SlideShare ist ein Scribd-Unternehmen logo

Oferta de sensibilização à segurança da informação sys value - v2013.2

Filipe Rolo
Filipe Rolo

O documento propõe a implementação de um Programa de Sensibilização à Segurança da Informação para capacitar os funcionários da instituição sobre os riscos de segurança e melhores práticas. O programa incluiria workshops presenciais e módulos de e-learning para atingir todos os funcionários. O objetivo é aumentar a conscientização sobre a importância da segurança da informação e o papel de cada funcionário na proteção dos dados e sistemas da organização.

TechnologieBildung
1 von 35
Downloaden Sie, um offline zu lesen
Sensibilização à Segurança da Informação Proposta de valor e aproximação metodológica Apresentação de serviços Abril de 2013 1
Porquê Sensibilização à Segurança da Informação O “factor humano” ser o elo mais fraco da postura de segurança da informação de qualquer instituição não é um mito mas, pelo contrário, uma verdade incontornável. 48% das “brechas” de segurança são devidas a “mau uso” de sistemas e tecnologia e 28% estão já relacionadas com redes sociais e interação entre indivíduos! © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 2
Porquê Sensibilização à Segurança da Informação O “factor humano” ser o elo mais fraco da postura de segurança da informação de qualquer instituição não é um mito mas, pelo contrário, uma verdade incontornável. Em todo o mundo, cerca de 38% dos problemas de segurança têm como causa-raiz a negligência, principalmente devido a falta de informação/capacitação © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 3
Porquê Sensibilização à Segurança da Informação Os impactos financeiros e legais de falhas de segurança são distintos conforme as geografias e enquadramentos político-legais. Porém, o impacto reputacional é transversal A perda de clientes (churn) devido a incidentes graves de segurança é de praticamente 4%, média calculada considerando países em 3 continentes © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 4
Sensibilização à Segurança – Workshops vs Programas de Sensibilização à Segurança da Informação Considerando tal, a SysValue apoia as instituições na capacitação do seu staff para esta problemática, tornando-os parte ativa de uma postura global de Segurança da Informação Workshops de Sensibilização Programas de Sensibilização Os “Workshops de Sensibilização à Os “Programas de Sensibilização à Segurança da Informação” são acções Segurança da Informação” são iniciativas presenciais, em auditório ou sala, cujo de maior escala cujo objetivo é, de objetivo principal é, por via do exemplo e forma sistemática e continuada, expôr o da discussão de casos, demonstrar como maior número possível de colaboradores da a falta de adesão a melhores práticas instituição a fundamentos de segurança da pode comprometer a confidencialidade, informação, melhores práticas, normas integridade ou disponibilidade de internas e comportamentos aceitáveis informação e serviços, de natureza através de uma miríade de veículos de profissional e também pessoal. comunicação (intranet, e-learning, flyers, posters, etc.) © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 5
Sensibilização à Segurança – Workshops vs Programas de Sensibilização à Segurança da Informação As diferenças principais, em termos de âmbito, alcance, duração e custo, entre Workshops e Programas de Sensibilização à Segurança encontram-se espelhadas na seguinte tabela. Workshops de Sensibilização Programas de Sensibilização Âmbito Sessões de esclarecimento sobre problemas comuns e melhores-práticas Transferência de conhecimento com diversos graus de profundidade sobre um conjunto alargado de tópicos de Seg. Informação Duração: 2 horas cada sessão, idealmente Durante todo o ano Universo: Grupos até 25 pessoas (idealmente) Todo o staff da instituição Custo: Indexado ao número de sessões Indexado à profundidade e abrangência desejada dos tópicos Totalmente SysValue Dependente dos canais internos desejados (intranet, posters, flyers, etc.), outros recursos do staff da instituição serão envolvidos Avaliação: Pouco provável Tipicamente sim, principalmente se plataforma de “e-learning” está disponível ou é aprovisionada para o projecto Repetição: Implica sessões e custo adicional ao inicialmente previsto Apenas repetição das componentes presenciais implica custos adicionais Esforço: © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 6
Competências do formador © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 7
Sensibilização à Segurança – Competências do formador Tanto a totalidade dos Workshops de Sensibilização como a gestão de projeto, preparação de conteúdos, quizzes de avaliação e sessões presenciais dos Programas de Sensibilização são totalmente garantidos por João Barreto, cujo CV apresenta-se abaixo de forma sucinta. •  Experiência: •  40 anos de idade, 18 de experiência profissional; •  100% dedicado à Segurança da Informação em 16 dos anos mencionados; •  Sócio-fundador da SysValue S.A., empresa com 12 anos dedicada à Segurança da Informação e Infra-estruturas Críticas; •  Professor Convidado da Universidade Católica Portuguesa desde 2006 para leccionação de disciplinas e módulos no Mestrado em Engenharia Informática e Pós-Graduações (Segurança em Sistemas de Informação, Business Intelligence e Sistemas de Informação para a Saúde); •  Formação e certificações: •  Licenciado e Mestrando em Informática pela Faculdade de Ciências (UL); •  Certificado CISSP™, pelo ISC2 (www.isc2.org); •  Certificado CISM™, pelo ISACA (www.isaca.org); •  Certificado CISA™, pelo ISACA (www.isaca.org); •  Certificado ISO 27001 Lead Auditor™, pelo British Standards Institute (www.bsigroup.com). © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 8
Workshops de Sensibilização à Segurança da Informação © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 9
Sensibilização à Segurança – Workshops de Sensibilização à Segurança Os Workshops são suportados por um suporte multimédia com bastante dinamismo (tecnologia Prezi), promovendo-se uma interação e um nível de atenção da audiência superior ao existente aquando da utilização de meios mais convencionais. Exemplo - discussão de casos, com apresentação de incidentes, impactos e razões © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 10
Sensibilização à Segurança – Workshops de Sensibilização à Segurança Os Workshops são suportados por um suporte multimédia com bastante dinamismo (tecnologia Prezi), promovendo-se uma interação e um nível de atenção da audiência superior ao existente aquando da utilização de meios mais convencionais. Exemplo - apresentação de ameaças, meio como opera, objectivos e como são as vítimas atacadas © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 11
Sensibilização à Segurança – Workshops de Sensibilização à Segurança Os Workshops são suportados por um suporte multimédia com bastante dinamismo (tecnologia Prezi), promovendo-se uma interação e um nível de atenção da audiência superior ao existente aquando da utilização de meios mais convencionais. Exemplo - apresentação de recomendações e melhores-práticas, que deverão ser executadas pelos utilizadores para melhor protecção © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 12
Sensibilização à Segurança – Workshops de Sensibilização à Segurança Os Workshops são suportados por um suporte multimédia com bastante dinamismo (tecnologia Prezi), promovendo-se uma interação e um nível de atenção da audiência superior ao existente aquando da utilização de meios mais convencionais. A título ilustrativo e para apreciação por potenciais clientes, a SysValue colocou online uma versão com a estrutura-tipo dos workshops de sensibilização onde foi removido o conteúdo principal. Esta pode ser visualizada no link abaixo: http://tinyurl.com/c2bahz9 © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 13
Programas de Sensibilização à Segurança da Informação © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 14
Programa de Sensibilização à Segurança - Objectivos do Programa Um Programa de Sensibilização à Segurança da Informação pretende, num contexto de crescentes ameaças às instituições - internas e externas - relacionadas com a informação e os sistemas que a suportam, promover a segurança da informação pela via da sensibilização dos colaboradores. Especificamente, pretende-se que os colaboradores ganhem maior visibilidade e sensibilidade para os seguintes items: • Importância da informação – a importância, para a instituição, da informação no que respeita à sua confidencialidade, integridade e disponibilidade e, complementarmente, à privacidade exigida legalmente; • Ameaças e riscos – as ameaças, internas e externas, voluntárias ou acidentais, a que poderão ver-se sujeitos e quais os riscos que a concretização das primeiras acarrateria para a instituição diretamente e para eles próprios indirectamente; • Formas de proteção – identificação dos meios técnicos e administrativos que estão disponíveis na instituição para protecção da informação e dos próprios colaboradores contra abusos por terceiros e quais os racionais por detrás da existências destes e, principalmente, os cuidados que eles próprios deverão ter na utilização dos sistemas e tecnologias da informação e no manusio da própria informação; • Linhas de defesa – finalmente, pretende-se que os colaboradores da instituição conheçam com maior profundidade as linhas de defesa da segurança da informação em vigor e que passem a sentir-se eles próprios como a 1ª linha e percebam a importância da mesma. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 15
Programa de Sensibilização à Segurança – Natureza do Programa Qualquer Programa de Sensibilização deve ser encarado como uma actividade contínua, próactiva e gerida. Tal deve-se, principalmente, ao facto de que as ameaças e riscos que o Programa pretede minimizar surgem, elas próprias, de forma igualmente continuada e evolutiva. Consequentemente, o Programa de Sensibilização deverá ser encarado como um Processo do tipo PDCA (Plan-Do-Check-Act) devidamente vertido num conjunto de actividades integradas que promovam precisamente a permanente revisão e re-adequação ao contexto envolvente: Plan Do Act Check Nota: na sua publicação “Information Security Awareness in Finantial Organizations”, a ENISA (European Network and Information Security Agency) recomenda precisamente esta aproximação para a implementação de Programas de Sensibilização à Segurança. • Planificação – actividades preparatórios do Programa onde se identificarão alvos dos esforços de sensibilização, meios adequados e disponíveis, calendarização das acções, métricas de avaliação do Programa, etc.; • Execução – desenvolvimento dos conteúdos a serem comunicados e realização das acções de sensibilização junto dos alvos através dos meios identificados e aprovisionados; • Check – revisão frequente das métricas de avaliação do Programa, apreciação de alterações de contexto externo ou interno e identificação de como deve o Programa ser alterado; • Act – revisão das componentes do Programa necessárias para alinhamento deste com as alterações identificadas. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 16
Programa de Sensibilização à Segurança – Características do Programa O Programa de Sensibilização à Segurança da Informação deverá tentar permanentemente garantir que um conjunto de características mantém-se verdadeiras. Características Suporte Universalidade – todos os colaboradores deverão ser abrangidos pelo mesmo Para o efeito, todos os colaboradores terão acesso a uma plataforma de eLearning onde poderão aceder aos vários conteúdos, de forma paralela com a possibilidade de presença em sessões de sensibilização presenciais. Complementarmente, muitos conteúdos serão veiculados por meios gerais internos como a Intranet, posters públicos, fliers, etc. Unidade – todos os colaboradores são indivíduos diferentes, com necessidades igualmente diferentes Para o efeito, os colaboradores serão perfilados funcionalmente para que seja possível um mapeamento fino entre os vários módulos que constituem o acervo de informação a ser veiculada e os colaboradores. O apoio do Dep. Recursos Humanos garantirá que este agrupamento é correcto, espelhando a realidade. Multi-canalidade – divulgação da sua mensagem por vários canais de modo a maximizar a exposição da primeira junto dos colaboradores Para o efeito, e num espírito de facilidade de acesso, recorrer-se-á a um conjunto integrado de meios para a divulgação da informação de sensibilização: sessões presenciais, plataforma de eLearning, newsletters, Intranet, posters, flyers, mailings, etc. Gestão de esforço – capacidade de não impactar negativamente a operação da instituição. Para o efeito, validar-se-á junto da Direcção dos Recursos Humanos e das demais estruturas dentro da instituição que a carga prevista para as váras acções do Programa de Sensibilização, no que respeita ao impacto nos colaboradores, não compromete para além do aceitável as suas responsabilidades. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 17
Programa de Sensibilização à Segurança – Stakeholders O Programa de Sensibilização à Segurança da Informação deverá depender do contributo e envolvimento, com diferentes graus, de vários interlocutores: Stakeholder (exemplos) Envolvimento Management Ao Management é apenas pedido que patrocine o Programa de Sensibilização, validando e aprovando este documento e autorizando a sua divulgação formal aos demais stakeholders. Complementarmente, deverá ser sua responsabilidade participar na revisão da Avaliação do Programa enquanto prática de melhoria contínua do mesmo. Dep. RH O Departamento de Recursos Humanos será instrumental na validação da perfilagem dos utilizadores e na aprovação da calendarização das actividades de sensibilização Dep. Jurídico O Departamento Jurídico será instrumental na validação de alguns conteúdos de sensibilização (aspectos legais e normativos da protecção da informação) Dep. Relações Institucionais e Internas O Departamento de Relações Institucionais e Internas será instrumental no aprovisionamento e preparação de meios de divulgação interna (posters, flyers, Intranet, etc.). Dep. Marketing O Departamento de Marketing será instrumental na preparação de maquetes gráficas e aportação de branding da instituição a alguns dos entregáveis do Programa Dep. IT O Departamento de IT será instrumental no setup, operacionalização e manutenção continuada da plataforma de eLearning que foi adquirida para suporte ao Programa © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 18
Programa de Sensibilização à Segurança – Agentes instrumentais O Programa de Sensibilização à Segurança da Informação deverá depender particularmente da actividade dos seguintes agentes instrumentais: Agente Tarefas Compromisso Gestor de Projecto Monitorização do progresso do Programa relativamente a plano de actividades. Coordenação de recursos internos. Gestão da relação com fornecedores. Envolvimento durante a totalidade do projecto com participação em todas as reuniões relevantes. Peritos em Security Awareness Aprovação do conteúdo do Programa de Sensibilização. Aprovação da estratégia de sensibilização vertida no Programa. Envolvimento nas fases iniciais do projecto - definição de requisitos, revisão de conteúdos. Complementarmente, contacto regular com instrutores e para efeitos de validação de conteúdos desenvolvidos em fases de on-going do Programa. Administrador do LMS Manutenção do Learning Management System (LMS). Produção de relatórios de gestão e controlo. Esforço linear com necessidades de re-configuração do LMS e requisitos de produção de informação de gestão e reporting. IT HelpDesk Suporte a utilizadores finais relativamente às ferramentas utilizadas para acesso a conteúdos. Suporte continuado aos utilizadores nesta dimensão complementar às demais anteriormente prestadas, eventualmente num regime 24x7 Comunicação interna Suporte e aconselhamento relativamente a marketing e comunicação interna, branding, templatização de materiais, etc. Envolvimento precoce aquando da preparação de entregáveis (ou, pelo menos, dos primeiros entregáveis de cada tipo) para definição de estilos, identidade corporativa, etc. Envolvimento sempre que necessário o desenvolvimento de campanhas de marketing interno, afixação de posters, distribuição de flyers, etc. Directores de Serviço Ligação entre Programa e linhas de negócio. Envolvimento na promoção e suporte do Plano de Sensibilização junto de todos os elementos das linhas de negócio respectivas. Responsáveis IT/RH Coordenação de esforços para população do LMS com dados dos utilizadores da Instituição. Envolvimento na identificação de todos os utilizadores que serão alvo do Plano e consequente setup e inicialização do LMS. Posteriormente, responsabilidades na manutenção do estado correcto do LMS em relação aos utilizadores da Instituição. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 19
Programa de Sensibilização à Segurança Plano de Trabalhos Esta secção do documento apresenta de forma sucinta, reduzida ao máximo, o plano de trabalhos típico para a concretização do Programa de Sensibilização à Segurança. O objectivo principal desta visão macroscópica é dotar o leitor de uma percepção da natureza dos trabalhos envolvidos e comprovar o mapeamento para o ciclo de Denning patente nos projectos do tipo PDCA, garante dos esforços. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 20
Programa de Sensibilização à Segurança – Plano de trabalhos (master plan) O Programa de Sensibilização à Segurança da Informação seria implementado através da execução de um Processo afim do apresentado (vista geral). Nota: as cores espelham a fase PDCA de cada sub-processo © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 21
Programa de Sensibilização à Segurança Elementos estruturantes Esta secção do documento apresenta os elementos estruturantes que suportariam o Programa de Sensibilização à Segurança, notavelmente entregáveis resultantes de subprocessos intermédios. Nas páginas seguintes, sempre que aplicável, indica-se os entregáveis documentais que seriam produzidos ao longo da execução do projecto. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 22
Programa de Sensibilização à Segurança – Elementos estruturantes Perfis de utilizadores – um dos elementos estruturantes do Programa é a definição de um conjunto limitado de perfis de utilizadores que permitam caracterizar a instituição. A título ilustrativo apresenta-se abaixo uma lista que poderia ser o resultado do sub-processo “1. Perfilagem de Alvos” Perfil Racional da perfilagem Senior Executives Executivos Séniores (Administração e Alta-Direção) necessitam de conhecer aspectos relacionados com a governação da informação bem como as frameworks legais aplicáveis, riscos e responsabilidades (inclusivamente as pessoais). Dado serem indivíduos com pouca disponibilidade de tempo e, consequentemente, indisponibilidade para serem enquadrados em iniciativas transversais, é preferível que sejam preparadas acções de sensibilização especificamente preparadas para esta audiência, muito focadas e de pequena dimensão. Staff administrativo em funções de back-office e suporte Estes colaboradores tipicamente operam em regimes de horários bem definidos e estritos e orientados a resultados. Consequentemente, um cuidado particular deve ser tido em conta no agendamento das sessões de sensibilização dado poderem ter um impacto relevante na operação. Adicionalmente, dado que estes colaboradores tipicamente não trabalham fora dos seus locais de trabalho normais e não fazem uso extensido de dispositivos móveis, os tópicos a serem-lhes transmitidos poderão ser reduzidos relativamente a outros colaboradores. ... ... Entregável 2.1 – Alvos para Sensibilização A lista de alvos para sensibilização seria o resultado do sub-processo “1. Perfilagem de Alvos”. Esta lista seria produzida num momento precoce da execução do Programa e seria alvo de revisão sempre que alterações na estrutura da instituição o motivem e, também, no arranque de cada ano em jeito de revisão. Nota: os perfis seriam revistos pelo Dep. RH e servirão principalmente para mapear conteúdos e orquestar calendários de actividades © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 23
Programa de Sensibilização à Segurança – Elementos estruturantes Estratégia de sensibilização – um elemento fundamental do Programa, dado o impacto na produção de conteúdos, é a identificação do conjunto de regras e recomendações sobre como deve ser a informação preparada e comunicada. A título ilustrativo apresenta-se abaixo uma lista de regras/recomendações que resultariam do sub-processo “2. Estratégia de Sensibilização e Tópicos” Regra ou Recomendação Descrição da regra/recomendação Justificação 10 slides Qualquer tópico de sensibilização não deve, nas suas versões presenciais e eLearning, ser comunicado num máximo de 10 slides. Acções de sensibilização são mais bem sucedidas quando o número de dados principais ministrados são em número reduzido. Conceitos a mais tendem a confundir os indivíduos 20 minutos Qualquer tópico de sensibilização não deve demorar mais de 20 minutos a ser correctamente lido e interpretado, por um utilizador não especializado na área em apreço. Esta regra tem como principal motivação a redução do impacto na actividade de cada colaborador e, consequentemente, da sua operação 1 ano A calendarização das acções de sensibilização devem garantir que todos os tópicos mapeados para um utilizador, por via dos perfis que detém, deve ser homogeneamente distribuída pelo ano civil em questão Esta regra tem como principal motivação a redução do impacto na actividade de cada colaborador e, consequentemente, da sua operação. Simultaneamente, pretende garantir uma exposição permanente ao tema. ... ... Entregável 3.1 – Estratégia de sensibilização A estratégia de divulgação de conteúdos para sensibilização seria um dos resultados do sub-processo “3. Estratégia de Sensibilização e Tópicos”. Esta lista de regras e recomendações seria produzida num momento precoce da execução do Programa e seria alvo de revisão sempre que feedbacks do próprio Programa o impliquem e, também, no arranque de cada ano em jeito de revisão. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 24
Programa de Sensibilização à Segurança – Elementos estruturantes Tópicos de Sensibilização – outro elementos estruturantes do Programa é a definição de um conjunto de tópicos de sensibilização que, de forma modular, constituirão o acervo de informação que será difundida junto dos alvos. A título ilustrativo apresenta-se abaixo uma lista que seria o resultado do sub-processo “3. Estratégia de Sensibilização e Tópicos” Tópico Descrição do Tópico Correio-electrónico Ameaças e riscos que caracterizam os sistemas de correio-electrónico (phishing, repudiação, falta de privacidade, não garantia de entrega, etc.) e cuidados que os utilizadores deverão ter na recepção e envio de mensagens Passwords Ameaças e riscos que caracterizam os sistemas de autenticação (partilha de passwords, intercepção e reutilização, abuso e roubo de identidade, etc.) e cuidado que os utilizadores deverão ter na escolha e protecção da privacidade das suas credenciais ... ... Entregável 3.2 – Tópicos de sensibilização A identificação exaustiva dos tópicos de sensibilização seria o segundo resultado do sub-processo “3. Estratégia de Sensibilização e Tópicos”, condicionando o desenvolvimento inicial e posteriores revisões ou acrescentos de materiais documentais. Esta lista de tópicos seria produzida num momento precoce da execução do Programa e seria alvo de revisão sempre que o status quo o implique (novos problemas e tendências), alterações na natureza da instituição como surgimentos de novas linhas de negócio, por exemplo, e também no arranque de cada ano em jeito de revisão. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 25
Programa de Sensibilização à Segurança – Elementos estruturantes Meios de Sensibilização – o elemento final produzido pelo sub-processo “2. Estratégia de Sensibilização e Tópicos” seria a definição dos meios de sensibilização que deveriam ser utilizados pela instituição para a transferência de conhecimentos desejada. A título ilustrativo apresenta-se abaixo uma lista possível de meios de sensibilização Meio Racional da utilização do meio Sessões presenciais Sessões presenciais são a forma mais adequada para a passagem de conhecimento com prestação de esclarecimentos e transferência de experiências dificilmente vertíveis para suportes permanentes. É, entre todos, o único meio de sensibilização onde a partilha de experiências dos vários participantes é possivel eLearning Plataformas de eLearning são o meio adequado para o acesso em horários indeterminados, ao ritmo dos colaboradores, à informação que lhes é adequada. Caracterizam-se, porém, por algum isolamento dado não ser possível qualquer troca de experiência ou prestação de esclarecimentos com peritos Posters Posters têm como objectivo principal recordar, de forma sucinta, mensagens particulares relevantes à globalidade dos colaboradores em momentos vários do seu dia-a-dia. ... Entregável 3.3 – Meios de sensibilização Os meios de sensibilização definidos pretendem representar, simultaneamente, os meios considerados adequados pelos executores do Programa para a concretização dos esforços de sensibilização e os considerados como possíveis pelos vários decisores da instituição, nomedamente os responsáveis pelos meios de comunicação interna. A lista dos meios seria produzida num momento precoce da execução do Programa e seria alvo de revisão no arranque de cada ano em jeito de revisão e alinhamento orçamental. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 26
Programa de Sensibilização à Segurança – Elementos estruturantes Mapeamento de tópicos a perfis – baseado na interpretação perita de que Tópicos são adequados aos Perfis identificados, o mapeamento produzido indicaria quais as acções de sensibilização que deveriam ser realizadas junto de cada colaborador. A título ilustrativo apresenta-se abaixo uma lista que seria o resultado do sub-processo “4. Mapeamento Formativo” Tópico/Perfil Management Staff administrativo em funções de back-office Correio-electrónico X Passwords X Segurança de Dispositivos móveis X ... Marketing IT Staff X X X X X X X .... Entregável 4.1 – Mapeamento de tópicos a perfis A identificação exaustiva dos tópicos que deveriam ser ministrados a que perfis de utilizadores seria o resultado do sub-processo “4. Mapeamento formativo”. Esta tabela servirá de elemento pivotal na calendarização das acções de sensibilização presenciais e na plataforma de eLearning, bem como poderá servir de guia para a produção de meios de sensibilização mais globais como posters, flyers, comunicações na Intranet, etc. Este mapeamento é produzido num momento precoce da execução do Programa e será revisto sempre que alterações na natureza da instituição o recomendem (e.g. novos perfis), novos conteúdos o obriguem, e também no arranque de cada ano em jeito de revisão. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 27
Programa de Sensibilização à Segurança – Elementos estruturantes Métricas de avaliação do Programa – como qualquer outra iniciativa, também esta seria avaliada relativamente ao seu sucesso pelo que seriam definidas métricas de avaliação, bem como os respectivos métodos de aferição das mesmas. Estes elementos, conjuntamente com a descrição dos relatórios que seriam produzidos para a Gestão, seriam o resultado do sub-processo “7. Estratégia de avaliação do Programa”. Ilustrativamente, apresenta-se abaixo hipóteses de métricas. Métrica Métodos de aferição % frequência em sessões presenciais Os colaboradores presentes nas sessões presenciais serão registados, confrontando-se posteriormente os valores de assistência realizados com os perspectivados. % aprovação em quizzes na plataforma de eLearning Será pedido aos colaboradores que realizem alguns quizzes na plataforma de eLearning (perguntas de escolha múltipla) sendo as notas obtidas nos mesmos registadas e confrontadas com objectivos definidos % redução de tickets no Help-desk relativos a passwords Contabilizações de ingresso de pedidos de suporte relativos a tópicos alvo das acções de sensibilização após a realização destas serão realizadas e comparadas com valores anteriores ... Entregável 7.1 – Métricas de avaliação do Programa Embora algumas métricas de avaliação do Programa sejam relativamente imediatas e surjam como resultado do sub-processo “7. Estratégia de avaliação do Programa”, é muito natural que sejam revistas frequentemente dado tal facto ter reduzido ou nenhum impacto na prossecução dos objectivos principais do Programa. Tal é identicamente verdade para os relatórios de avaliação que serão produzidos regularmente. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 28
Programa de Sensibilização à Segurança Gestão de Projecto Esta secção do documento apresenta sucintamente o modo como seria realizada a gestão de projecto subjacente à implementação do Programa de Sensibilização à Segurança. Especificamente, apresentam-se os dois tipos de documentos que seriam produzidos de forma regular ao longo do ano. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 29
Programa de Sensibilização à Segurança – Gestão de Projecto Pontos de situação - Complementarmente aos documentos que constituirão os entregáveis do Programa de Sensibilização, seriam produzidos e utilizados ao longo da execução do mesmo documentos de dois tipos, sendo que um deles são os relatórios de ponto-de-situação. Documento suporte à realização de reuniões de Ponto-de-situação com estado de projecto, actividade, responsabilidades, pendentes, próximos passos, etc. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 30
Programa de Sensibilização à Segurança – Gestão de Projecto Relatório de riscos - Complementarmente aos documentos que constituirão os entregáveis do Programa de Sensibilização, seriam produzidos e utilizados ao longo da execução do mesmo documentos de dois tipos, sendo que um deles são os relatórios de riscos. Documento suporte à permanente gestão dos riscos de projecto Cliente-Projecto.Gestao de Risco.AAAAMMDD-SysValue-v1.0.xls - 'Riscos de Projecto Cliente-Proj'!A1 © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 31
Programa de Sensibilização à Segurança Exemplos de entregáveis e resultados do Programa © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 32
Programa de Sensibilização à Segurança – Exemplos Ilustram-se abaixo o tipo de produtos perspectivados para o Programa de Sensibilização à Segurança. São meramente ilustrativos mas representativos dos objectivos propostos. Vídeos Posters Apresentações presenciais e conteúdos na plataforma de eLearning © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 33
Programa de Sensibilização à Segurança – Exemplos Um outro resultado do Programa, que se tornará por sua vez ferramenta necessária à própria execução do mesmo, é o “Modelo de Avaliação da Execução do Programa”, ilustrado graficamente abaixo. Modelo multi-dimensional, onde cada dimensão é caracterizada por vários vectores (critérios) de avaliação, e cada um com vários graus de sucesso/maturidade dependentes da concretização de objectivos particulares Suporte visual para o Modelo de Avaliação de Sucesso do Programa © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 34
Contactos Questões adicionais, agendamentos de reuniões, pedidos de proposta ou outros temas poderão ser endereçados junto de qualquer dos seguintes contactos: Business Development João Barreto – jbarreto@sysvalue.com Senior Account Management Joaquim Henriques – jhenriques@sysvalue.com Paulo Neves – pneves@sysvalue.com Filipe Rolo – frolo@sysvalue.com © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 35

Empfohlen

Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários FinaisEvolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários FinaisFecomercioSP
 
Dis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaDis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaRui Gomes
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Edson Aguilera-Fernandes
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...University of North Carolina at Chapel Hill Balloni
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Introduction to Hardening: A Short Course
Introduction to Hardening: A Short CourseIntroduction to Hardening: A Short Course
Introduction to Hardening: A Short CourseMichel Alves
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 

Empfohlen

Evolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários FinaisEvolução Tecnológica e a (Falta de) Educação dos Usuários Finais
Evolução Tecnológica e a (Falta de) Educação dos Usuários FinaisFecomercioSP
 
Dis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaDis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaRui Gomes
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Edson Aguilera-Fernandes
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...University of North Carolina at Chapel Hill Balloni
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Introduction to Hardening: A Short Course
Introduction to Hardening: A Short CourseIntroduction to Hardening: A Short Course
Introduction to Hardening: A Short CourseMichel Alves
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Palestra
PalestraPalestra
Palestraguest95b6c3
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informaçãoSebastião de Aquino Ribeiro Junior
 
Cartilha seguranca-internet
Cartilha seguranca-internetCartilha seguranca-internet
Cartilha seguranca-internetscarabelot1
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Clavis Segurança da Informação
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewData Security
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Desafio: Manter.
Desafio: Manter.Desafio: Manter.
Desafio: Manter.ISH Tecnologia
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Tiago Tavares
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 segurancaMarco Guimarães
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)luisjosemachadosousa
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em HospitaisArthur Paixão
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosUniversity of North Carolina at Chapel Hill
 
Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra InteligenciaGrupo Treinar
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoArtur Nascimento
 

Weitere ähnliche Inhalte

Was ist angesagt?

Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Cartilha seguranca-internet
Cartilha seguranca-internetCartilha seguranca-internet
Cartilha seguranca-internetscarabelot1
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Clavis Segurança da Informação
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewData Security
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Tiago Tavares
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 

Was ist angesagt? (18)

Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz Eduardo
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Palestra
PalestraPalestra
Palestra
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 
Cartilha seguranca-internet
Cartilha seguranca-internetCartilha seguranca-internet
Cartilha seguranca-internet
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - Overview
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Desafio: Manter.
Desafio: Manter.Desafio: Manter.
Desafio: Manter.
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 

Ähnlich wie Oferta de sensibilização à segurança da informação sys value - v2013.2

[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em HospitaisArthur Paixão
 
Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra InteligenciaGrupo Treinar
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoArtur Nascimento
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01profandreson
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Projeto DI Curso Virtual SSI - UNIFEI
Projeto DI Curso Virtual SSI - UNIFEIProjeto DI Curso Virtual SSI - UNIFEI
Projeto DI Curso Virtual SSI - UNIFEIMarcos Xavier
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia socialRicardo Cavalcante
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoEmerson Rocha
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfLucianoDejesus15
 

Ähnlich wie Oferta de sensibilização à segurança da informação sys value - v2013.2 (20)

[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra Inteligencia
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Projeto DI Curso Virtual SSI - UNIFEI
Projeto DI Curso Virtual SSI - UNIFEIProjeto DI Curso Virtual SSI - UNIFEI
Projeto DI Curso Virtual SSI - UNIFEI
 
O "erro humano" e a engenharia social
O "erro humano" e a engenharia socialO "erro humano" e a engenharia social
O "erro humano" e a engenharia social
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Monografia Heraldo
Monografia HeraldoMonografia Heraldo
Monografia Heraldo
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdf
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 

Oferta de sensibilização à segurança da informação sys value - v2013.2

  • 1. Sensibilização à Segurança da Informação Proposta de valor e aproximação metodológica Apresentação de serviços Abril de 2013 1
  • 2. Porquê Sensibilização à Segurança da Informação O “factor humano” ser o elo mais fraco da postura de segurança da informação de qualquer instituição não é um mito mas, pelo contrário, uma verdade incontornável. 48% das “brechas” de segurança são devidas a “mau uso” de sistemas e tecnologia e 28% estão já relacionadas com redes sociais e interação entre indivíduos! © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 2
  • 3. Porquê Sensibilização à Segurança da Informação O “factor humano” ser o elo mais fraco da postura de segurança da informação de qualquer instituição não é um mito mas, pelo contrário, uma verdade incontornável. Em todo o mundo, cerca de 38% dos problemas de segurança têm como causa-raiz a negligência, principalmente devido a falta de informação/capacitação © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 3
  • 4. Porquê Sensibilização à Segurança da Informação Os impactos financeiros e legais de falhas de segurança são distintos conforme as geografias e enquadramentos político-legais. Porém, o impacto reputacional é transversal A perda de clientes (churn) devido a incidentes graves de segurança é de praticamente 4%, média calculada considerando países em 3 continentes © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 4
  • 5. Sensibilização à Segurança – Workshops vs Programas de Sensibilização à Segurança da Informação Considerando tal, a SysValue apoia as instituições na capacitação do seu staff para esta problemática, tornando-os parte ativa de uma postura global de Segurança da Informação Workshops de Sensibilização Programas de Sensibilização Os “Workshops de Sensibilização à Os “Programas de Sensibilização à Segurança da Informação” são acções Segurança da Informação” são iniciativas presenciais, em auditório ou sala, cujo de maior escala cujo objetivo é, de objetivo principal é, por via do exemplo e forma sistemática e continuada, expôr o da discussão de casos, demonstrar como maior número possível de colaboradores da a falta de adesão a melhores práticas instituição a fundamentos de segurança da pode comprometer a confidencialidade, informação, melhores práticas, normas integridade ou disponibilidade de internas e comportamentos aceitáveis informação e serviços, de natureza através de uma miríade de veículos de profissional e também pessoal. comunicação (intranet, e-learning, flyers, posters, etc.) © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 5
  • 6. Sensibilização à Segurança – Workshops vs Programas de Sensibilização à Segurança da Informação As diferenças principais, em termos de âmbito, alcance, duração e custo, entre Workshops e Programas de Sensibilização à Segurança encontram-se espelhadas na seguinte tabela. Workshops de Sensibilização Programas de Sensibilização Âmbito Sessões de esclarecimento sobre problemas comuns e melhores-práticas Transferência de conhecimento com diversos graus de profundidade sobre um conjunto alargado de tópicos de Seg. Informação Duração: 2 horas cada sessão, idealmente Durante todo o ano Universo: Grupos até 25 pessoas (idealmente) Todo o staff da instituição Custo: Indexado ao número de sessões Indexado à profundidade e abrangência desejada dos tópicos Totalmente SysValue Dependente dos canais internos desejados (intranet, posters, flyers, etc.), outros recursos do staff da instituição serão envolvidos Avaliação: Pouco provável Tipicamente sim, principalmente se plataforma de “e-learning” está disponível ou é aprovisionada para o projecto Repetição: Implica sessões e custo adicional ao inicialmente previsto Apenas repetição das componentes presenciais implica custos adicionais Esforço: © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 6
  • 7. Competências do formador © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 7
  • 8. Sensibilização à Segurança – Competências do formador Tanto a totalidade dos Workshops de Sensibilização como a gestão de projeto, preparação de conteúdos, quizzes de avaliação e sessões presenciais dos Programas de Sensibilização são totalmente garantidos por João Barreto, cujo CV apresenta-se abaixo de forma sucinta. •  Experiência: •  40 anos de idade, 18 de experiência profissional; •  100% dedicado à Segurança da Informação em 16 dos anos mencionados; •  Sócio-fundador da SysValue S.A., empresa com 12 anos dedicada à Segurança da Informação e Infra-estruturas Críticas; •  Professor Convidado da Universidade Católica Portuguesa desde 2006 para leccionação de disciplinas e módulos no Mestrado em Engenharia Informática e Pós-Graduações (Segurança em Sistemas de Informação, Business Intelligence e Sistemas de Informação para a Saúde); •  Formação e certificações: •  Licenciado e Mestrando em Informática pela Faculdade de Ciências (UL); •  Certificado CISSP™, pelo ISC2 (www.isc2.org); •  Certificado CISM™, pelo ISACA (www.isaca.org); •  Certificado CISA™, pelo ISACA (www.isaca.org); •  Certificado ISO 27001 Lead Auditor™, pelo British Standards Institute (www.bsigroup.com). © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 8
  • 9. Workshops de Sensibilização à Segurança da Informação © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 9
  • 10. Sensibilização à Segurança – Workshops de Sensibilização à Segurança Os Workshops são suportados por um suporte multimédia com bastante dinamismo (tecnologia Prezi), promovendo-se uma interação e um nível de atenção da audiência superior ao existente aquando da utilização de meios mais convencionais. Exemplo - discussão de casos, com apresentação de incidentes, impactos e razões © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 10
  • 11. Sensibilização à Segurança – Workshops de Sensibilização à Segurança Os Workshops são suportados por um suporte multimédia com bastante dinamismo (tecnologia Prezi), promovendo-se uma interação e um nível de atenção da audiência superior ao existente aquando da utilização de meios mais convencionais. Exemplo - apresentação de ameaças, meio como opera, objectivos e como são as vítimas atacadas © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 11
  • 12. Sensibilização à Segurança – Workshops de Sensibilização à Segurança Os Workshops são suportados por um suporte multimédia com bastante dinamismo (tecnologia Prezi), promovendo-se uma interação e um nível de atenção da audiência superior ao existente aquando da utilização de meios mais convencionais. Exemplo - apresentação de recomendações e melhores-práticas, que deverão ser executadas pelos utilizadores para melhor protecção © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 12
  • 13. Sensibilização à Segurança – Workshops de Sensibilização à Segurança Os Workshops são suportados por um suporte multimédia com bastante dinamismo (tecnologia Prezi), promovendo-se uma interação e um nível de atenção da audiência superior ao existente aquando da utilização de meios mais convencionais. A título ilustrativo e para apreciação por potenciais clientes, a SysValue colocou online uma versão com a estrutura-tipo dos workshops de sensibilização onde foi removido o conteúdo principal. Esta pode ser visualizada no link abaixo: http://tinyurl.com/c2bahz9 © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 13
  • 14. Programas de Sensibilização à Segurança da Informação © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 14
  • 15. Programa de Sensibilização à Segurança - Objectivos do Programa Um Programa de Sensibilização à Segurança da Informação pretende, num contexto de crescentes ameaças às instituições - internas e externas - relacionadas com a informação e os sistemas que a suportam, promover a segurança da informação pela via da sensibilização dos colaboradores. Especificamente, pretende-se que os colaboradores ganhem maior visibilidade e sensibilidade para os seguintes items: • Importância da informação – a importância, para a instituição, da informação no que respeita à sua confidencialidade, integridade e disponibilidade e, complementarmente, à privacidade exigida legalmente; • Ameaças e riscos – as ameaças, internas e externas, voluntárias ou acidentais, a que poderão ver-se sujeitos e quais os riscos que a concretização das primeiras acarrateria para a instituição diretamente e para eles próprios indirectamente; • Formas de proteção – identificação dos meios técnicos e administrativos que estão disponíveis na instituição para protecção da informação e dos próprios colaboradores contra abusos por terceiros e quais os racionais por detrás da existências destes e, principalmente, os cuidados que eles próprios deverão ter na utilização dos sistemas e tecnologias da informação e no manusio da própria informação; • Linhas de defesa – finalmente, pretende-se que os colaboradores da instituição conheçam com maior profundidade as linhas de defesa da segurança da informação em vigor e que passem a sentir-se eles próprios como a 1ª linha e percebam a importância da mesma. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 15
  • 16. Programa de Sensibilização à Segurança – Natureza do Programa Qualquer Programa de Sensibilização deve ser encarado como uma actividade contínua, próactiva e gerida. Tal deve-se, principalmente, ao facto de que as ameaças e riscos que o Programa pretede minimizar surgem, elas próprias, de forma igualmente continuada e evolutiva. Consequentemente, o Programa de Sensibilização deverá ser encarado como um Processo do tipo PDCA (Plan-Do-Check-Act) devidamente vertido num conjunto de actividades integradas que promovam precisamente a permanente revisão e re-adequação ao contexto envolvente: Plan Do Act Check Nota: na sua publicação “Information Security Awareness in Finantial Organizations”, a ENISA (European Network and Information Security Agency) recomenda precisamente esta aproximação para a implementação de Programas de Sensibilização à Segurança. • Planificação – actividades preparatórios do Programa onde se identificarão alvos dos esforços de sensibilização, meios adequados e disponíveis, calendarização das acções, métricas de avaliação do Programa, etc.; • Execução – desenvolvimento dos conteúdos a serem comunicados e realização das acções de sensibilização junto dos alvos através dos meios identificados e aprovisionados; • Check – revisão frequente das métricas de avaliação do Programa, apreciação de alterações de contexto externo ou interno e identificação de como deve o Programa ser alterado; • Act – revisão das componentes do Programa necessárias para alinhamento deste com as alterações identificadas. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 16
  • 17. Programa de Sensibilização à Segurança – Características do Programa O Programa de Sensibilização à Segurança da Informação deverá tentar permanentemente garantir que um conjunto de características mantém-se verdadeiras. Características Suporte Universalidade – todos os colaboradores deverão ser abrangidos pelo mesmo Para o efeito, todos os colaboradores terão acesso a uma plataforma de eLearning onde poderão aceder aos vários conteúdos, de forma paralela com a possibilidade de presença em sessões de sensibilização presenciais. Complementarmente, muitos conteúdos serão veiculados por meios gerais internos como a Intranet, posters públicos, fliers, etc. Unidade – todos os colaboradores são indivíduos diferentes, com necessidades igualmente diferentes Para o efeito, os colaboradores serão perfilados funcionalmente para que seja possível um mapeamento fino entre os vários módulos que constituem o acervo de informação a ser veiculada e os colaboradores. O apoio do Dep. Recursos Humanos garantirá que este agrupamento é correcto, espelhando a realidade. Multi-canalidade – divulgação da sua mensagem por vários canais de modo a maximizar a exposição da primeira junto dos colaboradores Para o efeito, e num espírito de facilidade de acesso, recorrer-se-á a um conjunto integrado de meios para a divulgação da informação de sensibilização: sessões presenciais, plataforma de eLearning, newsletters, Intranet, posters, flyers, mailings, etc. Gestão de esforço – capacidade de não impactar negativamente a operação da instituição. Para o efeito, validar-se-á junto da Direcção dos Recursos Humanos e das demais estruturas dentro da instituição que a carga prevista para as váras acções do Programa de Sensibilização, no que respeita ao impacto nos colaboradores, não compromete para além do aceitável as suas responsabilidades. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 17
  • 18. Programa de Sensibilização à Segurança – Stakeholders O Programa de Sensibilização à Segurança da Informação deverá depender do contributo e envolvimento, com diferentes graus, de vários interlocutores: Stakeholder (exemplos) Envolvimento Management Ao Management é apenas pedido que patrocine o Programa de Sensibilização, validando e aprovando este documento e autorizando a sua divulgação formal aos demais stakeholders. Complementarmente, deverá ser sua responsabilidade participar na revisão da Avaliação do Programa enquanto prática de melhoria contínua do mesmo. Dep. RH O Departamento de Recursos Humanos será instrumental na validação da perfilagem dos utilizadores e na aprovação da calendarização das actividades de sensibilização Dep. Jurídico O Departamento Jurídico será instrumental na validação de alguns conteúdos de sensibilização (aspectos legais e normativos da protecção da informação) Dep. Relações Institucionais e Internas O Departamento de Relações Institucionais e Internas será instrumental no aprovisionamento e preparação de meios de divulgação interna (posters, flyers, Intranet, etc.). Dep. Marketing O Departamento de Marketing será instrumental na preparação de maquetes gráficas e aportação de branding da instituição a alguns dos entregáveis do Programa Dep. IT O Departamento de IT será instrumental no setup, operacionalização e manutenção continuada da plataforma de eLearning que foi adquirida para suporte ao Programa © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 18
  • 19. Programa de Sensibilização à Segurança – Agentes instrumentais O Programa de Sensibilização à Segurança da Informação deverá depender particularmente da actividade dos seguintes agentes instrumentais: Agente Tarefas Compromisso Gestor de Projecto Monitorização do progresso do Programa relativamente a plano de actividades. Coordenação de recursos internos. Gestão da relação com fornecedores. Envolvimento durante a totalidade do projecto com participação em todas as reuniões relevantes. Peritos em Security Awareness Aprovação do conteúdo do Programa de Sensibilização. Aprovação da estratégia de sensibilização vertida no Programa. Envolvimento nas fases iniciais do projecto - definição de requisitos, revisão de conteúdos. Complementarmente, contacto regular com instrutores e para efeitos de validação de conteúdos desenvolvidos em fases de on-going do Programa. Administrador do LMS Manutenção do Learning Management System (LMS). Produção de relatórios de gestão e controlo. Esforço linear com necessidades de re-configuração do LMS e requisitos de produção de informação de gestão e reporting. IT HelpDesk Suporte a utilizadores finais relativamente às ferramentas utilizadas para acesso a conteúdos. Suporte continuado aos utilizadores nesta dimensão complementar às demais anteriormente prestadas, eventualmente num regime 24x7 Comunicação interna Suporte e aconselhamento relativamente a marketing e comunicação interna, branding, templatização de materiais, etc. Envolvimento precoce aquando da preparação de entregáveis (ou, pelo menos, dos primeiros entregáveis de cada tipo) para definição de estilos, identidade corporativa, etc. Envolvimento sempre que necessário o desenvolvimento de campanhas de marketing interno, afixação de posters, distribuição de flyers, etc. Directores de Serviço Ligação entre Programa e linhas de negócio. Envolvimento na promoção e suporte do Plano de Sensibilização junto de todos os elementos das linhas de negócio respectivas. Responsáveis IT/RH Coordenação de esforços para população do LMS com dados dos utilizadores da Instituição. Envolvimento na identificação de todos os utilizadores que serão alvo do Plano e consequente setup e inicialização do LMS. Posteriormente, responsabilidades na manutenção do estado correcto do LMS em relação aos utilizadores da Instituição. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 19
  • 20. Programa de Sensibilização à Segurança Plano de Trabalhos Esta secção do documento apresenta de forma sucinta, reduzida ao máximo, o plano de trabalhos típico para a concretização do Programa de Sensibilização à Segurança. O objectivo principal desta visão macroscópica é dotar o leitor de uma percepção da natureza dos trabalhos envolvidos e comprovar o mapeamento para o ciclo de Denning patente nos projectos do tipo PDCA, garante dos esforços. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 20
  • 21. Programa de Sensibilização à Segurança – Plano de trabalhos (master plan) O Programa de Sensibilização à Segurança da Informação seria implementado através da execução de um Processo afim do apresentado (vista geral). Nota: as cores espelham a fase PDCA de cada sub-processo © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 21
  • 22. Programa de Sensibilização à Segurança Elementos estruturantes Esta secção do documento apresenta os elementos estruturantes que suportariam o Programa de Sensibilização à Segurança, notavelmente entregáveis resultantes de subprocessos intermédios. Nas páginas seguintes, sempre que aplicável, indica-se os entregáveis documentais que seriam produzidos ao longo da execução do projecto. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 22
  • 23. Programa de Sensibilização à Segurança – Elementos estruturantes Perfis de utilizadores – um dos elementos estruturantes do Programa é a definição de um conjunto limitado de perfis de utilizadores que permitam caracterizar a instituição. A título ilustrativo apresenta-se abaixo uma lista que poderia ser o resultado do sub-processo “1. Perfilagem de Alvos” Perfil Racional da perfilagem Senior Executives Executivos Séniores (Administração e Alta-Direção) necessitam de conhecer aspectos relacionados com a governação da informação bem como as frameworks legais aplicáveis, riscos e responsabilidades (inclusivamente as pessoais). Dado serem indivíduos com pouca disponibilidade de tempo e, consequentemente, indisponibilidade para serem enquadrados em iniciativas transversais, é preferível que sejam preparadas acções de sensibilização especificamente preparadas para esta audiência, muito focadas e de pequena dimensão. Staff administrativo em funções de back-office e suporte Estes colaboradores tipicamente operam em regimes de horários bem definidos e estritos e orientados a resultados. Consequentemente, um cuidado particular deve ser tido em conta no agendamento das sessões de sensibilização dado poderem ter um impacto relevante na operação. Adicionalmente, dado que estes colaboradores tipicamente não trabalham fora dos seus locais de trabalho normais e não fazem uso extensido de dispositivos móveis, os tópicos a serem-lhes transmitidos poderão ser reduzidos relativamente a outros colaboradores. ... ... Entregável 2.1 – Alvos para Sensibilização A lista de alvos para sensibilização seria o resultado do sub-processo “1. Perfilagem de Alvos”. Esta lista seria produzida num momento precoce da execução do Programa e seria alvo de revisão sempre que alterações na estrutura da instituição o motivem e, também, no arranque de cada ano em jeito de revisão. Nota: os perfis seriam revistos pelo Dep. RH e servirão principalmente para mapear conteúdos e orquestar calendários de actividades © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 23
  • 24. Programa de Sensibilização à Segurança – Elementos estruturantes Estratégia de sensibilização – um elemento fundamental do Programa, dado o impacto na produção de conteúdos, é a identificação do conjunto de regras e recomendações sobre como deve ser a informação preparada e comunicada. A título ilustrativo apresenta-se abaixo uma lista de regras/recomendações que resultariam do sub-processo “2. Estratégia de Sensibilização e Tópicos” Regra ou Recomendação Descrição da regra/recomendação Justificação 10 slides Qualquer tópico de sensibilização não deve, nas suas versões presenciais e eLearning, ser comunicado num máximo de 10 slides. Acções de sensibilização são mais bem sucedidas quando o número de dados principais ministrados são em número reduzido. Conceitos a mais tendem a confundir os indivíduos 20 minutos Qualquer tópico de sensibilização não deve demorar mais de 20 minutos a ser correctamente lido e interpretado, por um utilizador não especializado na área em apreço. Esta regra tem como principal motivação a redução do impacto na actividade de cada colaborador e, consequentemente, da sua operação 1 ano A calendarização das acções de sensibilização devem garantir que todos os tópicos mapeados para um utilizador, por via dos perfis que detém, deve ser homogeneamente distribuída pelo ano civil em questão Esta regra tem como principal motivação a redução do impacto na actividade de cada colaborador e, consequentemente, da sua operação. Simultaneamente, pretende garantir uma exposição permanente ao tema. ... ... Entregável 3.1 – Estratégia de sensibilização A estratégia de divulgação de conteúdos para sensibilização seria um dos resultados do sub-processo “3. Estratégia de Sensibilização e Tópicos”. Esta lista de regras e recomendações seria produzida num momento precoce da execução do Programa e seria alvo de revisão sempre que feedbacks do próprio Programa o impliquem e, também, no arranque de cada ano em jeito de revisão. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 24
  • 25. Programa de Sensibilização à Segurança – Elementos estruturantes Tópicos de Sensibilização – outro elementos estruturantes do Programa é a definição de um conjunto de tópicos de sensibilização que, de forma modular, constituirão o acervo de informação que será difundida junto dos alvos. A título ilustrativo apresenta-se abaixo uma lista que seria o resultado do sub-processo “3. Estratégia de Sensibilização e Tópicos” Tópico Descrição do Tópico Correio-electrónico Ameaças e riscos que caracterizam os sistemas de correio-electrónico (phishing, repudiação, falta de privacidade, não garantia de entrega, etc.) e cuidados que os utilizadores deverão ter na recepção e envio de mensagens Passwords Ameaças e riscos que caracterizam os sistemas de autenticação (partilha de passwords, intercepção e reutilização, abuso e roubo de identidade, etc.) e cuidado que os utilizadores deverão ter na escolha e protecção da privacidade das suas credenciais ... ... Entregável 3.2 – Tópicos de sensibilização A identificação exaustiva dos tópicos de sensibilização seria o segundo resultado do sub-processo “3. Estratégia de Sensibilização e Tópicos”, condicionando o desenvolvimento inicial e posteriores revisões ou acrescentos de materiais documentais. Esta lista de tópicos seria produzida num momento precoce da execução do Programa e seria alvo de revisão sempre que o status quo o implique (novos problemas e tendências), alterações na natureza da instituição como surgimentos de novas linhas de negócio, por exemplo, e também no arranque de cada ano em jeito de revisão. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 25
  • 26. Programa de Sensibilização à Segurança – Elementos estruturantes Meios de Sensibilização – o elemento final produzido pelo sub-processo “2. Estratégia de Sensibilização e Tópicos” seria a definição dos meios de sensibilização que deveriam ser utilizados pela instituição para a transferência de conhecimentos desejada. A título ilustrativo apresenta-se abaixo uma lista possível de meios de sensibilização Meio Racional da utilização do meio Sessões presenciais Sessões presenciais são a forma mais adequada para a passagem de conhecimento com prestação de esclarecimentos e transferência de experiências dificilmente vertíveis para suportes permanentes. É, entre todos, o único meio de sensibilização onde a partilha de experiências dos vários participantes é possivel eLearning Plataformas de eLearning são o meio adequado para o acesso em horários indeterminados, ao ritmo dos colaboradores, à informação que lhes é adequada. Caracterizam-se, porém, por algum isolamento dado não ser possível qualquer troca de experiência ou prestação de esclarecimentos com peritos Posters Posters têm como objectivo principal recordar, de forma sucinta, mensagens particulares relevantes à globalidade dos colaboradores em momentos vários do seu dia-a-dia. ... Entregável 3.3 – Meios de sensibilização Os meios de sensibilização definidos pretendem representar, simultaneamente, os meios considerados adequados pelos executores do Programa para a concretização dos esforços de sensibilização e os considerados como possíveis pelos vários decisores da instituição, nomedamente os responsáveis pelos meios de comunicação interna. A lista dos meios seria produzida num momento precoce da execução do Programa e seria alvo de revisão no arranque de cada ano em jeito de revisão e alinhamento orçamental. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 26
  • 27. Programa de Sensibilização à Segurança – Elementos estruturantes Mapeamento de tópicos a perfis – baseado na interpretação perita de que Tópicos são adequados aos Perfis identificados, o mapeamento produzido indicaria quais as acções de sensibilização que deveriam ser realizadas junto de cada colaborador. A título ilustrativo apresenta-se abaixo uma lista que seria o resultado do sub-processo “4. Mapeamento Formativo” Tópico/Perfil Management Staff administrativo em funções de back-office Correio-electrónico X Passwords X Segurança de Dispositivos móveis X ... Marketing IT Staff X X X X X X X .... Entregável 4.1 – Mapeamento de tópicos a perfis A identificação exaustiva dos tópicos que deveriam ser ministrados a que perfis de utilizadores seria o resultado do sub-processo “4. Mapeamento formativo”. Esta tabela servirá de elemento pivotal na calendarização das acções de sensibilização presenciais e na plataforma de eLearning, bem como poderá servir de guia para a produção de meios de sensibilização mais globais como posters, flyers, comunicações na Intranet, etc. Este mapeamento é produzido num momento precoce da execução do Programa e será revisto sempre que alterações na natureza da instituição o recomendem (e.g. novos perfis), novos conteúdos o obriguem, e também no arranque de cada ano em jeito de revisão. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 27
  • 28. Programa de Sensibilização à Segurança – Elementos estruturantes Métricas de avaliação do Programa – como qualquer outra iniciativa, também esta seria avaliada relativamente ao seu sucesso pelo que seriam definidas métricas de avaliação, bem como os respectivos métodos de aferição das mesmas. Estes elementos, conjuntamente com a descrição dos relatórios que seriam produzidos para a Gestão, seriam o resultado do sub-processo “7. Estratégia de avaliação do Programa”. Ilustrativamente, apresenta-se abaixo hipóteses de métricas. Métrica Métodos de aferição % frequência em sessões presenciais Os colaboradores presentes nas sessões presenciais serão registados, confrontando-se posteriormente os valores de assistência realizados com os perspectivados. % aprovação em quizzes na plataforma de eLearning Será pedido aos colaboradores que realizem alguns quizzes na plataforma de eLearning (perguntas de escolha múltipla) sendo as notas obtidas nos mesmos registadas e confrontadas com objectivos definidos % redução de tickets no Help-desk relativos a passwords Contabilizações de ingresso de pedidos de suporte relativos a tópicos alvo das acções de sensibilização após a realização destas serão realizadas e comparadas com valores anteriores ... Entregável 7.1 – Métricas de avaliação do Programa Embora algumas métricas de avaliação do Programa sejam relativamente imediatas e surjam como resultado do sub-processo “7. Estratégia de avaliação do Programa”, é muito natural que sejam revistas frequentemente dado tal facto ter reduzido ou nenhum impacto na prossecução dos objectivos principais do Programa. Tal é identicamente verdade para os relatórios de avaliação que serão produzidos regularmente. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 28
  • 29. Programa de Sensibilização à Segurança Gestão de Projecto Esta secção do documento apresenta sucintamente o modo como seria realizada a gestão de projecto subjacente à implementação do Programa de Sensibilização à Segurança. Especificamente, apresentam-se os dois tipos de documentos que seriam produzidos de forma regular ao longo do ano. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 29
  • 30. Programa de Sensibilização à Segurança – Gestão de Projecto Pontos de situação - Complementarmente aos documentos que constituirão os entregáveis do Programa de Sensibilização, seriam produzidos e utilizados ao longo da execução do mesmo documentos de dois tipos, sendo que um deles são os relatórios de ponto-de-situação. Documento suporte à realização de reuniões de Ponto-de-situação com estado de projecto, actividade, responsabilidades, pendentes, próximos passos, etc. © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 30
  • 31. Programa de Sensibilização à Segurança – Gestão de Projecto Relatório de riscos - Complementarmente aos documentos que constituirão os entregáveis do Programa de Sensibilização, seriam produzidos e utilizados ao longo da execução do mesmo documentos de dois tipos, sendo que um deles são os relatórios de riscos. Documento suporte à permanente gestão dos riscos de projecto Cliente-Projecto.Gestao de Risco.AAAAMMDD-SysValue-v1.0.xls - 'Riscos de Projecto Cliente-Proj'!A1 © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 31
  • 32. Programa de Sensibilização à Segurança Exemplos de entregáveis e resultados do Programa © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 32
  • 33. Programa de Sensibilização à Segurança – Exemplos Ilustram-se abaixo o tipo de produtos perspectivados para o Programa de Sensibilização à Segurança. São meramente ilustrativos mas representativos dos objectivos propostos. Vídeos Posters Apresentações presenciais e conteúdos na plataforma de eLearning © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 33
  • 34. Programa de Sensibilização à Segurança – Exemplos Um outro resultado do Programa, que se tornará por sua vez ferramenta necessária à própria execução do mesmo, é o “Modelo de Avaliação da Execução do Programa”, ilustrado graficamente abaixo. Modelo multi-dimensional, onde cada dimensão é caracterizada por vários vectores (critérios) de avaliação, e cada um com vários graus de sucesso/maturidade dependentes da concretização de objectivos particulares Suporte visual para o Modelo de Avaliação de Sucesso do Programa © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 34
  • 35. Contactos Questões adicionais, agendamentos de reuniões, pedidos de proposta ou outros temas poderão ser endereçados junto de qualquer dos seguintes contactos: Business Development João Barreto – jbarreto@sysvalue.com Senior Account Management Joaquim Henriques – jhenriques@sysvalue.com Paulo Neves – pneves@sysvalue.com Filipe Rolo – frolo@sysvalue.com © Innovagency 2005 – Confidencial. © SysValue 2013 – Confidencial. 35