18 de janeiro de 2024 - Geral
Uma certificação ISO27001 é um distintivo de honra que mostra o quanto a tua organização se preocupa com a gestão e a proteção de informações sensíveis.
A norma define um quadro para a gestão da segurança, incluindo um compromisso de sensibilização e formação dos trabalhadores.
Mas obter uma compreensão completa do que se espera exatamente da tua organização pode ser complicado. A diretiva ISO27001 é constituída por muito texto. E mesmo depois de a leres algumas vezes, podes ainda ficar com dúvidas.
Neste artigo, explicaremos o que a ISO27001 afirma sobre security awareness e como podes implementar a formação ISO27001 security awareness na tua organização.
Em poucas palavras: o que é a ISO27001?
A ISO27001 é uma norma para sistemas de gestão da segurança da informação (frequentemente designada por ISMS). O objetivo desta norma é fornecer uma abordagem para gerir e proteger informações sensíveis.
Os principais componentes da ISO27001 são:
- Avaliação dos riscos
- Desenvolvimento de políticas
- Funções e responsabilidades claras
- Formação de sensibilização
As organizações que optam por aderir a esta norma são frequentemente agências governamentais, organizações de cuidados de saúde, instituições financeiras e qualquer outra organização que lide com informações sensíveis.
Obter a certificação não é uma tarefa fácil. Envolve um rigoroso processo de auditoria para verificar se a sua organização cumpre a norma.
O que diz a norma ISO27001 sobre security awareness?
A norma ISO27001 menciona a importância de security awareness em várias cláusulas.
- Cláusula 7.2 - Competência: A norma exige que as organizações determinem a competência necessária dos empregados envolvidos na segurança da informação.
- Cláusula 7.3 - Sensibilização: As organizações precisam de assegurar que os empregados estão conscientes da política de segurança da informação, dos objectivos relevantes e das suas funções e responsabilidades na consecução desses objectivos.
- Cláusula 8.2 - Comunicação: A ISO 27001 enfatiza a importância da comunicação interna em relação ao sistema de gestão da segurança da informação, incluindo a promoção da conscientização sobre a segurança da informação.
- Cláusula 8.2.2 - Informação Security Awareness, Educação e Formação: As organizações precisam de assegurar que o pessoal tem conhecimento da política de segurança da informação e é competente nas áreas do seu trabalho que se relacionam com a segurança da informação.
Como implementar a formação ISO27001 security awareness
A ISO27001 fornece uma estrutura clara para ajudar as organizações a gerir a segurança da informação. No entanto, não indica explicitamente como implementar esses programas security awareness na sua organização.
Então, como é que sabes se o teu programa de formação ISO27001 security awareness está à altura?
Podemos primeiro dar uma olhada no que os auditores da ISO27001 observam. Durante as auditorias, é avaliada a conformidade da organização com os requisitos da ISO27001, incluindo os relacionados com security awareness.
Os auditores procuram frequentemente os seguintes aspectos:
- Documentação: Documentaste a tua política de segurança, objectivos, funções e requisitos específicos relacionados com a sensibilização e a formação?
- Comunicação: Podes fornecer provas de que os teus empregados estão cientes da tua política de segurança, dos teus objectivos e das suas funções específicas para os alcançar?
- Programas de formação: Podes provar que a tua organização implementou programas de formação?
- Monitorização e medição: Consegues demonstrar que estás a monitorizar e a medir a eficácia dos teus programas de security awareness ?
Podes optar por criar o teu próprio programa de formação ou utilizar uma plataforma de formação security awareness como Guardey.
Com o Guardey, os teus empregados enfrentam desafios semanais em cyber security que demoram até três minutos a concluir. Os desafios abrangem todos os tópicos relevantes, como spear phishing, fraude de CEO, segurança de palavras-passe e muito mais. Ao aprenderem pequenas porções de informação todas as semanas, os empregados acumulam lentamente conhecimentos e security awareness picos.
Na secção de relatórios, podes monitorizar o desempenho dos funcionários e os tópicos de segurança que podem necessitar de mais atenção. Isto faz do Guardey a solução perfeita para a formação security awareness em conformidade com a norma ISO27001.
→ Planeia uma demonstração com um dos especialistas da Guardey cyber security .
Como introduzir a formação ISO27001 security awareness aos teus funcionários
Depois de escolheres uma solução de formação ISO27001 security awareness , está na altura de a apresentares aos teus colaboradores. Esta nem sempre é uma tarefa fácil. Nem todos podem compreender imediatamente a importância da formação security awareness , razão pela qual enviar-lhes simplesmente os seus logins pode não ser suficiente.
É por isso que precisas de uma introdução forte. Abaixo, juntámos dois exemplos.
A EyeOn organizou uma semana cyber security para dar início ao seu processo de certificação ISO27001. Durante essa semana, começaram todos os dias com uma entrevista de 15 minutos, a que chamaram "catch-up" de segurança. Cada dia tinha um tema específico cyber security e, durante os desafios (tanto no Guardey como na vida real), os funcionários podiam marcar pontos. No final da semana, os empregados com melhor desempenho foram recompensados com um troféu e um pequeno presente.
A Delta Wines começou por organizar uma simulação de phishing . Durante esta simulação, os funcionários receberam um e-mail phishing para testar se clicariam no link e deixariam informações pessoais. E acontece que muitos dos funcionários fizeram exatamente isso. O diretor de TI partilhou os resultados finais do teste phishing durante uma reunião trimestral, o que chocou alguns dos seus colegas. Isto tornou muito mais fácil a apresentação do Guardey como a sua solução de formação security awareness .
Como a Fendix obtém a certificação ISO27001 das organizações com a ajuda do Guardey
A Fendix ajuda as empresas a obterem a certificação ISO27001. Killian Houthuijzen, consultor de segurança da informação na Fendix, explica o papel que a solução security awareness da Guardey desempenha neste processo: "Uma parte importante da obtenção de uma certificação ISO27001 é investir no security awareness dos teus funcionários. Há algum tempo atrás, estávamos a tentar criar a nossa própria versão de uma formação security awareness como preparação para esse efeito. Mas criar todos esses novos conteúdos ter-nos-ia levado pelo menos 8 horas por mês. Isso não é eficiente".
Continua: "Com o Guardey, a formação security awareness torna-se acessível e não precisas de investir tempo na sua criação. Tudo o que precisas de fazer é monitorizar o desempenho da tua equipa, o que é fácil no sistema de gestão da aprendizagem do Guardey. É por isso que aconselhamos muitas vezes os nossos clientes a utilizarem simplesmente o Guardey em vez de fazerem todo o trabalho pesado de criar a sua própria formação."
Experimenta a solução de formação ISO27001 security awareness da Guardey
Security awareness desempenha um papel importante na proteção da tua organização contra ataques informáticos e no cumprimento da norma ISO27001. Se estás à procura de uma solução de formação que seja implementada em poucas horas, considera a utilização do Guardey.
Com o processo de aprendizagem gamificado do Guardey, os teus funcionários receberão microaprendizagens de 3 minutos todas as semanas. Com o tempo, eles aprendem a reconhecer ameaças cibernéticas e a agir em conformidade.
