e3o das compet\u00eancias necess\u00e1rias.<\/p>\n Eu deveria adotar certifica\u00e7\u00f5es pessoais para minha equipe?\u00a0<\/strong>Como enfatizado anteriormente, tudo que voc\u00ea precisa ter para estar em conformidade com a cl\u00e1usula 7.2, incluindo as evid\u00eancias que voc\u00ea precisa, podem ser encontrado com a organiza\u00e7\u00e3o acreditada que emite os certificados. Assim, por que n\u00e3o usar certifica\u00e7\u00f5es pessoais como crit\u00e9rio de sele\u00e7\u00e3o para contrata\u00e7\u00e3o, uma vez que tudo que voc\u00ea precisa para estar em conformidade com a cl\u00e1usula 7.2 j\u00e1 est\u00e1 dispon\u00edvel l\u00e1 e pode ser apresentado pelo candidato? E por que n\u00e3o estabelecer certifica\u00e7\u00f5es pessoais como n\u00edvel m\u00ednimo para seus empregados, assegurando desta forma que eles estejam mais comprometidos comas pr\u00e1ticas de seguran\u00e7a e autodesenvolvimento?<\/p>\n As certifica\u00e7\u00f5es mais reconhecidas s\u00e3o caras e \u00e1rduas para se obter, e algumas delas tem poucos profissionais certificados; esta situa\u00e7\u00e3o se reflete na disponibilidade e na m\u00e9dia salarial destes profissionais. Por outro lado, pessoal mais competente se traduz em menor n\u00famero de incidentes e maior produtividade. Se sua organiza\u00e7\u00e3o conseguir equilibrar os custos dos sal\u00e1rios mais altos com a economia de custos, esta pode ser uma op\u00e7\u00e3o adequada; caso este n\u00e3o seja o seu caso, ainda assim voc\u00ea pode utilizar as informa\u00e7\u00f5es disponibilizadas pelas organiza\u00e7\u00f5es certificadoras para definir as compet\u00eancias que voc\u00ea precisa , como um benchmark.<\/p>\n Em qualquer caso, o fato permanece: certifica\u00e7\u00f5es pessoais podem ser ben\u00e9ficas tanto para a organiza\u00e7\u00e3o quanto para o indiv\u00edduo. \u00c9 uma proposta do tipo ganha ganha.<\/p>\n\n
\n
O que s\u00e3o certifica\u00e7\u00f5es pessoais?<\/h2>\n
Como certifica\u00e7\u00f5es pessoais podem ajudar minha organiza\u00e7\u00e3o a estar em conformidade com a cl\u00e1usula 7.2?<\/h2>\n
Todos podem se beneficiar<\/h2>\n