Olá pessoal, meu nome é Alexander Dvoryansky, trabalho como diretor comercial há mais de cinco anos na Infosecurity e hoje quero falar com você sobre os princípios básicos do trabalho com informações confidenciais.
Ao mesmo tempo, o psicólogo canadense Elliot Jacks introduziu o conceito de "cultura corporativa". Permito-me usar o termo higiene digital. Essa é a parte da cultura corporativa que determina quais ações os funcionários executam e como influenciam a segurança das informações de uma empresa.
Vou me concentrar um pouco em nossa indústria para que você entenda por que estou interessado neste tópico. A Infosecurity fornece serviços no campo da segurança da informação, integração de sistemas e consultoria. É importante mostrar que podemos proteger não apenas os dados em que os clientes confiam em nós, mas também nossos próprios ativos de informação. Mesmo um pequeno incidente de SI em uma empresa de segurança cibernética pode atingir sua reputação. E levantar-se após um golpe desse tipo não é fácil.
Portanto, a formação da higiene digital em uma empresa é afetada por:
- Conscientização da segurança da informação
- Diferenciação do acesso à informação
- O uso de meios técnicos de controle e monitoramento de informações
Hoje vou abordar mais detalhadamente a primeira dessas três baleias - conscientizando ou, como está na moda dizer, Avarnes.
Por que isso é necessário?
Em qualquer empresa que se preze, existem regulamentos, políticas e metodologias internas dedicadas às regras para o processamento de informações de acesso limitado. Infelizmente, a mera presença desses documentos não dá absolutamente nada. A proteção real é fornecida por funcionários que seguem rigorosamente os requisitos especificados nos documentos. Mas onde encontrar funcionários ideais?
O truque é que você não precisa procurá-los, mas, digamos, cultivá-los. Um conjunto de eventos e materiais de treinamento permite criar uma cultura de trabalho com informações na empresa. Se tudo for selecionado corretamente, os funcionários começarão a obedecer às regras de IS em um nível reflexo - e você não precisará mais cuidar para que um deles não bloqueie a tela do computador, perca o token ou esqueça o relatório trimestral na bandeja da impressora.
Bem, como escolher tudo?
Primeiro, divida seus funcionários em grupos e identifique tópicos relevantes para cada grupo. É improvável que os gerentes de topo estejam interessados em estudar as vulnerabilidades atuais de software, mas para os desenvolvedores - muito.
Quando os tópicos forem definidos, pense nos formatos dos materiais de treinamento: eles também precisam ser personalizados. Por exemplo, os funcionários da recepção não têm muito tempo livre e, às vezes, não têm um computador pessoal de trabalho. Cartazes brilhantes e vídeos curtos que podem ser colocados e demonstrados em pregões serão adequados. E os funcionários administrativos podem prestar mais atenção ao treinamento, portanto, é melhor abordá-los com cursos on-line e correspondências de treinamento.
Outra boa prática é verificar se seus funcionários já sabem antes de realizar o treinamento em SI. A maneira mais fácil de fazer isso é testar e enviar e-mails de phishing de treinamento. Isso ajudará você a entender quais tópicos precisam de mais atenção. Bem, é claro, não se esqueça de monitorar a eficácia no processo de aprendizado e depois dele.
Posso dar uma olhada mais de perto nos formatos?
Vamos começar com o bom e velho estudo em tempo integral. De certa forma, é insubstituível: todo mundo sabe que a informação é percebida muito melhor quando acompanhada de comunicação ao vivo. O treinamento pode ser realizado de forma clássica ou de acordo com um método de caso. No segundo caso, o instrutor divide os alunos em grupos, descreve o problema relevante para a empresa e convida cada grupo a apresentar e justificar sua própria versão de sua solução. Dois tipos de treinamentos podem ser combinados: realização de uma sessão introdutória para os funcionários no primeiro dia útil e treinamento de caso - mensalmente ou uma vez por trimestre.
O ensino a distância é uma competição digna de tempo integral e, no futuro, muito provavelmente, puxará completamente o cobertor sobre si mesmo. Cursos eletrônicos, vídeos, listas de discussão e jogos on-line são bons porque os funcionários podem visualizá-los em diferentes tipos de dispositivos em um momento conveniente. E eles também oferecem a oportunidade de exibir aos concorrentes as palavras "gamification" e "micro-learning".
A figura mostra os slides dos cursos eletrônicos da nossa empresaA gamificação é especialmente usada ativamente em cursos eletrônicos. Envolve a adição de elementos do jogo: prêmios e conquistas, a complicação gradual de tarefas, uma história fascinante, personagens. A gamificação é geralmente uma história interessante, porque pode ser completamente eletrônica ou pode "fluir" para a vida real. Por exemplo, para a conclusão bem-sucedida dos cursos de segurança da informação, um funcionário pode receber um dia adicional de férias. Essas coisas, é claro, são consistentes com o RH. Qual de nós não sonhava em trabalhar com jogos de computador?
A microeducação envolve o fluxo de material em pequenos blocos e a fixação de cada bloco com tarefas práticas. Por exemplo, observei 5 slides de um curso - responda a uma pergunta de teste ou realize um pequeno exercício. Se estamos falando de vídeos, eles não devem demorar mais de um minuto e meio. É melhor fazer uma série de vídeos curtos (a propósito, eles podem ser combinados com uma história engraçada) do que forçar um funcionário a assistir a um sermão pesado de sete minutos. Mas não vale a pena dividir o aprendizado indefinidamente: dessa forma, você pode perder a lógica da narrativa.
Na foto - capturas de tela de nossos vídeosAlém do ensino a tempo inteiro e à distância, materiais de treinamento adicionais são muito úteis. Memorandos, pôsteres, adesivos e protetores de tela fazem um excelente trabalho para tornar o aprendizado diversificado e memorável. Não tenha medo de envolver designers e ilustradores profissionais em seu design: os materiais só serão beneficiados com isso.
Na foto - capturas de tela do jogo flash Phishing BattleEntão, é tudo uma questão de diversidade?
Forçar uma pessoa a aprender aquilo que não é interessante para ela e observar o que é incompreensível para ela é impossível. Ao criar programas abrangentes de treinamento para funcionários, definir o material em um idioma simples e acessível e envolvê-lo em uma forma de jogo, você, de fato, contribui com a segurança de sua empresa, sua empresa e seus clientes. E se tudo for feito "de acordo com a ciência", seus investimentos certamente serão recompensados.
Alexander Dvoryansky, Diretor Comercial, Infosecurity, uma empresa da Softline