Processo de Treinamento e Conscientização em SI
| Responsável pelo processo |
|---|
| Coordenadoria de Segurança da Informação e Proteção de Dados |
Papéis e Responsabilidades
Papéis |
Responsabilidades |
Comitê de Segurança da Informação e Proteção de Dados |
Dentre o rol de competências do Comitê, consta: estabelecer diretrizes e definições estratégicas para as ações e projetos relacionados à Segurança da Informação e Proteção de Dados. |
Coordenadoria de Segurança da Informação e Proteção de Dados (CSIPD) |
Identificar necessidades, propor treinamentos, campanhas, oficinas, simulações voltadas à capacitação do público interno do TRT4 (magistrados, servidores e estagiários) em segurança da informação e proteção de dados |
Elaborar material de treinamento e conscientização |
|
Manter registros sobre os resultados |
|
Outras áreas do TRT |
Auxiliar na preparação, divulgar ou realizar ações de conscientização Realizar treinamentos |
Ferramentas
| Portal EaD | Plataforma de Educação à Distância utilizada no TRT. |
| Portal VOX | Portal de intranet do TRT, onde são divulgados notícias e informes. |
| PhishX | Solução de capacitação em Segurança da Informação e simulação de phishing educativo |
| Outras | Outras ferramentas ou instrumentos que possam ser utilizados durante a execução de uma campanha de conscientização ou treinamento. Como por exemplo: sistemas de envio de phishing educativo, plataformas externas de treinamento e etc. |
Indicador de processo
Descrição |
Método de apuração / fórmula de cálculo |
Frequência |
Percentual de Usuários Treinados |
(número de usuários capacitados) / (número total de usuários alvo da campanha) |
Anual |
Controle de execução do processo
Controle |
Método de execução |
Frequência |
Auditoria |
Realizar uma reunião com as equipes executoras do processo, para avaliar a aderência, os benefícios gerados e oportunidades de melhoria do processo. Essa reunião deve identificar se o processo necessita de revisão. |
Anual |
Descrição das Atividades
Identificar necessidades |
||
Descrição |
Identificar as necessidades relativas a treinamento e conscientização para o tema de segurança da informação. |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Ocorrências ou incidentes que mereçam alertas ou treinamento específico; solicitações de recomendações oriundas de órgãos de controle externo ou interno. |
|
Saídas |
Relação de necessidades identificadas |
|
Atividades |
Identificar necessidades |
A partir das entradas elaborar relação de fragilidades para as quais se identifique a necessidade de capacitação. |
Elaborar Roadmap de Campanhas de T&C |
||
Descrição |
A partir das necessidades identificadas monta-se um Roadmap (plano) de campanhas para serem realizadas durante o ano. |
|
Considerações importantes |
As campanhas podem ser ações de curso, sensibilização, simulações, oficinas, pílulas de conhecimento e etc. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados Outras áreas do TRT4 |
|
Entradas |
Necessidades Identificadas |
|
Saídas |
Roadmap para Treinamento e Conscientização |
|
Atividades |
Analisar as necessidades identificadas |
CSIPD analisa as necessidades identificadas, consultando outras áreas do TRT, verificando o que pode ser atingido durante o curso do processo. |
Elaborar Roadmap |
CSIPD elabora Roadmap com campanhas para as necessidades analisadas. |
|
Elaborar Campanha de T&C |
||
Descrição |
Elaborar, com base no Roadmap de Campanhas de T&C, ou a partir de solicitações avulsas, campanha que contemple ações (treinamentos, simulações e etc.) relacionadas à Segurança da Informação. |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Roadmap de Campanhas de T&C Solicitações avulsas de T&C em segurança da informação |
|
Saídas |
Proposta de campanha de treinamento e conscientização composta por ações e cronograma de execução. |
|
Atividades |
Definir ações a serem realizadas |
Definir o conjunto de ações que serão realizadas durante a campanha de treinamento e conscientização. |
Definir público a que se destina |
Para cada ação elencada no plano definir o público para o qual ela será direcionada. |
|
Definir forma de realização |
Definir para cada ação a forma como será implantada: treinamento formal, capacitação informal, simulação de eventos de segurança dentre outras. |
|
Definir cronograma básico de elaboração e execução |
Definir para cada ação um cronograma contemplando a fase de elaboração e preparação da ação a ser realizada, bem como uma projeção de cronograma para a execução da ação. |
|
Aprovar Campanha de T&C |
||
Descrição |
Aprovar campanha proposta, podendo recomendar possíveis ajustes que julgar pertinente. |
|
Considerações importantes |
N/A |
|
Papéis |
Comitê de Segurança da Informação e Proteção de Dados |
|
Entradas |
Proposta de Campanha de T&C |
|
Saídas |
Aprovação ou recomendação de ajustes |
|
Atividades |
Aprovar campanha proposta |
A partir de documentação enviada pela Coordenadoria de Segurança da Informação e Proteção de Dados, contendo detalhamento da campanha proposta, o Comitê de Segurança da Informação e Proteção de Dados deverá aprová-la ou rejeitá-la. |
Recomendar ajustes |
Caso o Comitê verifique a necessidade de ajustes ou demais providências a serem tomadas na campanha, deverá informá-los à CSIPD. |
|
Avaliar recomendações e ajustar Campanha de T&C |
||
Descrição |
Analisar a viabilidade de realizar as adequações recomendadas pelo Comitê na realização da campanha. |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Recomendações de ajustes à campanha proposta |
|
Saídas |
Campanha ajustada ou justificativa para não acatar recomendação |
|
Atividades |
Avaliar recomendações recebidas |
Avaliar a recomendação dada pelo Comitê de Segurança da Informação e Proteção de Dados. |
Justificar não acatamento |
Encaminhar justificativa ao Comitê de Segurança da Informação e Proteção de Dados informando as razões pelas quais não foi possível acatar as recomendações dadas. |
|
Ajustar a campanha |
Ajustar a campanha de treinamento e conscientização conforme as recomendações recebidas. |
|
Preparar a execução dos planos contidos na campanha |
||
Descrição |
Realizar todos os preparativos para a execução de todos os planos contidos na campanha. Como a campanha consiste de diferentes ações, que irão demandar diferentes preparações, esta é uma atividade a ser desenvolvida “a muitas mãos”. Por exemplo, além da CSIPD, a preparação de uma capacitação envolverá, provavelmente, a Escola Judicial, que é responsável pelas questões relacionadas ao processo de capacitações no Tribunal. Outra área que poderá ser demandada é a SECOM, para auxiliar a divulgação das campanhas de treinamento nos canais de comunicação do TRT. Preparar a execução de cada campanha prevista no planejamento. |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados Outras áreas do TRT4, sob responsabilidade da CSIPD. |
|
Entradas |
Proposta de Campanha de Treinamento e Conscientização aprovada |
|
Saídas |
Materiais, planos de contratação dentre outros |
|
Atividades |
Envolver as equipes |
Envolver todas as equipes necessárias na elaboração, divulgação e execução de cada ação da campanha. |
Preparar a ação |
Elaborar material de treinamento, plano de simulação, material de divulgação e etc. para a ação. |
|
Preparar a divulgação |
Elaborar a forma como a ação será publicizada. |
|
Preparar a execução |
Preparar os meios para execução da ação: disponibilização de treinamento em plataforma EaD, configuração de ferramentas, reservas e locações de locais físicos e etc. |
|
Executar Campanha |
||
Descrição |
Executar, conforme cronograma, as ações contidas na campanha de treinamento e conscientização. |
|
Considerações importantes |
A responsabilidade pela execução pode variar entre distintas áreas do TRT. A execução da campanha é uma atividade que encapsula diferentes tarefas, que variam conforme o caso particular de cada ação. As ações podem consistir em elaboração e/ou aplicação de capacitações junto à Escola Judicial; compartilhamento de dicas/conhecimento em colaboração com a SECOM; criação de simulações de phishing pela CSIPD; dentre inúmeras outras. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de dados |
|
Entradas |
Ação preparada (treinamento, simulação e etc) |
|
Saídas |
N/A |
|
Atividades |
Execução |
Execução da ação prevista |
Monitorar a execução |
Acompanhar a execução de modo a garantir que tudo o que foi planejado seja realizado. |
|
Coletar e registrar dados e resultados |
||
Descrição |
Coletar e registrar os resultados da campanha realizada. |
|
Considerações importantes |
Esta atividade é essencial para se identificar se os objetivos planejados para a campanha foram alcançados, além de possibilitar a coleta de evidências para futuras auditorias e alimentação de indicadores. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Dados sobre as ações executadas durante a campanha: treinamentos, ações de conscientização, dentre outros. |
|
Saídas |
Relatório da Campanha de T&C |
|
Atividades |
Coletar e registrar resultados |
A CSIPD deverá manter registros detalhados das ações realizadas, por exemplo, informações dos cursos realizados: número de inscritos, resultados das avaliações, etc. |
Elaborar relatório da Campanha de T&C |
Elaborar relatório detalhando a execução e os resultados alcançados durante a execução da campanha de T&C |
|
Tomar Ciência do Resultado e Encerrar campanha de T&C |
||
Descrição |
Tomar ciência, a partir do relatório da campanha de T&C, dos resultados obtidos e encerrar a campanha |
|
Considerações importantes |
N/A |
|
Papéis |
Comitê de Segurança da Informação e Proteção de Dados |
|
Entradas |
Relatório da Campanha de T&C |
|
Saídas |
Ciência e encerramento da campanha |
|
Atividades |
Tomar ciência |
O Comitê toma ciência dos detalhes da execução e dos resultados obtidos na campanha. |
Encerrar a campanha |
Comitê decreta campanha encerrada. |
|
Analisar resultados do processo de T&C |
||
Descrição |
Analisar os resultados obtidos nas campanhas de T&C realizadas no período |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Relatórios das Campanhas de T&C realizadas durante o período |
|
Saídas |
Relatório anual de T&C para o SGSI |
|
Atividades |
Compilar resultados das campanhas |
Coletar informações dos resultados das campanhas para análise. |
Alimentar indicadores |
Alimentar os indicadores com os resultados compilados |
|
Realizar análise crítica |
A partir dos resultados das campanhas, observar e identificar oportunidades de melhorias para o processo. |
|
Propor melhorias ao processo |
Propor ações para melhorar o processo. |
|