Política de Segurança - Parte 18

Acordos de segurança ou Confidencialidade

Organizações de grande porte exigem que  os empregados  assinem um acordo de segurança no contrato inicial para o  emprego l e em uma base anual depois disso. Este é um modo excelente para alcançar responsabilidade, porque assegura que os membros da organização   para a revisão as políticas e entende que eles serão seguramente  responsáveis para a execução de penalidades a eles. Acordos também poderiam incluir a não divulgação  de segredos de comércio, um código de éticas, e assuntos de privacidade. Muitos bancos usam acordos de segurança para os seus executivos,  normalmente não são exigidos para os empregados de baixo nível que assinem tais acordos embora eles devam se os seus deveres s envolverem documentos estratégicos ou de alto confiança sobre  ativos. 

Organizações freqüentemente só requerem acordos de segurança para os consultores externos e contratados, enquanto assumem  que o acordo de empregado comum  estipula aderência às políticas da organização e cobrirá  somente algumas nuances da polítca. O ambito motivacional e assuntos de responsabilidade , podem afetar a empregados e contratados  quando avaliações,  e sanções não acompanharem estes acordos. Assinando tais de  acordos não é bastante; as pessoas precisam ser motivadas .  

Um bom exemplo de acordo de confidencialidade precisa descrever e deixar claro os deveres e direitos a que está sendo submetido o assinante de tal acordo. 

Os acordos devem ser bilaterais, ou seja, deve garantir o sigilo dos dados para ambas as partes.

Um bom exemplo de modelo pode ser visto no link abaixo.

http://blog.api.adv.br/wp-content/uploads/2012/01/Modelo-de-Termo-de-Sigilo-e-Confidencialidade-de-Empregado-para-API2.pdf

Política de Segurança - Parte 17

Motivação e materiais de consciêntização

Também podem ser usados materiais de promoção para motivar a segurança  entre os usuários e gerentes, particularmente esses devem ser dispersado amplamente às organizações . Afinal de contas, segurança está nas mãos deles, e é difícil ou impossível de monitorar o desempenho deles com respeito a segurança Muitas organizações usam uma combinação dos seguintes materiais: 

 

·        vídeos 

·        relatórios informativos 

·        panfletos, brochuras, 

·        sinais 

·        cartazes 

·        café assalta 

·        canetas e lápis 

·        blocos de rato de computador impresso 

·        screensavers 

·        bandeiras de logon 

·        bloco de notas 

·        artefatos de mesa 

·        camisetas 

·        adesivos 

 

Materiais de promoção devem ser consistentes com as práticas culturais da organização e devem ser projetados  para atrair às audiências apropriadas. Algumas organizações para patrocinarem  a segurança de informação promovem  seminários  todos os anos para elevar a consciência dos empregado quanto à segurança (embora alguns peritos de segurança discutem que durante este tipo de evento as pessoas dedicam atenção para depois ignorar a segurança durante o resto do ano). Um CEO que acredite fortemente em uma prática de mesa limpa ao término de cada workday ou dia de trabalho se a segurança monitorando ache qualquer documento de companhia de divulgação restrita  na escrivaninha de um empregado ou um computador que ainda ligado sem proteções de senha, o empregado tem que visitar o CEO para explicar como aconteceu.

Em algumas empresas foi verificado  alguns esforços de promoção em que os usuários interpretam como piadas ruins. É provável que estes esforços tenham um efeito negativo em segurança como vídeos Instrutivos são especialmente vulneráveis a desgastar o tratamento. Porque a maioria das pessoas é acostumado com  alta qualidade (em termos de produção, não necessariamente conteúdo), programas de  alta qualidade , e segundo seus padrões o uso  de materiais de treinamento em vídeo somente serão aceitáveis se forem do tipo “best-seller” , dessa maneira a aceitação terá indices  muito altos. Episódios de teatro   com concentrações irreais de violações óbvias de segurança e soluções são os piores ofensores. 

Mas não importa como efetivar  a  promoção e materiais de treinamento  e  treinamentos de conscientização  de empregados sobre a  crescente  necessidade de  segurança, conscientização não é bastante sem a motivação de todas pessoas sem que elas vejam uma posição de confiança em  proteger  os ativos da organização. (Veja Dr. Mich E. O papel " da  Psicologia Social e em Segurança de informações (Infosec): “Fatores psicológico-sociais na Implementação de Política  de Segurança de Informação” .Ele provê um guia excelente e  inclui 35 recomendações,  incluindo limites de  mudanças culturais a passos com  pequenas dicas. Este paper  ganhou o prêmio de melhor  papel na 16º E.U.A. Conferência de Segurança de Computador Nacional, patrocinada por NIST e NCSC em 1993.)