5. Sistema de Gestão da Segurança da Informação

5.6. Segurança dos recursos humanos

As entidades são também obrigadas a prestar atenção à segurança dos recursos humanos no âmbito do SGSI como um dos bens. Como mencionado anteriormente, as pessoas são normalmente o elo mais fraco da ciber-segurança. Em particular, estas entidades são obrigadas a fazê-lo:

·      estabelecer um plano de desenvolvimento da sensibilização para a segurança para assegurar uma educação e melhoria adequadas da sensibilização para a segurança,

o   este plano contém a forma, conteúdo e âmbito de

o   instrução dos utilizadores, administradores, agentes de segurança e fornecedores sobre as suas responsabilidades e política de segurança;

o   formação teórica e prática necessária para utilizadores, administradores e agentes de segurança.

·      designar as pessoas responsáveis pela execução das actividades individuais previstas no plano,

·      fornecer orientações aos utilizadores, administradores, agentes de segurança e fornecedores sobre as suas responsabilidades e política de segurança através de formações iniciais e regulares,

·      proporcionar formação profissional regular a pessoas com funções de segurança,

·      assegurar sessões regulares de formação e verificação da consciência de segurança dos empregados, de acordo com a descrição das suas funções,

·      assegurar a verificação do cumprimento da política de segurança pelos utilizadores, administradores e pessoas com funções de segurança,

·      em caso de cessação da relação contratual com administradores e pessoas com funções de segurança, assegurar a transferência de responsabilidades,

·      avaliar a eficácia do plano de desenvolvimento da sensibilização para a segurança, a formação ministrada e outras actividades relacionadas com a melhoria da sensibilização para a segurança,

·      determinar regras e procedimentos para lidar com violações das regras de segurança estabelecidas por utilizadores, administradores e pessoas com funções de segurança.

É obrigatório manter uma visão geral das sessões de formação acima mencionadas que contenham o tema da formação e uma lista de pessoas que tenham completado a formação.

Exemplo: Uma vez que a formação padrão, que é a única que os utilizadores têm de completar, se revela ineficaz, algumas organizações também abordam métodos para verificar uma verdadeira compreensão da informação fornecida na sua própria formação. Isto poderia ser, por exemplo, o envio de mensagens de phishing aos utilizadores após uma formação centrada nesta área. A organização monitoriza então quantos utilizadores responderam incorrectamente ao ataque. No entanto, é de notar que tais testes devem ser bem pensados, e um advogado para avaliar se o teste utilizado não infringirá, por exemplo, a privacidade dos empregados não deve estar ausente.