Comunica\u00e7\u00e3o \u00e9 uma atividade chave para qualquer ser humano. Isto tamb\u00e9m \u00e9 o caso para uma organiza\u00e7\u00e3o. Ela auxilia na troca de informa\u00e7\u00f5es mais corretas para a melhor audi\u00eancia no melhor momento. \u00c9 certamente importante na gest\u00e3o da seguran\u00e7a, porque voc\u00ea quer que as pessoas reajam de forma apropriada.<\/p>\n
Tamb\u00e9m \u00e9 importante que comunica\u00e7\u00e3o eficaz, em conte\u00fado, forma e tempo, crie confian\u00e7a tanto para as partes interna quanto externa. Ela mostra qu\u00e3o preparado voc\u00ea est\u00e1, e se voc\u00ea \u00e9 reativo ou, melhor, proativo.<\/p>\n
A ISO 27001<\/a> trata o assunto comunica\u00e7\u00e3o por tr\u00eas vezes, e organiza\u00e7\u00f5es querendo implementar o SGSI tem que olhar atentamente estes requisitos.<\/p>\n A cl\u00e1usula 7.4 requer uma resposta clara para uma s\u00e9rie de quest\u00f5es sobre assuntos de seguran\u00e7a: Quem deveria comunicar? Para quem? Quais mensagens? Sobre o qu\u00ea? Quando? E como?<\/p>\n Vamos olhar mais atentamente sobre como tratar estas quest\u00f5es.<\/p>\n Sobre o qu\u00ea? (conte\u00fado<\/em>)<\/strong> Organiza\u00e7\u00f5es deveriam comunicar claramente o que \u00e9 importante para elas: a necessidade por seguran\u00e7a da informa\u00e7\u00e3o e a necessidade de estar em conformidade com os requisitos e pol\u00edticas.<\/p>\n Ele tratar\u00e1 assuntos de gest\u00e3o de risco, objetivos de seguran\u00e7a novos ou alterados, e vulnerabilidades, eventos ou incidentes para iniciar a resposta adequada para todos, e especialmente o pessoal treinado que executa as rea\u00e7\u00f5es planejadas. A celebra\u00e7\u00e3o de conquistas e o reconhecimento de comportamentos seguros excepcionais possuem efeitos muitos positivos.<\/p>\n Incluir cl\u00e1usulas e requisitos de seguran\u00e7a em contratos tamb\u00e9m \u00e9 uma forma de comunicar seus requisitos para provedores de servi\u00e7o e de produto. Assim, ele poderia ser considerado uma parte do Plano de Comunica\u00e7\u00e3o.<\/p>\n Quais mensagens? (forma & formato<\/em>)<\/strong> Mensagens deveriam ser claras em sua forma e conte\u00fado para produzir o comportamento esperado. O tipo de m\u00eddia de comunica\u00e7\u00e3o \u00e9 tratado aqui. Voc\u00ea pode usar est\u00f3rias curtas, imagens, met\u00e1foras ou desenhos.<\/p>\n Mensagens deveriam ser curtas e focadas em seu real prop\u00f3sito. Voc\u00ea certamente se lembra do crit\u00e9rio SMART que voc\u00ea pode usar para ter certeza de que sua mensagem est\u00e1 completa.<\/p>\n Quem?<\/strong> Organiza\u00e7\u00f5es deveriam esclarecer quem est\u00e1 autorizado a comunicar, especialmente com partes externas. Internamente, a alta administra\u00e7\u00e3o e o CISO e o suporte ao usu\u00e1rio s\u00e3o bons exemplos. Grandes organiza\u00e7\u00f5es t\u00eam seus Gestores de Rela\u00e7\u00f5es P\u00fablicas para comunicar com as partes externas.<\/p>\n O comunicador deveria ter a autoridade apropriada para assegurar que a mensagem ser\u00e1 recebida com a aten\u00e7\u00e3o necess\u00e1ria e ser\u00e1 seguida pela a\u00e7\u00e3o ou rea\u00e7\u00e3o esperada.<\/p>\n Para quem?<\/strong> Nem todo mundo deveria receber todas as mensagens. Mensagens deveriam ser direcionadas para uma audi\u00eancia espec\u00edfica, dependendo da classifica\u00e7\u00e3o da informa\u00e7\u00e3o, do conhecimento t\u00e9cnico necess\u00e1rio e do papel na organiza\u00e7\u00e3o. O Plano de Comunica\u00e7\u00e3o deveria ser endere\u00e7ado apenas \u00e0queles que ir\u00e3o se beneficiar dele ou que necessitam agir com base nele \u2013 e.g., diferentes partes interessadas tais como usu\u00e1rios, parceiros, provedores de servi\u00e7o internos e externos, organismos reguladores, acionistas, etc. Veja tamb\u00e9m este artigo: Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301<\/a>.<\/p>\n Como? (processo<\/em>)<\/strong> A mais simples e primeira forma \u00e9 a pol\u00edtica de seguran\u00e7a e todos os documentos que descrevem o que fazer (e como) para atingir os objetivos da pol\u00edtica. Mensagens deveriam ser preparadas e aprovadas, particularmente no caso de incidentes e crises.<\/p>\n Canais (e protocolos) definidos deveriam ser utilizados para assegurar que a comunica\u00e7\u00e3o atinja a audi\u00eancia desejada no melhor momento e com a melhor efetividade poss\u00edvel. Exemplos: emails, telas de pop-up, prote\u00e7\u00f5es de tela, posters, mensagens de \u00e1udio, reuni\u00f5es, pol\u00edticas e diretrizes, etc.<\/p>\n Quando?<\/strong> A comunica\u00e7\u00e3o deveria ser ao mesmo tempo cont\u00ednua e baseada em eventos (em rea\u00e7\u00e3o a eventos).<\/p>\n Voc\u00ea deveria assegurar que a mensagem a ser comunicada seja continuamente retransmitida, por exemplo, para rec\u00e9m-chegados e a intervalos peri\u00f3dicos, para assegurar que ela n\u00e3o ser\u00e1 esquecida.<\/p>\n Voc\u00ea tamb\u00e9m deveria ser capaz de modificar as mensagens ou introduzir novas mensagens ou formatos e canais quando a situa\u00e7\u00e3o assim requerer. Comunicar em condi\u00e7\u00f5es normais pode ser bastante diferente em compara\u00e7\u00e3o a comunica\u00e7\u00e3o durante incidentes e crises.<\/p>\n \u00c9 importante reconhecer que o Plano de Comunica\u00e7\u00e3o tem aspectos internos e externos. Eles responder\u00e3o de formas diferentes as seguintes quest\u00f5es.<\/p>\n Plano de Comunica\u00e7\u00e3o Interna.<\/strong> A Alta Administra\u00e7\u00e3o usa o Plano de Comunica\u00e7\u00e3o para enviar mensagens sobre seus objetivos e comprometimento com rela\u00e7\u00e3o a seguran\u00e7a da informa\u00e7\u00e3o. Alguns exemplos s\u00e3o: A Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o, a organiza\u00e7\u00e3o da seguran\u00e7a com os pap\u00e9is e responsabilidades chave, o plano de Conscientiza\u00e7\u00e3o, os requisitos gerais e espec\u00edficos para responder a incidentes.<\/p>\n Contudo, o Plano de Comunica\u00e7\u00e3o Interna n\u00e3o deveria permanecer unidirecional. Os canais (telefone e email, por exemplo) deveriam tamb\u00e9m ser conhecidos e usados para comunica\u00e7\u00e3o \u201cbottom-up\u201d a partir da base (os usu\u00e1rios) para a administra\u00e7\u00e3o sobre eventos ou alguma nova vulnerabilidade.<\/p>\n Plano de Comunica\u00e7\u00e3o Externa.<\/strong> Muitos dos exemplos dados acima relacionados ao Plano de Comunica\u00e7\u00e3o Interna tamb\u00e9m s\u00e3o aplic\u00e1veis ao Plano de Comunica\u00e7\u00e3o Externa.<\/p>\n Voc\u00ea talvez precisa comunicar para o mundo externo: autoridades regulat\u00f3rias, autoridades p\u00fablicas, acionistas, clientes e parceiros, para anunciar eventos, sejam eles positivos (sucessos) ou negativos (incidentes, acidentes e crises). Aqui tamb\u00e9m voc\u00ea precisar\u00e1 de um Plano de Comunica\u00e7\u00e3o respondendo as mesmas quest\u00f5es acima.<\/p>\n Contudo, neste caso, voc\u00ea ter\u00e1 que ser mais cauteloso para n\u00e3o expor ou disseminar informa\u00e7\u00e3o sens\u00edvel que tornar\u00e1 a situa\u00e7\u00e3o ainda pior.<\/p>\n Dependendo do tamanho da organiza\u00e7\u00e3o e de seus objetivos de seguran\u00e7a, o Plano de Comunica\u00e7\u00e3o poderia ser mais ou menos formal, totalmente documentado como um documento separado ou simplesmente declarado em poucas senten\u00e7as dentro de outras pol\u00edticas, procedimentos e planos.<\/p>\n Desde que as mensagens desejadas sejam passadas para aqueles que deveriam tirar o melhor proveito delas, sua solu\u00e7\u00e3o ser\u00e1 adequada as necessidades e recursos que voc\u00ea pode destinar a elas.<\/p>\n Para concluir, o Plano de Comunica\u00e7\u00e3o \u00e9 uma quest\u00e3o de criar e manter confian\u00e7a em 1) sua prontid\u00e3o, 2) sua capacidade de enfrentar eventos, e 3) sua habilidade de se recuperar de crises.<\/p>\n O Plano de Comunica\u00e7\u00e3o \u00e9 um elemento chave em um bom Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o. Um dos retornos sobre investimento (em seguran\u00e7a) de um bom Plano de Comunica\u00e7\u00e3o, como requerido pela ISO 27001, \u00e9 uma imagem forte, tanto interna quanto externa. Perder a confian\u00e7a interna (ou de acionistas) \u00e9 algumas vezes pior do que perder sua imagem p\u00fablica. Voc\u00ea arrisca uma implos\u00e3o.<\/p>\nO que \u00e9 exatamente um Plano de Comunica\u00e7\u00e3o?<\/h2>\n
Plano de Comunica\u00e7\u00e3o Interno vs. Externo<\/h2>\n
Como documentar o Plano de Comunica\u00e7\u00e3o?<\/h2>\n
Por que um Plano de Comunica\u00e7\u00e3o \u00e9 importante?<\/h2>\n