Índice:
- Níveis adequados de conscientização, treinamento e educação necessários na organização
- Revisões periódicas para a relevância do conteúdo
Vídeo: Empresas certificadas em segurança da informação 2025
O candidato ao exame de credencial do Certified Information Systems Security Professional (CISSP) deve estar familiarizado com as ferramentas e objetivos dos programas de conscientização, treinamento e educação de segurança.
Níveis adequados de conscientização, treinamento e educação necessários na organização
A conscientização de segurança é um fator muitas vezes ignorado em um programa de segurança da informação. Embora a segurança seja o foco dos profissionais de segurança em suas funções do dia-a-dia, muitas vezes é dado como certo que os usuários comuns possuem esse mesmo nível de consciência de segurança. Como resultado, os usuários podem, inconscientemente, se tornar o link mais fraco em um programa de segurança da informação. Vários fatores-chave são fundamentais para o sucesso de um programa de conscientização de segurança:
- Suporte de gerenciamento de nível superior: Em circunstâncias ideais, a alta administração é vista atendendo e participando ativamente dos esforços de treinamento.
- Demonstração clara de como a segurança suporta os objetivos comerciais da organização: Os funcionários precisam entender por que a segurança é importante para a organização e como ela beneficia a organização como um todo.
- Demonstração clara de como a segurança afeta todos os indivíduos e suas funções de trabalho: O programa de conscientização precisa ser relevante para todos, para que todos entendam que "a segurança é responsabilidade de todos. "
- Levando em consideração o nível de treinamento e entendimento dos princípios de segurança c do público O treinamento muito básico será ignorado; O treinamento que é muito técnico não será entendido.
- Ação e acompanhamento: Uma apresentação brilhante que é esquecida assim que o público sai da sala é inútil. Encontre formas de incorporar as informações de segurança que você apresenta com atividades do dia-a-dia e planos de acompanhamento.
Os três principais componentes de um programa efetivo de conscientização de segurança são um programa geral de conscientização, treinamento formal e educação.
Consciência
A programa geral de conscientização de segurança fornece informações básicas de segurança e garante que todos entendam a importância da segurança. Os programas de conscientização podem incluir os seguintes elementos:
- Adoctrinação e orientação: Novos empregados e contratados devem receber doutrinação e orientação básicas. Durante o adoctrinamento, eles podem receber uma cópia da política de segurança da informação corporativa, ser obrigado a reconhecer e assinar declarações de uso aceitável e acordos de não divulgação e atender supervisores imediatos e membros pertinentes da equipe de segurança e TI.
- Apresentações: Palestras, apresentações de vídeo e treinamento interativo por computador (CBTs) são excelentes ferramentas para disseminar treinamento e informações de segurança. Os bônus dos empregados e as avaliações de desempenho às vezes são vinculados à participação nesses tipos de programas de conscientização de segurança.
- Materiais impressos: Os cartazes de segurança, os boletins informativos corporativos e os boletins periódicos são úteis para divulgar informações básicas, como dicas de segurança e conscientização sobre a segurança.
Treinamento
Programas de treinamento formal fornecem informações mais detalhadas do que um programa de conscientização e podem se concentrar em habilidades ou tarefas específicas relacionadas à segurança. Esses programas de treinamento podem incluir
- Treinamento em sala de aula: Treinamento dirigido por instrutor ou outro treinamento formalmente facilitado, possivelmente na sede corporativa ou em uma instalação de treinamento da empresa
- Treinamento auto-estimulado: Treinamento geralmente baseado na web, onde estudantes pode avançar no seu próprio ritmo
- Treinamento no local de trabalho: Pode incluir a orientação individual com um supervisor ou supervisor imediato
- Treinamento técnico ou fornecedor: Treinamento em um produto específico ou tecnologia fornecida por um terceiro
- Programas de aprendizagem ou de qualificação: Estatuto formal de estágio ou padrões de qualificação que devem ser completados satisfatoriamente dentro de um período de tempo especificado
Educação
Um programa de educação fornece o nível mais profundo de treinamento de segurança, com foco em princípios, metodologias e conceitos subjacentes.
Um programa de educação pode incluir
- Requisitos de educação contínua: Unidades de Educação Continuada (CEUs) estão se tornando populares para manter certificações técnicas ou profissionais de alto nível, como o CISSP ou Cisco Certified Internetworking Expert (CCIE).
- Programas de certificados: Muitas faculdades e universidades oferecem programas de educação de adultos que têm aulas sobre assuntos atuais e relevantes para profissionais em funcionamento.
- Educação formal ou requisitos de licenciamento: Muitas empresas oferecem assistência de matrícula ou bolsas de estudo para empregados matriculados em aulas que são relevantes para sua profissão.
Revisões periódicas para a relevância do conteúdo
Parabéns! Você escolheu uma profissão que está mudando constantemente e rapidamente! Como tal, os programas de educação, treinamento e conscientização de segurança devem ser constantemente revisados e atualizados para garantir que eles permaneçam relevantes e para garantir que seu próprio conhecimento sobre conceitos, tendências e tecnologias atuais de segurança permaneça atual. Sugerimos que o conteúdo dos programas de educação e treinamento de segurança seja examinado pelo menos uma vez por ano, para garantir que não haja menção de tecnologias ou sistemas obsoletos ou aposentados e que os tópicos atuais estejam incluídos.
