E-book

PROGRAMA DE
CONSCIENTIZAÇÃO
EM SEGURANÇA
DA INFORMAÇÃO
E PRIVACIDADE
Dicas para implementar e manter
sua organização à frente das ameaças

#porumasociedademaissegura
ÍNDICE:

Introdução 4

Pessoas: Elo mais fraco

ou mais importante 6

Para quem o programa

deve ser direcionado?
10

Como implementar 11

Como saber se a conscientização

está alcançando seu objetivo? 12

Por onde começar? 13

Conclusão
Leve em consideração as dicas a seguir para 14
iniciar e fortalecer seu Programa de Conscientização

Por que a IBLISS? 16

ibliss.com.br | contato@ibliss.com.br
 H á muito tempo, os temas Segurança da Informação e
Privacidade extrapolaram as paredes do mundo corporativo!
Os riscos fazem parte da nossa vida cotidiana no trabalho, na
nossa casa, rondam as nossas crianças.

É de extrema importância que todos, independente de segmento

de mercado e posição hierárquica, possam ter acesso a
informação e como fazer uso dela da melhor forma. Assim, fazemos
com que todos possam proteger seus dados para não ser a
próxima vítima de uma fraude, que traz sempre como
consequência danos à reputação, exposições desnecessárias e
prejuízos financeiros.

Este e-book foi desenhado com o intuito de compartilhar a

relevância da construção de um Programa de Conscientização em
Segurança e Privacidade de forma que as pessoas possam ser
munidas de informação para que saibam como agir quando
estiverem diante de um ameaça.

Compartilhe o conteúdo com quem achar necessário conhecer

mais sobre Conscientização.

E conte com a parceria da equipe de especialistas em

conscientização da IBLISS para estabelecer seu Programa de
Cultura e Conscientização em Segurança."

Eva Pereira
Diretora de Conscientização & Cultura

#porumasociedademaissegura 3
QUEM NUNCA OUVIU QUE O FATOR
HUMANO (PESSOAS) É O ELO MAIS
FRACO DA CORRENTE?

Uma das maiores ameaças que uma

empresa pode ter é um colaborador
que não entende a importância da
Segurança da Informação

4
94%
das organizações sofreram
uma violação de dados
internos, sendo que 84%
sofreram uma violação
por erro humano, e 73%
foram por phishing.
(Fonte: Insider Data Breach Survey 2021)

5
 PESSOAS:
ELO MAIS FRACO OU MAIS IMPORTANTE?

Em um ambiente organizacional, podemos

ter a melhor tecnologia, mas se não
tivermos pessoas que saibam operar
esta tecnologia, ela de nada adianta.

Da mesma forma, podemos ter os

processos mais bem escritos, mas se
não tivermos pessoas engajadas para
executá-los, serão apenas documentos
que ocupam espaço.

Os cibercriminosos sabem que as pessoas são frequentemente

o elo mais sensível de uma organização. Eles terão como alvo
todas as pessoas que de alguma forma possam se tornar a
porta de entrada para acessar sistemas de informação e
dados confidenciais.

Sendo assim, o fator humano deve estar no centro da questão

e precisa ser visto como o elo mais importante e sensível
desta corrente.

INVESTIR EM PESSOAS É A CHAVE

DA GESTÃO DO RISCO HUMANO

6
 De todos os desafios atualmente enfrentados pelos CISOS,
compartilhar a responsabilidade da Segurança da Informação
e Privacidade através da Conscientização das Pessoas tem
feito cada vez mais parte das agendas estratégicas,
principalmente com a aumento expressivo de:

Erros de configuração

Falhas de processos

Casos de fraudes

Incidentes de vazamento de dados, principalmente

após o início da pandemia

Com isso, os Programas de Conscientização de Segurança e

Privacidade, demandam mais do que o foco da Conformidade,
para tornarem-se parte essencial da capacidade das
empresas em gerenciar o risco cibernético humano.

Para que o gerenciamento de risco humano seja mais efetivo,

as empresas devem investir em estratégias de longo prazo
voltadas para pessoas, assim como para:

Gestão de Vulnerabilidades

Resposta a Incidentes

Centros de Operações de
Segurança (SOCs)

Avaliação de Fornecedores

7
 COMPARTILHE A RESPONSABILIDADE
DE PROTEGER O SEU NEGÓCIO
SENSIBILIZANDO SEUS
COLABORADORES

Cada pessoa é um indivíduo, e de acordo com

o cargo que exerce, as responsabilidades que
precisam executar e ainda suas experiências
de vida, entendem a comunicação de uma
maneira diferenciada.

Para conseguir engajar as

pessoas é importante utilizar
uma linguagem lúdica que faça
referência ao cotidiano de cada um.

Muito além de treinar e conscientizar, é

importante sensibilizar as pessoas para que
estejam cientes de suas responsabilidades e
integrem o comportamento e cultura de
segurança de forma natural em seu dia a dia.

8
 ESTABELECER UM PROGRAMA
ESTRUTURADO DE CONSCIENTIZAÇÃO EM
SEGURANÇA E PRIVACIDADE, EM UMA
ORGANIZAÇÃO:

Ajuda todos a ter uma visão Reduz riscos e incidentes

consistente e unificada relacionados a questões
sobre segurança cibernética de segurança

Permite que sua força de Cria um ambiente em

trabalho proteja a conformidade com as novas
organização (e a si mesma) legislações e minimiza
de ameaças cibernéticas incidentes referentes à falha
da vida real humana

9
PARA QUEM O PROGRAMA
DEVE SER DIRECIONADO?
Não existe um segmento de mercado ou departamento
específico para ser conscientizado sobre Segurança e
Privacidade.

Todas as pessoas relacionadas com a informação na

organização devem ser conscientizadas e sensibilizadas:

Board
C-Level

Temporários
Clientes

Terceiros
Fornecedores

Todos os níveis de
colaboradores que
atuam online e offline

A Conscientização deve ser entregue às pessoas com

base em sua função, bem como os tipos de dados
confidenciais e acesso a que serão expostos durante a
realização de seu trabalho

10
 COMO IMPLEMENTAR?
Você pode implementar um Programa de Conscientização de
Segurança de várias maneiras, de acordo com a cultura e tom
de voz utilizados pela sua organização.

Mas o mais importante é que possam ser explorados recursos

lúdicos que tornam a comunicação leve e fácil de assimilar
com o dia a dia das pessoas.

A comunicação pode ser online e/ou offline. Seguem alguns

dos recursos que usamos com nossos clientes:

Campanhas e ações Palestras, Oficinas, Quizz e Vídeos

com artes visuais Workshops e Dinâmicas Educativos

Análise de vazamento Engenharia

de senhas Social

Simulações de Gameficação
Phishing

11
COMO SABER SE A
CONSCIENTIZAÇÃO ESTÁ
ALCANÇANDO SEU OBJETIVO?
Um Programa de Conscientização em Segurança é mais eficaz
quando abordado como uma prática contínua.

Ele deve trazer informações concisas, acionáveis e memoráveis

sobre como reduzir os riscos relacionados à Segurança
Cibernética e à tecnologia da Informação.

Além da recorrência das ações, é importante medir os resultados

e com isso retroalimentar as próximas através de:

Pesquisas e
Opiniões com os
Resultados de colaboradores, para
Simulações de medir o quanto estão
Engenharia Social 3 engajados
1
Resultados de 2
Simulações
Volumetria e tipos
de Phishing
de incidentes: 4
por período;
incidentes de Phishing;
dispositivos perdidos ou roubados;
incidentes de malware devido ao
comportamento dos funcionários;
todos os outros incidentes diretamente
atribuíveis a erro humano

Toda informação é importante para analisar o

comportamento das pessoas e ajudá-las a saber como
agir quando estiverem diante de uma ameaça.

12
 POR ONDE COMEÇAR?
Muitas atividades podem ser feitas!

Em conscientização, é importante explorar a criatividade!

Mas não é necessário fazer todas de uma vez!

O importante é manter a recorrência, e sempre que possível,

engajar as pessoas de várias formas diferentes.

1.
Comece com foco em identificar os maiores riscos para
sua organização e assim determinar quais assuntos
seus colaboradores mais precisam de educação

2.
Uma vez identificado os riscos,
quebre os objetivos de
aprendizagem em objetivos
menores, em vez de cobrir
todo o material de uma vez.
Por exemplo, se os ataques de phishing
são o seu maior risco, comece com
um treinamento curto focado em
phishing. Inclua um teste de simulação de
phishing para ver quem morde a isca, distribua
níveis mais detalhados de treinamento de
phishing com base em desempenhos de teste

13
LEVE EM CONSIDERAÇÃO AS DICAS A
SEGUIR PARA INICIAR E FORTALECER SEU
PROGRAMA DE CONSCIENTIZAÇÃO:

Estabeleça um programa Leve em consideração a

que esteja alinhado com as criticidade e o risco para
políticas e processos de a continuidade do
segurança da informação seu negócio
da organização

Tenha em suas mensagens Use linguagens lúdicas que

o apoio e comprometimento engajem e envolvam todos
da alta direção os níveis da organização,
principalmente quem não
tem acesso à tecnologia

Diversifique conteúdos e
métodos de abordagem

14
LEVE EM CONSIDERAÇÃO AS DICAS A
SEGUIR PARA INICIAR E FORTALECER SEU
PROGRAMA DE CONSCIENTIZAÇÃO:

Tenha cerimonias para Invista em um onboarding

reforçar a cultura de
segurança e privacidade na
sua organização
onboarding
interativo, pois é a
oportunidade de inserir
sua cultura no primeiro
contato do colaborador

Dê visibilidade as ações que Abuse da criatividade, e

executa e avalie resultados tenha como base a cultura e
o tom de voz da sua
organização, para que as
pessoas “se sintam em casa”

Monitore e explore os Conte com profissionais

resultados medidos para especializados em
avaliar a evolução do seu conscientização e
programa sensibilização de pessoas

15
 POR QUE ESCOLHER A IBLISS PARA
ESTRUTURAR SEU PROGRAMA DE
CONSCIENTIZAÇÃO EM SEGURANÇA
E PRIVACIDADE?

Atuação e experiência em Equipe de Conteúdo e Marketing

diversos segmentos de mercado dedicados para conscientização

Construção de conteúdos Metodologia de trabalho que

customizados de acordo com reúne profissionais de Segurança,
a cultura de cada empresa Privacidade, Compliance,
Conteúdo & Marketing, Gente &
Gestão e Endomarketing

Produção de Materiais e Análise multidisciplinar incluindo

campanhas em Português, o comportamental dos resultados
Inglês e Espanhol de campanha

Desenvolvimento de Programa
para todas as áreas da empresa
(online e offline)

16
Fale com os nossos especialistas em
Conscientização em Segurança e
Privacidade clicando aqui ou escaneie:

Tão importante quanto saber quais

ameaças podem impactar você e o
seu negócio, é estar à frente delas!

ibliss.com.br
contato@ibliss.com.br
(11) 3255 -3926

#porumasociedademaissegura