Mantendo uma consciêntização de segurança da informação

Um pré-requisito para o treinamento em segurança é a conscientização. O objetivo de criar consciência é trazer segurança para a frente das pessoas e torná-la uma entidade reconhecida pelos usuários. A conscientização estabelece uma linha de base comum ou uma base de entendimento de segurança em toda a organização e se concentra em tópicos ou questões-chave ou básicas relacionados à segurança que todos os funcionários devem compreender.

A conscientização não é criada exclusivamente através de um tipo de exercício em sala de aula, mas também através do ambiente de trabalho. Muitas ferramentas podem ser usadas para criar conscientização, como cartazes, avisos, artigos de boletins informativos, protetores de tela, camisetas, discursos de gerentes, anúncios, apresentações, mouse pads, suprimentos de escritório e memorandos, bem como o instrutor tradicional.

A conscientização estabelece um mínimo denominador comum padrão ou fundação minima de compreensão de segurança. Todo o pessoal deve estar plenamente ciente de suas responsabilidades e responsabilidades de segurança. Eles devem ser treinados para saber o que fazer e o que não fazer.

Os problemas que os usuários precisam conhecer incluem evitar desperdício, fraude e atividades não autorizadas. Todos os membros de uma organização, desde a alta gerência até os estagiários, precisam do mesmo nível de conscientização.

O programa de conscientização em uma organização deve estar ligado a sua política de segurança, plano de tratamento de incidentes e procedimentos de recuperação de desastres. Para que um programa de conscientização seja eficaz, ele deve ser atualizado, criativo e atualizado com frequência.

O programa de conscientização também deve estar ligado a uma compreensão de como a cultura corporativa afetará e impactará a segurança dos indivíduos, bem como da organização como um todo. Se os funcionários não veem a aplicação de políticas e padrões de segurança, especialmente no nível de conscientização, eles podem não se sentir obrigados a cumpri-los.

O treinamento está ensinando os funcionários a realizar suas tarefas de trabalho e a cumprir com os requisitos da política de segurança. O treinamento geralmente é hospedado por uma organização e é direcionado a grupos de funcionários com funções de trabalho semelhantes.

Todos os novos funcionários precisam de algum nível de treinamento para que possam cumprir todas as normas, diretrizes e procedimentos exigidos pela política de segurança. Os novos usuários precisam saber como usar a infraestrutura de TI, onde os dados são armazenados e como e por que os recursos são classificados. Muitas organizações optam por treinar novos funcionários antes de terem acesso à rede, enquanto outros concedem acesso limitado aos novos usuários até que o treinamento deles em sua posição específica seja concluído.

O treinamento é uma atividade contínua que deve ser mantida durante toda a vida da organização para todos os funcionários. É considerado um controle de segurança administrativa.

A conscientização e o treinamento são geralmente fornecidos internamente. Isso significa que essas ferramentas de ensino são criadas e implantadas por e dentro da própria organização. No entanto, o próximo nível de distribuição de conhecimento geralmente é obtido de uma fonte externa de terceiros.