Sessão de formação e sensibilização para a segurança

Tivesse eu que definir e gerir um orçamento para segurança...

... em 2012, e escolheria atribuir uma fatia importante à formação e sensibilização dos gestores, dos técnicos e dos colaboradores. Em segurança da informação, bem entendido. Porquê? Por três razões:

  1. Uma parte significativa dos gestores desconhece as ameaças e o risco de uma falha grave de segurança para as suas organizações. Por consequência, desconhecendo as ameaças e a sua probabilidade de ocorrência, não conseguem (i) reconhecer o risco, (ii), compreender a necessidade dos controlos, nem (iii) atribuir verbas para a sua concretização;
  2. Os técnicos de TI, em quase todas as especialidades, têm uma orientação mental para a funcionalidade e o desempenho das suas soluções. E por razões que são válidas, muitas das vezes, quanto mais não seja porque são os factores que lhes são exigidos e pelos quais são avaliados. É importante reconhecer que esta orientação é válida e necessária! No entanto, não creio que seja suficiente: a segurança é um factor igualmente importante e o conhecimento é a chave para o seu desenvolvimento. E, finalmente,
  3. Os colaboradores não sabem quais são os riscos e desconhecem as suas responsabilidades no que concerne a segurança da informação. Este desconhecimento só pode ser mitigado pela formação específica em segurança, uma formação que lhes permita compreender quais são as ameaças e os riscos, e qual é o seu papel na protecção dos activos de informação das organizações – uma parte dos quais pode ser vital para as suas actividades, para a competitividade, e até, em alguns casos, para a sobrevivência do negócio.

São estas as razões que me levam a dizer, mais uma vez, que é importante investir – investir (!) – no enriquecimento da cultura de segurança corporativa, e que, mesmo no contexto em que vivemos actualmente, se algumas verbas estiverem disponíveis, uma parte relevante dessas verbas deveria ser aplicada no desenvolvimento destas acções de formação.

Food for thought.