Cada vez mais, ameaças e intrusos exploram usuários e suas vulnerabilidades na execução de seus ataques. Torna-se, portanto, uma estratégia interessante conscientizar e educar os funcionários para que eles sejam, sempre que possível, uma extensão dos mecanismos de detecção e resposta da plataforma de segurança da informação empresarial que se encontra em constante busca de um ambiente menos vulnerável e cada vez mais seguro.
O desenvolvimento e aprimoramento mental são realizados de forma contínua, buscando a solidificação e a maturidade de estruturas mentais saudáveis. Além de ser um processo de construção contínuo, deve ser pensando em etapas. Desta forma, para se obter uma maior eficiência, a metodologia de ensino/aprendizagem também deve ser vista como um processo contínuo envolvendo todos os tipos de usuários e que se inicia com a conscientização, passando pela obtenção de noções básicas, treinamento, formação e educação para a boa prática da segurança. De forma a sintetizar as etapas e tornar a aplicação do processo educacional mais viável, acredita-se que seja mais viável a estruturação do processo educacional em quatro etapas, sendo elas: conscientização, conhecimentos básicos, treinamento e educação.
A primeira etapa, conscientização, deve ser marcada pela ampla e fácil abordagem dos aspectos de segurança, tem como principal objetivo mostrar aos usuários a relevância do assunto tratado e a importância da colaboração e da ciência de cada pessoa. A segunda fase, conhecimentos básicos, deverá tratar, também de forma ampla, as principais características do conteúdo, no nosso caso, os principais conceitos relacionados a segurança da informação (um bom exemplo seria uma explanação sobre as vulnerabilidade e ameaças atuais). Posteriormente, no treinamento, deverá ser abordado um conceito mais técnico, além de alguns aspectos mais aprofundados sobre segurança da informação. Outro aspecto a ser tratado neste momento são procedimentos e metodologias (por exemplo, como utilizar o antivírus ou reportar alguma possível ameaça). Finalizando tem-se a etapa da educação, algo muito mais amplo no pensamento de ensino/aprendizagem. Educação neste contexto é visto como uma modificação da forma de pensar devido aos conceitos absorvidos onde as pessoas teriam condições de tomar decisões acertadas, na maioria das vezes, devido ao seu conhecimento e replicar aos demais. Também pode ser vista, no caso de segurança da informação, como uma mudança cultural (o que para muitos é uma utopia).
As etapas supracitadas poderão ter seu espaço aumentado ou diminuído dependo do nível de conhecimento dos alunos, expertise e eficiência do "professor", assim como do tamanho e complexidade do conteúdo. Porém, é importante que nenhuma etapa seja esquecida ou desconsiderada.
Porém, para se iniciar a campanha educacional de usuários é necessário estudar e formular alguns aspectos preliminares, como, por exemplo, o desenvolvimento de uma política de segurança da informação que contemple claramente os pontos a serem abordados, quais os mais importantes, os mais urgentes, os que trazem maiores prejuízos, etc, assim como avaliar se os profissionais da empresa terão capacidade para ministrar esses treinamentos ou se é melhor contratar empresas especializadas. Outro fator importante é o equilíbrio que esta política deverá promover entre os aspectos humanos e técnicos analisando os indivíduos e suas interações. Com esses aspectos definidos, pode-se passar para a primeira etapa do processo educacional, a conscientização humana.
Nenhum comentário:
Postar um comentário
A importância da Web vem das colaborações, inclusive da sua. Comente, crie, critique, colabore; sua contribuição é muito importante.
Para sua segurança e um melhor aproveitamento do blog, seu comentário poderá ser retirado, sem aviso prévio, caso não esteja de acordo com o espírito do site. Volte sempre, confira as novidades e o seu depoimento!