O que é Ciclo Educativo e porque ele é importante na conscientização em Segurança da Informação

 

Nas últimas semanas publicamos uma série de artigos falando sobre a conscientização em segurança e seu papel no incentivo à participação dos colaboradores das empresas na segurança das organizações. Entendemos que, quanto mais conscientes de seu protagonismo na proteção das informações – suas e das empresas -, mais os funcionários estarão ativamente engajados nessa proteção.

 

Mas se é verdade que o despertar para a importância da segurança pode ser atingido em algumas horas de treinamento, com a exibição de filmes educativos ou a partir de campanhas, o verdadeiro engajamento depende de um aprendizado conínuo. Um Ciclo Educativo, dinâmico e renovável, que ao mesmo tempo forneça informação sobre boas práticas de segurança e eduque o colaborador, tornando-o capaz de aplicar seus conhecimentos ao se deparar com situações de ameaça.

 

Ciclo Educativo

 

Rescomenda-se que o Ciclo Educativo seja concebido em quatro etapas complementares:

  • Avaliar o conhecimento dos colaboradores
  • Educar através de treinamentos com base nos conhecimentos medidos no passo anterior
  • Reforçar constantemente o conteúdo adquirido através de campanhas, enfatizando boas práticas
  • Medir a eficácia dos treinamentos, ajustando-os às novas realidades encontradas e de acordo com as necessidades do momento

 

 

A seguir, vamos tratar de cada um deles.

 

Construindo um Ciclo Educativo:

 

>> Avaliar

Avaliar significa entender o quanto os colaboradores conhecem a segurança da informação, qual sua familiaridade com as ameaças a que ele pode ser exposto e como ele está apto a reagir a elas. Uma boa avaliação permite construir treinamentos que sejam condizentes com a realidade e com os conhecimentos dos participantes.

 

David Seltzer, do blog The State of Security, cita um exemplo ilustrativo da importância da avaliação na construção de treinamentos eficazes.

“Alguns anos atrás, minha equipe de pesquisadores em segurança foi convocada para participar de treinamentos de conscientização em segurança, o que não causou nenhum espanto, mas foi meio engraçado ver esse grupo – as pessoas mais conscientes no assunto que eu conheço – participando do mesmo treinamento que a equipe de Recursos Humanos”

 

Não é difícil entender que colaboradores do departamento de Recursos Humanos têm rotinas diferentes do que os que trabalham no departamento financeiro, por exemplo. As ferramentas e recursos usados são diferentes. E, claro, as vulnerabilidades a que os funcionários dos dois departamentos estão expostos são diferentes.

É verdade que existem conhecimentos comuns, dos quais todos na organização poderiam se beneficiar, mas não seria interessante que cada departamento recebesse algumas instruções diretamente ligadas com suas áreas e com o seu dia a dia? A avaliação permite mensurar os conhecimentos dos colaboradores, além de conhecer a fundo a realidade, as particularidades e as vulnerabilidades de seus departamentos.

El_Pescador_awareness4_blog 3

 

>> Educar

Este ponto trata do treinamento em si. Qual a melhor forma de treinar os funcionários com base na avaliação de seus conhecimentos? Como abordar os temas considerados mais importantes na fase de avaliação com maior profundidade?

 

Seltzer destaca um conjunto de regras para a implantação de treinamentos de conscientização propostas pelo respeitado Sans Institute. Para o Sans é necessário:

“Implementar programas de conscientização em segurança que (1) foquem apenas nos métodos de intrusão que podem ser bloqueados a partir da ação dos indivíduos, (2) sejam apresentados em pequenos módulos, convenientes para os funcionários (3) sejam atualizados constantemente – no mínimo anualmente – para apresentar as últimas técnicas de ataque, (4) sejam obrigatório para todos os funcionários (no mínimo anualmente), e (5) sejam monitorados de forma a garantir a sua realização de forma confiável”

 

 

>> Reforçar

Reforço é continuidade. É através do reforço que os conceitos e práticas apresentados nos treinamentos são fixados e atualizados conforme a necessidade (novas ameaças, novas práticas). Isso é possível através de campanhas curtas via e-mail, palestras e outros formatos criativos e atraentes.

El_Pescador_awareness4_blog 2

 

>> Medir

Por sua vez, as medições constantes permitem avaliar o quanto esses conteúdos foram fixados e fazem parte da rotina dos colaboradores. Essas avaliações são úteis para alimentar novas campanhas de reforço, além de fornecer insumos para treinamentos futuros que, além disso, serão ajustados de acordo com novas realidades encontradas.

Afinal, como afirma Seltzer, “não basta criar um treinamento único e repetí-lo ano após ano à exaustão”.

“O Sans sugere treinamentos recorrentes, atualizados anualmente, mas muitas organizações têm a tendência de repetir o mesmo conteúdo todos os anos. Que tal criar um programa  em sua organização que ofereça educação continuada em segurança ao invés de repetir as mesmas coisas?”

 

No El Pescador, aplicamos o conceito de Ciclo Educativo em todos os clientes.

Promovemos o conhecimento, mostrando às pessoas que existem ameaças reais no ambiente digital, visando educar os colaboradores sobre como se apresentam as ameaças de phishing e ensinando-os a reagir diante delas, com avaliações frequentes.

 

Além disso, trazemos os treinamentos para o cotidiano das empresas e de seus setores e colaboradores, usando situações reais que são constantemente atualizadas. Solicite agora uma campanha demonstrativa de El Pescador e veja como nosso Ciclo Educativo pode modificar o comportamento da sua equipe.


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*