Temas a incluir numa acção de sensibilização em segurança...

... extraídos de um documento do National Institute of Standards and Technology norte-americano. Seguindo as recomendações propostas no draft do documento Information Security Training Requirements: A Role- and Performance-Based Model, as organizações que procurem desenvolver programas de sensibilização em segurança para os seus colaboradores devem incluir, no mínimo, os tópicos seguintes [filtrados e contextualizados para a nossa realidade]:

  • Os princípios da segurança da informação;
  • Os papeis e as responsabilidades individuais na segurança;
  • Exemplos de ameaças internas e externas (e.g. engenharia social, hackers);
  • Como reconhecer um incidente de segurança;
  • Resposta a incidentes;
  • Os controlos de segurança disponíveis;
  • Passwords;
  • Segurança física;
  • Métodos para proteger dados que são partilhados (e.g. criptografia);
  • Cópias de segurança e armazenamento de dados;
  • Código malicioso (e.g. vírus, worms);
  • Spyware;
  • Phishing;
  • Burlas e spam;
  • Engenharia social;
  • Privacidade;
  • Informação pessoal identificável;
  • Roubo de identidade;
  • Equipamentos móveis (e.g. portáteis e PDAs);
  • Dispositivos de armazenamento móveis (e.g. CDs, discos USB);
  • Acesso remoto;
  • Abuso de copyrights e pirataria de software;
  • Acções adequadas e inadequadas com correio electrónico;
  • Ameaças nas partilhas de ficheiros em redes peer-to-peer;
  • Informação e sistemas de segurança nacionais (onde for aplicável);

e ainda, se forem enquadráveis na organização,

  • Consequências das acções dos colaboradores;
  • Uso e abuso de todos/quaisquer sistemas e/ou aplicações;
  • Práticas proibidas (e.g. transferências de algumas classes de conteúdos); e
  • Referências para legislação / políticas nacionais e da própria organização.

Mas este gajo insiste nisto, porquê?... Porque continuo a ver, no dia a dia, o mesmo tipo de problemas &mdash que são transversais à pirâmide, e existem em todas as organizações &mdash e que, na minha opinião, têm que ser endereçados: desde a base até ao topo, passando pelos profissionais do IT, poucos são os que têm noção das ameaças, dos riscos, e dos controlos que podem &mdash e devem &mdash exercer para proteger os sistemas e a informação. A informação empresarial e a informação pessoal.

Ao insistir neste tema estou a vincar, uma vez mais, a necessidade de desenvolver programas que promovam a formação e sensibilização do elo que, sem sombra de dúvida, é o mais fraco, i.e. aquele sistema entre a cadeira e o teclado : )

E depois das contas (bem) feitas, qual será o melhor investimento: (a) mais um controlo xpto que (só?) vai acrescentar complexidade na infra-estrutura, ou (b) um plano de mindsetting que permita, no médio prazo, reduzir o número de incidentes por ignorância (ou negligência) humana?

Food for thought.