30 de março de 2026 • ISO 27001
A certificação ISO 27001 é um símbolo de prestígio que demonstra o quanto sua organização se preocupa com a gestão e a proteção de informações confidenciais.
O padrão descreve uma estrutura para o gerenciamento da segurança, incluindo um compromisso com a conscientização e o treinamento dos funcionários.
Mas compreender totalmente o que exatamente se espera da sua organização pode ser complicado. A norma ISO 27001 contém uma grande quantidade de texto. E mesmo depois de lê-la algumas vezes, você ainda pode ficar com dúvidas.
Neste artigo, explicaremos o que a norma ISO 27001 estabelece sobre conscientização em segurança, quais foram as mudanças na última revisão de 2022 (que entrará em vigor em 2026) e como você pode implementar o treinamento de conscientização em segurança da ISO 27001 na sua organização. Também incluímos uma lista de verificação abrangente para ajudá-lo a se preparar para sua próxima auditoria.
Em poucas palavras: o que é a ISO 27001?
A ISO 27001 é uma norma para sistemas de gestão da segurança da informação (frequentemente designados por SGSI). O objetivo desta norma é fornecer uma abordagem para gerenciar e proteger informações confidenciais.
Os principais componentes da ISO 27001 são:
- Avaliação de riscos
- Desenvolvimento de políticas
- Funções e responsabilidades claras
- Treinamento de conscientização
As organizações que optam por aderir a esse padrão geralmente são órgãos governamentais, organizações de saúde, instituições financeiras e qualquer outra organização que lide com informações confidenciais.
Obter a certificação não é moleza. Isso envolve um rigoroso processo de auditoria para verificar se sua organização está em conformidade com o padrão.
O que mudou na ISO 27001 para 2026?
A revisão da norma ISO 27001:2022 trouxe mudanças significativas à norma. O prazo para a transição era 31 de outubro de 2025, o que significa que , a partir de 2026, todas as organizações certificadas deverão estar em conformidade com a versão atualizada. Veja a seguir o que mudou e como isso afeta o seu programa de conscientização sobre segurança.
Controles reestruturados do Anexo A
A versão anterior (ISO 27001:2013) contava com 114 controles distribuídos por 14 categorias. A revisão de 2022 consolidou esses controles em 93, distribuídos por 4 temas:
- Controles organizacionais (37 controles)
- Controles de pessoas (8 controles)
- Controles físicos (14 controles)
- Controles tecnológicos (34 controles)
Novos controles relacionados à formação em conscientização
A revisão de 2022 introduziu 11 novos controles. Vários deles afetam diretamente os programas de treinamento em conscientização sobre segurança:
- A.5.7 – Inteligência sobre ameaças: As organizações devem agora coletar e analisar informações sobre ameaças. Seu treinamento de conscientização deve refletir ameaças reais e atuais, em vez de cenários genéricos.
- A.6.3 – Conscientização, educação e treinamento em segurança da informação: este é agora um controle independente (anteriormente incluído no A.7.2.2). Ele exige explicitamente um programa formal de conscientização com evidências documentadas de sua eficácia.
- A.8.12 – Prevenção de vazamento de dados: Os funcionários devem compreender como ocorre o vazamento de dados e como evitá-lo. Isso deve fazer parte do conteúdo do seu treinamento.
- A.8.23 – Filtragem da Web: Os funcionários devem compreender por que determinados conteúdos da Web são restritos e como denunciar sites suspeitos.
- A.5.23 – Segurança da informação para o uso de serviços em nuvem: Com o aumento da adoção da nuvem, os funcionários precisam de treinamento sobre o uso seguro da nuvem, o compartilhamento de dados e o gerenciamento de acesso.
O que isso significa para o seu programa de treinamento
Se o seu programa de treinamento foi elaborado com base na versão de 2013, é necessário atualizá-lo. As principais medidas a serem tomadas incluem:
- Revisar e atualizar o conteúdo do treinamento para incluir os novos controles
- Adicione módulos sobre inteligência contra ameaças, segurança na nuvem e prevenção de vazamento de dados
- Certifique-se de que sua formação reflita a nova estrutura de quatro temas
- Atualizar as referências da documentação, substituindo os números de controle antigos pelos novos
O que a norma ISO 27001 estabelece sobre a conscientização em segurança?
A norma ISO 27001 menciona a importância da conscientização sobre segurança em várias cláusulas.
- Cláusula 7.2 - Competência: A norma exige que as organizações determinem a competência necessária dos funcionários envolvidos na segurança das informações.
- Cláusula 7.3 - Conscientização: As organizações precisam garantir que os funcionários estejam cientes da política de segurança da informação, dos objetivos relevantes e de suas funções e responsabilidades para atingir esses objetivos.
- Cláusula 8.2 - Comunicação: A ISO 27001 enfatiza a importância da comunicação interna com relação ao sistema de gestão da segurança da informação, incluindo a promoção da conscientização sobre a segurança da informação.
- Cláusula 8.2.2 - Security Awareness, educação e treinamento em Security Awareness da informação: As organizações precisam garantir que os funcionários estejam cientes da política de segurança da informação e sejam competentes nas áreas de seu trabalho relacionadas à segurança da informação.
Controles do Anexo A da ISO 27001 relacionados à conscientização sobre segurança
Além das cláusulas mencionadas acima, vários controles do Anexo A exigem diretamente ou se beneficiam da capacitação em conscientização sobre segurança. Compreender esses controles ajuda a elaborar um programa de capacitação que abranja todas as áreas passíveis de auditoria.
A.5.1 – Políticas de segurança da informação
Sua política de segurança da informação deve ser comunicada a todos os funcionários. A capacitação deve garantir que todos os membros da equipe compreendam a política, o que ela significa para o seu trabalho diário e as consequências do não cumprimento.
A.6.3 – Conscientização, educação e treinamento em segurança da informação
Este é o principal controle de conscientização da revisão de 2022. Ele exige:
- Um programa formal de conscientização que abrange todos os funcionários
- Treinamento específico para cada função destinado a funcionários com responsabilidades elevadas em matéria de segurança
- Atualizações regulares do conteúdo de treinamento para refletir novas ameaças e mudanças nas políticas
- Comprovação documentada da conclusão e da eficácia do treinamento
A.6.8 – Notificação de incidentes de segurança da informação
Os funcionários devem saber como reconhecer e comunicar incidentes de segurança. O treinamento deve abranger:
- O que constitui um evento de segurança em comparação com um incidente de segurança
- Como comunicar incidentes pelos canais adequados
- A importância de notificar prontamente (mesmo os falsos positivos)
- O que acontece depois que uma denúncia é apresentada
A.8.7 – Proteção contra malware
Os funcionários precisam entender como o malware se propaga e como prevenir infecções. Os temas do treinamento devem incluir o reconhecimento de anexos suspeitos, hábitos de navegação seguros e a importância de manter o software atualizado.
A.5.10 – Uso aceitável de informações e ativos
Os funcionários devem receber treinamento sobre a política de uso aceitável: o que podem e o que não podem fazer com os dispositivos, dados e sistemas da empresa. Isso inclui políticas de uso pessoal, diretrizes de BYOD e procedimentos de tratamento de dados.
A.8.9 – Gerenciamento de configuração
Embora se trate principalmente de um controle técnico, os funcionários (especialmente a equipe de TI) precisam de treinamento para manter configurações seguras e compreender por que as alterações não autorizadas são proibidas.
Como implementar o treinamento de conscientização sobre segurança da ISO 27001
A norma ISO 27001 oferece uma estrutura clara para ajudar as organizações a gerenciar a segurança da informação. No entanto, ela não especifica explicitamente como implementar esses programas de conscientização sobre segurança dentro da sua organização.
Então, como saber se o seu programa de treinamento em conscientização sobre segurança ISO 27001 está à altura?
Podemos começar analisando o que os auditores da ISO 27001 avaliam. Durante as auditorias, é avaliada a conformidade da organização com os requisitos da ISO 27001, incluindo aqueles relacionados à conscientização sobre segurança.
Os auditores geralmente procuram o seguinte:
- Documentação: Você documentou sua política de segurança, objetivos, funções e requisitos específicos relacionados à conscientização e ao treinamento?
- Comunicação: Você pode comprovar que seus funcionários estão cientes da política de segurança, dos objetivos e de suas funções específicas para alcançá-los?
- Programas de treinamento: Você pode provar que sua organização implementou programas de treinamento?
- Monitoramento e medição: Você pode demonstrar que está monitorando e medindo a eficácia dos seus programas security awareness ?
Você pode decidir criar seu próprio programa de treinamento ou usar uma plataforma de treinamento de security awareness , como o Guardey.
Com o Guardey, seus funcionários enfrentam cyber security semanais cyber security que levam até três minutos para serem concluídos. Os desafios abrangem todos os tópicos relevantes, como spear phishing, fraude do CEO, segurança de senhas e muito mais. Ao aprender pequenas informações todas as semanas, os funcionários acumulam gradualmente conhecimento e security awareness .

Na seção de relatórios, é possível acompanhar o desempenho dos funcionários e identificar quais temas de segurança podem exigir maior atenção. Isso torna o Guardey a solução ideal para treinamentos de conscientização sobre segurança em conformidade com a norma ISO 27001.
→ Planeje uma demonstração com um dos especialistas em cyber security da Guardey.
Lista de verificação da ISO 27001 (2026)
Utilize esta lista de verificação abrangente para verificar se a sua organização cumpre todos os requisitos da ISO 27001. Esta lista de verificação está alinhada com a revisão da ISO 27001:2022 e abrange tudo o que os auditores irão verificar – desde políticas e documentação até treinamento, monitoramento e preparação para a auditoria.
1. Política e documentação
- A política de segurança da informação está documentada e foi aprovada pela direção
- Os objetivos do treinamento de conscientização sobre segurança estão claramente definidos e alinhados com as metas da empresa
- As funções e responsabilidades relacionadas à gestão do programa de conscientização são atribuídas
- Existe um plano/calendário formal de treinamento para o ano em curso
- A política de uso aceitável está documentada e disponível para todos os funcionários
- Os procedimentos de notificação de incidentes estão documentados e são comunicados
- A política de classificação de dados está em vigor e os funcionários compreendem os níveis de classificação
- O programa de conscientização é revisto e atualizado pelo menos uma vez por ano
2. Conteúdo e temas da formação
Seu programa de treinamento deve abranger todos os tópicos a seguir para atender aos requisitos da ISO 27001:
- Phishing e engenharia social – Como reconhecer e denunciar e-mails de phishing, ataques de vishing, smishing e pretexting
- Segurança de senhas – Como criar senhas fortes, usar gerenciadores de senhas e entender a autenticação multifatorial
- Tratamento e classificação de dados – Como lidar com dados confidenciais, níveis de classificação de dados e procedimentos adequados de armazenamento e descarte
- Notificação de incidentes – Como identificar eventos de segurança e notificá-los pelos canais adequados
- Segurança física – Política de mesa organizada, gestão de visitantes, impressão segura e prevenção de entrada não autorizada
- Segurança no trabalho remoto – Práticas seguras para o escritório em casa, uso de VPN e riscos do Wi-Fi público
- Prevenção contra malware – Identificação de anexos suspeitos, navegação segura e boas práticas de atualização de software
- Segurança na nuvem – Uso seguro de serviços em nuvem, melhores práticas de compartilhamento de dados e gerenciamento de acesso (novidade na revisão de 2022)
- BYOD e segurança de dispositivos móveis – Proteção de dispositivos pessoais utilizados para fins profissionais
- Prevenção de vazamento de dados – Compreender como ocorrem os vazamentos de dados e as medidas preventivas (novidade na revisão de 2022)
- Fraudes envolvendo o CEO e comprometimento de e-mails corporativos – Como identificar ataques de suplantação de identidade e verificar solicitações incomuns
- Noções básicas sobre privacidade e o RGPD – Compreendendo as obrigações relativas ao tratamento de dados pessoais
- IA e ameaças emergentes – Riscos de phishing gerado por IA, deepfakes e novos vetores de ataque
3. Formação ministrada e frequência
- Os novos funcionários recebem treinamento de conscientização sobre segurança durante a integração (na primeira semana)
- Todos os funcionários recebem treinamento contínuo e regular (no mínimo mensalmente; recomenda-se a realização de microaprendizagens semanais)
- A formação está disponível nos idiomas falados pela sua equipe
- O treinamento está disponível em vários dispositivos (computador, tablet, celular)
- É oferecida formação específica para funções de alto risco (equipe de TI, gestão, finanças, RH)
- A gerência e a liderança participam do programa de treinamento
- O conteúdo do treinamento é atualizado sempre que surgem novas ameaças ou ocorrem mudanças nas políticas
- Os prestadores de serviços e o pessoal de terceiros com acesso ao sistema recebem treinamento adequado
4. Simulações de phishing
- São realizadas simulações regulares de phishing (no mínimo trimestralmente)
- As simulações abrangem diferentes tipos de ataque (phishing por e-mail, spear phishing, phishing por SMS)
- Os funcionários que clicam em e-mails simulados de phishing recebem feedback imediato e treinamento adicional
- Os resultados da simulação são monitorados e comunicados à gerência
- As taxas de cliques apresentam uma tendência de queda ao longo do tempo
- As taxas de denúncia (funcionários que sinalizam o e-mail de phishing) são monitoradas e estão melhorando
5. Engajamento e participação dos funcionários
- As taxas de conclusão dos treinamentos são monitoradas e estão acima de 90%
- São utilizados elementos de gamificação para aumentar o envolvimento (questionários, tabelas de classificação, recompensas)
- Existe um plano de comunicação para promover a conscientização sobre segurança além da formação formal
- A direção apoia abertamente e participa do programa de conscientização
- Os funcionários podem fazer perguntas ou comunicar suas preocupações por meio de um canal acessível
- Os comportamentos positivos em matéria de segurança são reconhecidos e recompensados
6. Monitoramento, medição e relatórios
- As taxas de conclusão dos treinamentos são monitoradas por funcionário e por departamento
- As notas dos questionários e das avaliações são monitoradas para medir a retenção de conhecimento
- As taxas de cliques e de denúncias nas simulações de phishing são medidas ao longo do tempo
- As tendências em incidentes de segurança estão relacionadas aos esforços de treinamento em conscientização
- São apresentados relatórios regulares à administração sobre a eficácia do programa
- KPIs are defined for the awareness program (e.g., <90% click rate, >95% completion)
- As ações de melhoria são documentadas com base nos resultados do monitoramento
7. Preparação para a auditoria e documentação
- Os registros de treinamento são armazenados e ficam disponíveis pelo menos durante o último ciclo de certificação (3 anos)
- Estão disponíveis certificados de conclusão para cada funcionário
- Os relatórios de simulação de phishing são arquivados com datas e resultados
- Os formulários de aceitação da política são assinados e arquivados
- As atas das reuniões de revisão da conscientização sobre segurança são documentadas
- As ações corretivas decorrentes de auditorias anteriores relacionadas à conscientização são acompanhadas e encerradas
- Estão disponíveis evidências da revisão da gestão do programa de conscientização
8. Melhoria contínua
- As lições aprendidas com incidentes de segurança são incorporadas ao conteúdo dos treinamentos
- O conteúdo do treinamento é atualizado com base em novas ameaças e em informações sobre ameaças (A.5.7)
- São coletados comentários dos funcionários sobre a qualidade e a relevância da formação
- É realizada uma análise anual de lacunas comparando o programa com os requisitos da norma ISO 27001
- Considera-se a comparação com os padrões do setor ou com organizações semelhantes
- O roteiro do programa de treinamento para os próximos 12 meses está documentado
Erros comuns durante as auditorias de conscientização da ISO 27001
Muitas organizações são reprovadas na auditoria da ISO 27001 devido a falhas nos controles relacionados à conscientização. Aqui estão os erros mais comuns – e como evitá-los.
1. Treinar apenas uma vez por ano
As sessões de treinamento anuais são um dos principais sinais de alerta para os auditores. Uma única sessão por ano não demonstra uma cultura de conscientização contínua. A ISO 27001 exige um programa contínuo que mantenha a segurança em primeiro plano ao longo do ano. Microaprendizagens semanais ou mensais são muito mais eficazes e fáceis de comprovar.
2. Não há evidências de eficácia
Ter um programa de treinamento não é suficiente. É preciso comprovar que ele funciona. Os auditores solicitarão métricas que demonstrem que os funcionários melhoraram seu comportamento em relação à segurança ao longo do tempo. Se você não puder comprovar uma redução nas taxas de cliques em links de phishing, uma melhora nas notas dos questionários ou uma diminuição no número de incidentes, seu programa poderá ser considerado insuficiente.
3. Treinamento padronizado
Nem todos os funcionários enfrentam os mesmos riscos. Um membro da equipe financeira que processa pagamentos precisa de um treinamento diferente do que um desenvolvedor ou uma recepcionista. A norma ISO 27001 exige um treinamento específico para cada função, que aborde os riscos específicos que cada uma delas enfrenta. Um treinamento genérico para todos não é suficiente.
4. Sem participação da administração
Se a liderança não participar do programa de conscientização, os auditores perceberão. A gerência não deve apenas patrocinar o programa, mas também participar ativamente dele. Isso demonstra o “tom dado pela alta administração” exigido pela ISO 27001.
5. Conteúdo desatualizado
Se o seu material de treinamento ainda fizer referência a ameaças de 2020, mas ignorar o phishing gerado por IA, os ataques por código QR ou os riscos à segurança na nuvem, os auditores irão apontar isso. O conteúdo do treinamento deve refletir as ameaças atuais e ser atualizado regularmente.
6. Falta de treinamento de integração
Os novos funcionários costumam ter um período de carência antes de começarem o treinamento. Isso representa um risco e é uma constatação de auditoria. O treinamento de conscientização sobre segurança deve fazer parte do processo de integração da primeira semana, e não algo que comece meses depois.
7. Ignorar prestadores de serviços e terceiros
Se houver pessoal externo com acesso aos seus sistemas, eles também precisam receber treinamento de conscientização. Os auditores verificarão se o seu programa abrange todo o pessoal com acesso, e não apenas os funcionários em tempo integral.
Como avaliar a eficácia do seu programa de conscientização sobre segurança
A cláusula 9.1 da ISO 27001 exige que as organizações monitorem, meçam, analisem e avaliem o desempenho do SGSI, incluindo o seu programa de conscientização. Aqui estão as principais métricas a serem acompanhadas.
Resultados da simulação de phishing
Realize simulações regulares de phishing e acompanhe duas métricas essenciais:
- Taxa de cliques: a porcentagem de funcionários que clicam no link simulado de phishing. Uma boa meta é inferior a 5%. Acima de 15% indica uma lacuna significativa no treinamento.
- Taxa de denúncia: a porcentagem de funcionários que denunciam corretamente o e-mail de phishing. Pode-se argumentar que isso é mais importante do que a taxa de cliques. Uma alta taxa de denúncia indica que os funcionários estão ativamente envolvidos.
Conclusão do treinamento e pontuações
- Taxa de conclusão: meta de 95% ou mais em todos os departamentos. Identificar quais departamentos estão ficando para trás e acompanhar a situação.
- Pontuação das avaliações: acompanhe a média das notas dos questionários por tópico. Pontuações baixas em tópicos específicos indicam onde é necessário oferecer treinamento adicional.
- Tempo de conclusão: acompanhe a rapidez com que os novos funcionários concluem o treinamento de integração.
Métricas de incidentes de segurança
- Número de incidentes relatados: Um aumento no número de incidentes relatados (especialmente quase acidentes) costuma indicar uma maior conscientização, e não uma pioria na segurança.
- Tempo médio de notificação: com que rapidez os funcionários comunicam incidentes de segurança? Uma notificação mais rápida indica que a equipe está melhor treinada.
- Incidentes causados por erro humano: Acompanhe se os incidentes relacionados a erros humanos diminuem com o tempo, à medida que o treinamento se aperfeiçoa.
Métricas de engajamento
- Participação voluntária: Os funcionários se envolvem além da formação obrigatória (por exemplo, lendo boletins informativos sobre segurança, participando de sessões opcionais)?
- Pontuação de feedback: Colete feedback sobre a relevância e a qualidade do treinamento. Um baixo nível de engajamento geralmente indica que o conteúdo não está a ter o impacto esperado.
Como implementar um treinamento de conscientização sobre segurança ISO 27001 para seus funcionários
Depois de escolher uma solução de treinamento em conscientização sobre segurança em conformidade com a ISO 27001, é hora de apresentá-la aos seus funcionários. Isso nem sempre é uma tarefa fácil. Nem todos compreendem imediatamente a importância do treinamento em conscientização sobre segurança, e é por isso que simplesmente enviar os dados de acesso pode não ser suficiente.
É por isso que você precisa de uma introdução forte. Abaixo, adicionamos dois exemplos.
A EyeOn organizou uma semana de segurança cibernética para dar início ao seu processo de certificação ISO 27001. Durante essa semana, os dias começavam com uma entrevista de 15 minutos, que eles chamaram de “atualização de segurança”. Cada dia tinha um tema específico de segurança cibernética e, durante os desafios (tanto no Guardey quanto na vida real), os funcionários podiam acumular pontos. No final da semana, os funcionários com melhor desempenho foram premiados com um troféu e um pequeno presente.

Primeiro, a Delta Wines organizou uma simulação de spear phishing . Durante essa simulação, os funcionários receberam um e-mail phishing para testar se eles clicariam no link e deixariam informações pessoais. E acontece que muitos dos funcionários fizeram exatamente isso. O gerente de TI compartilhou os resultados finais do teste phishing durante uma reunião trimestral, o que chocou muitos de seus colegas. Isso facilitou muito a apresentação do Guardey como solução de treinamento de security awareness .
Como a Fendix obtém a certificação ISO 27001 para organizações com a ajuda do Guardey
A Fendix ajuda as empresas a obter a certificação ISO 27001. Killian Houthuijzen, consultor de segurança da informação da Fendix, explica qual o papel que a solução de conscientização em segurança da Guardey desempenha nesse processo: “Uma parte importante da obtenção da certificação ISO 27001 é investir na conscientização em segurança dos seus funcionários. Há algum tempo, estávamos tentando criar nossa própria versão de um treinamento de conscientização de segurança como preparação para isso. Mas criar todo esse conteúdo novo nos levaria pelo menos 8 horas por mês. Isso simplesmente não é eficiente.”
![]()
Ele continua: "Com o Guardey, o treinamento security awareness se torna acessível e você não precisa investir tempo para configurá-lo. Tudo o que você precisa fazer é monitorar o desempenho da sua equipe, o que é fácil no sistema de gerenciamento de aprendizagem do Guardey. Tudo o que você precisa fazer é monitorar o desempenho da sua equipe, o que é fácil no sistema de gerenciamento de aprendizagem do Guardey. É por isso que costumamos aconselhar nossos clientes a simplesmente usar o Guardey em vez de fazer todo o trabalho pesado de configurar seu próprio treinamento."
ISO 27001 vs NIS2 vs SOC 2: comparação dos requisitos de treinamento de conscientização
Muitas organizações precisam cumprir várias estruturas de segurança. Veja a seguir uma comparação dos requisitos de treinamento de conscientização nas três normas mais comuns.
| Requisito | ISO 27001 | NIS2 | SOC 2 |
|---|---|---|---|
| A formação em sensibilização é obrigatória? | Sim (Cláusula 7.3, A.6.3) | Sim (Artigo 20) | Sim (CC1.4, CC2.2) |
| Frequência mínima | Em andamento / regular | Normal (sem especificação) | Mínimo anual |
| Participação da administração | Obrigatório | Obrigatório (nível de diretoria) | Recomendado |
| Simulações Phishing | Recomendado | Não especificado | Prática comum |
| Avaliação da eficácia | Obrigatório (Cláusula 9.1) | Obrigatório | Obrigatório |
| Formação específica para cada função | Obrigatório | Recomendado | Obrigatório |
| Cobertura de terceiros | Obrigatório | Foco na cadeia de suprimentos | Obrigatório para a organização de serviços |
| Sanções por incumprimento | Perda da certificação | Até €10 milhões ou 2% do faturamento | Perda do relatório SOC 2 |
A boa notícia: um programa sólido de conscientização sobre a ISO 27001 abrange a maioria dos requisitos da NIS2 e do SOC 2. Ao utilizar uma plataforma de treinamento abrangente como a Guardey, você pode atender aos requisitos das três estruturas com uma única solução.
Perguntas frequentes sobre o treinamento de conscientização sobre segurança ISO 27001
A formação em conscientização sobre segurança é obrigatória para a ISO 27001?
Sim. A norma ISO 27001 exige que as organizações garantam que os funcionários estejam cientes da política de segurança da informação e sejam competentes nas áreas de seu trabalho relacionadas à segurança da informação. A cláusula 7.3 (Conscientização) e o controle 6.3 do Anexo A exigem explicitamente um programa formal de conscientização.
Com que frequência os funcionários devem receber treinamento em conscientização sobre segurança?
A ISO 27001 exige uma conscientização contínua, e não uma ação pontual. Embora a norma não especifique uma frequência exata, a melhor prática é oferecer treinamento pelo menos uma vez por mês. Microaprendizados semanais (como os desafios de 3 minutos da Guardey) são considerados ideais, pois mantêm a segurança em destaque sem sobrecarregar os funcionários.
Que temas devem ser abordados na formação de sensibilização sobre a ISO 27001?
No mínimo, seu treinamento deve abranger: phishing e engenharia social, segurança de senhas, tratamento e classificação de dados, notificação de incidentes, segurança física, segurança no trabalho remoto, prevenção de malware, segurança na nuvem e políticas de uso aceitável. A revisão de 2022 também enfatiza a inteligência contra ameaças, a prevenção de vazamento de dados e a conscientização sobre filtragem da web.
A formação online pode substituir as sessões presenciais de conscientização sobre segurança?
Sim. A norma ISO 27001 não determina um método específico para a realização de treinamentos. Plataformas de treinamento online, como a Guardey, são amplamente aceitas pelos auditores, especialmente quando fornecem comprovantes documentados de conclusão, notas de avaliação e envolvimento contínuo. Muitas organizações consideram que os microcursos online são mais eficazes do que as sessões presenciais tradicionais, pois alcançam todos os funcionários de maneira consistente.
Como comprovar a realização do treinamento de conscientização sobre segurança durante uma auditoria da ISO 27001?
Os auditores buscarão evidências documentadas, incluindo: registros de conclusão de treinamento por funcionário, notas de avaliações/questionários, resultados de simulações de phishing, formulários de reconhecimento das políticas, atas de reuniões de revisão dos programas de conscientização e evidências da participação da gerência. Uma plataforma de treinamento com recursos de geração de relatórios integrados facilita significativamente esse processo.
Os prestadores de serviços e os funcionários temporários precisam de treinamento de conscientização sobre a ISO 27001?
Sim, caso tenham acesso aos seus sistemas de informação ou lidem com dados confidenciais. A norma ISO 27001 exige que todo o pessoal que possa afetar a segurança da informação receba treinamento adequado de conscientização. Isso inclui prestadores de serviços, trabalhadores temporários e prestadores de serviços terceirizados.
O que acontece se você for reprovado na parte de conscientização de uma auditoria da ISO 27001?
Se os auditores identificarem uma não conformidade relacionada à conscientização sobre segurança, você receberá uma notificação de não conformidade de grau leve ou grave. Uma não conformidade grave significa que sua certificação poderá ser suspensa até que você resolva o problema. Uma não conformidade de grau leve concede a você um prazo definido (normalmente 90 dias) para implementar ações corretivas antes da próxima auditoria de acompanhamento.
Experimente a solução de treinamento em conscientização sobre segurança ISO 27001 da Guardey
A conscientização sobre segurança desempenha um papel significativo na proteção da sua organização contra ataques cibernéticos e no cumprimento da norma ISO 27001. Se você está procurando uma solução de treinamento que possa ser implementada em poucas horas, considere utilizar o Guardey.
Com o processo de aprendizado gamificado do Guardey, seus funcionários receberão microaprendizados de 3 minutos toda semana. Com o tempo, eles aprenderão a reconhecer ameaças cibernéticas e a agir de acordo.