Política de Segurança - Parte 16

Motivação para segurança por interesses próprios

É visto que as áreas de  segurança pecam  em muitas  organizações   em seu ponto de vista  de como a  unidade de segurança de informação e controles técnicos poderem  afetar o  desempenho dos usuários da organização e administradores de sistema para assegurar que os controles e práticas trabalhem efetivamente . Muitos usuários a praticam  de lábios , eles têm poucos esforços de segurança quando eles não estão sendo assistidos ou até sofreram uma perda,   mas a segurança deteriora no final das contas por falta de uma motivação natural, contínua em face à pressão dominando de desempenho de trabalho.

Em contraste, computadores mantêm seus perfis de segurança porque é construído no sentido de usarem tais recursos quando customizados para isto (isto é se administradores e usuários não  mexam com estes recursos). É necessário  construir a base de segurança no desempenho das pessoas. Muitos peritos de segurança de informação reclamam a que não pode ser feito, porque o desempenho de segurança não pode ser medido, contudo eles estão ansiosos em tentar medir o risco de perda de informação. Eles reclamam que os gerentes não poderão sustentar a discussão explícita de segurança em avaliações anuais  de seu pessoal  , por causa das pressões de motivar desempenho de trabalho de pessoal que conta para o sucesso dos gerentes. 

Se os empregados sabem que observando medidas de segurança inibirão a habilidade deles para alcançar objetivos de trabalho especificada pela administração, como  incentivar eles a  levar a cabo estas medidas? A motivação primária para segurança de informação tem que vir de recompensas e penalidades diretamente associado com desempenho de trabalho; caso contrário, os membros da organização vêem a segurança como estando em conflito com o desempenho de trabalho deles/delas. Empregados sabem que eles podem melhorar o desempenho deles/delas e podem receber posição e renda  e avanço nos trabalhos deles/delas evitando os constrangimentos de segurança por exemplo, um empregado pode trabalhar mais rapidamente e melhor sem ter que pausar para fazer auxilio, usar software pirata, evitando  armazenar informação sensível sem segurança.

 Os interesses pessoais de desenvolvimento no  trabalho e compensação financeira são  motivadores primário em um emprego, e deve ser incluída a segurança de informação como regra para  evitar o conflito com eles. A organização tem que fazer três coisas para satisfazer esta necessidade fundamental para a  segurança realmente ter sucesso: 

 

1.           Inclua tarefas específicas para proteger, e definir o  responsável para  o empregador estar incluindo  descrições de aplicação da segurança  nos cargos.

 

2.      Inclua avaliações específicas e discussões com apoio dos empregados   para a prática de segurança em avaliações de desempenho anuais de trabalho . Note qualquer esforço exemplar no interesse de segurança como também qualquer violação de segurança caso aconteça.

 

3.      Motive os gerentes principais (diga-se aí a diretoria da organização) para  assegurar o apoio deles pela segurança e a ênfase sincera deles  nas avaliações do desempenho de trabalho dos empregados . Empregados geralmente seguem a dianteira dos gerentes que devem desempenhar um  papel modelo para segurança de informação  .

 

Os gerentes podem considerar que vários fatores podem servir para avaliar performance de segurança em avaliações de desempenho  anuais, enquanto que incluindo, mas não limitado a: 

 

·        Ações que causem  ou resultem  em  perdas de informação relacionadas  .

·        Fidelidade e efetividade de executar tarefas de segurança  .

·        Endossos  de desempenho de segurança a bons  empregados por coordenadores de segurança, clientes, e parceiros.

 

·        Recompensas e prêmios  para desempenho de segurança exemplar 

·        Citações de violação de segurança 

·        Elogios e críticas incluídaa em relatórios de auditoria para a alta gerência.

·        Informar sobre suspeitos de vulnerabilidade  e incidentes de perda.

·        Usando controle efetivo de segurança, como software anti-vírus .

·        Freqüência de treinamentos  e apresentações de planos de consciêntização.

·        Familiaridade com documentos de segurança atualizados.

Em alguns procedimentos de avaliação, o processo começa com um gerente que declara suas expectativas em relação ao empregado, seguido  pelo empregado que declara suas metas  por escrito. Identificado isto , o próximo passo deveria incluir uma declaração geral em proteger os ativos da organização, especificando  que  ativos específicos devem ser protegido,  serem mantidos, e controles novos ou modificações de controles que poderão serem feitos. Isto requer identidade clara de donos, provedores, guardas, e usuários dos ativos e controles, desde que os donos " de controle " ou operadores precisem ser diferenciados desses que são constrangidos pelo controle. 

Outra tática útil é desenvolver descrição de cargo e práticas de avaliação que endereçam a  segurança às suas prática diárias, então os aplique a título de teste em alguns unidades particularmente satisfatórias antes de rodar o conceito fora para um número maior de unidades. Por exemplo, você poderia começar com TI e as unidades de segurança para demonstrar a viabilidade da experiência. Especialistas de segurança em qualquer organização deveriam ser os primeiros em ter segurança no desempenho  de suas funcões e criar motivações incorporado nas suas revisões . Embora os títulos de cargo  podem não identificar os aspectos de segurança das posições , eles geralmente possuem muito da informação sensível dentro de uma organização e idnetifica quem têm deveres sensíveis. O sucesso  da segurança requer motivação  extra e consciência de sua importância à organização. 

Política de Segurança - Parte 15

Motivando  os usuários finais  para segurança de informação

Se não pode ser feita com que a segurança de informação seja transparente para usuários, deve, pelo menos, ser de fácil compreensão .Isto requer que freqüentemente seja minimizado os constrangimentos que impõe tais assuntos  e achar modos para motivar as pessoas para usar os procedimentos de segurança. 

Os três principais  motivos importantes em negócios para apoiar segurança é: reação  a perda, evitar negligência, e agregar  valores estratégicos aos  negócios. 

Quase todos nós somos mais amenos a segurança depois que nós sofremos uma perda. E nós geralmente ganhamos paz de mente tendo segurança para a que é comparável (ou melhor que) a outras, semelhantes organizações. Finalmente, se segurança aumenta nosso negócio, por exemplo nos dando uma vantagem estratégica em cima de nossos competidores, aí  nós somos motivados continuar ou aumentar isto. 

Um quarto motivator importante que é identificado em algumas organizações  é, o uso de recompensas para quem pratica a segurança de informações nos negócios. Envolve  recompensa financeiras ou caso contrário e penalidades em revisões de desempenho de trabalho anuais.

 

Fatores de motivações

Uma organização que trata sériamente  as questões sobre segurança reconhece a necessidade por fatores motivadores e afeição a objetos que sirvam para  desenvolverem algum aceitação  de programa de  segurança. Tal programa deveria empregar os  seguintes fatores de motivação: 

 

·        Antecipação e recebimento de recompensas 

·        Medo e experimentação de sanções 

·        Ética, honestidade, trabalho, convicções sociais e religiosas 

·        Experiência de perda pessoal 

·        Outras tipos de  perda  

·        Agradecimento e dedicação do empregado 

·        Proteção de investimento de esforço, dinheiro ou outro recurso 

·        Proteção ou adiantamento por boa  reputação 

·        Desejo competitivo de superar limites ou baselines 

·        Desenvolvimento de novas aptidões

Um exemplo extremo de motivação seria requerer de um empregado ou, mais praticamente, um contratado para pagar um depósito ou unir-se  para indenizar o empregador contra perda dos atos de indivíduos. Outro seria usar experiência de perda para reforçar a necessidade por segurança. Porém, os dois universais, motivadores são recompensas e sanções. Recompensas normalmente envolvem avanço de trabalho, remuneração financeira (freqüentemente na forma de gratificações específicas por comportamento de segurança exemplar), e a satisfação de um trabalho bem feito. Recompensas também podem ser prêmios ou reconhecimento por  desempenho exemplar em uso da segurança , ganhando uma competição entre grupos que mais  ou  menos informou o auditor de segurança  ou para o número mais alto de dias contínuos sem um acidente ou ocorrência de ações de insegurança. Recompensas podem ser placas de reconhecimento para se manter em escritórios, propoganda dos ganhadores em canais de televisão , ou vagas especiais em estacionamento com  privilégios. 

Sanções tipicamente   envolvem perda de posição ou remuneração, mas há muitos outros tipos de sanções que as organizações podem aplicar .Uma publicação interna que anuncia que alguém (sem revelar nomes) tenha  revelado  uma senha publicamente e é requerido a  todo o mundo no grupo mudar as senhas imediatamente quando tal lapso aconteça. Isto produz uma  pressão para manter segredo de senhas, porque ninguém gostou de ter que aprender uma nova. Demissão e ação legal são os tipos mais severos de sanções.