Dentre os temas cobertos por Privacidade de Dados e Segurança da Informação, Conscientização é um dos mais importantes e igualmente subjetivo, pois é instável do ponto de vista que tratamos exclusivamente do fator humano, e tanto o engajamento quanto a absorção e disseminamento do conhecimento não dependem de tecnologias ou processos implementados.

Há diversos tipos de abordagem e modos de trabalhar a conscientização e o treinamento do público-alvo, mas a abordagem é um campo pouco explorado e que deve ser considerado de modo estratégico e tático por um gestor de Segurança da Informação, pois não podemos simplesmente dizer tudo sobre o tema para todos da mesma forma.

Sendo assim, observo que a fase de planejamento de uma estratégia deve contemplar os seguintes passos (em termos de abordagem, e não do teor das ações):

  • Definição de conteúdo (estratégia, políticas, objetivos e metas da organização de modo top-down a serem atingidos por todos na organização);
  • Segmentação do conteúdo (divisão sobre como as mensagens serão distribuídos, desde da forma geral até distintas de acordo com a estrutura organizacional, níveis de carreira ou quaisquer outros direcionadores que façam sentido e que aumentem o grau de aderência e empatia pelo tema por parte dos atingidos);
  • Adequação  do conteúdo (definição de meios de disseminação, como campanhas, materiais, palestras, ações teatrais, dinâmicas, gamification, incentivos, etc);
  • Assimilação (garantir de que a mensagem chegue a quem deve ser endereçada e, para isso, sugiro sempre fortalecermos os laços com cada área, tendo um representante, que ajudará nesta trabalho ao mesmo tempo em que, como membro do time, sabe de suas peculiaridade e cultura interna, sabendo o modo adequado de comunicar-se e gerar a empatia necessária para engajamento

Destaco o último item (Assimilação) como bastante crítico, pois pela experiência prática tenho observado como muito mais eficaz a comunicação por alguém próximo, e não por algo institucional.

Este é apenas um ponto de vista e adequado a um modo de fazer conscientização, que pode ser adaptado e incrementado conforme a necessidade de cada organização.