Inimigos da segurança da informação – Meliante 3

=> Não possuir regulamentos ou possuir regulamentos que são belos documentos guardados que ninguém segue.

Os regulamentos de segurança da informação (políticas, normas e procedimentos) devem refletir o que realmente a organização deseja para a sua proteção da informação. Eles devem ser verdadeiros, válidos para todos os usuários (do presidente ao estagiário), possíveis de serem cumpridos e devem considerar as características da organização e seu tipo de negócio.

Muitas vezes chama-se política de segurança as configurações de um Firewall ou de outro equipamento. Rigorosamente isso seria o conjunto de regras técnicas de controle de um determinado tipo de recurso. Política de segurança deve ser entendida como a diretriz de segurança. A partir dessas políticas é que se constroem e são implantados os controles. Sugiro que tenhamos uma política principal tipo Os Dez Mandamentos. Depois devemos ter políticas por assunto específico (acesso a informação, classificação da informação, requisitos de segurança para desenvolvimento de sistemas). E em um nível de detalhamento maior devemos ter normas. Por exemplo, teremos uma política principal (nível 1), uma política de acesso á informação (nível 2) e normas relativas ao acesso a informação referentes a cada ambiente de tecnologia com suas regras específicas (nível 3).

A política principal, a diretriz, deve ser assinada pelo presidente da organização. Os demais regulamentos devem ser assinados pela área de segurança em conjunto com áreas envolvidas.

Os usuários devem conhecer e receber treinamento sobre os regulamentos que lhes dizem respeito. Esse treinamento deve acontecer periodicamente e deve ser formalizada a participação do usuário.

Políticas e normas de segurança da informação são elementos estruturais no processo de proteção da informação. Isto é, somente a partir da sua existência é que controles podem ser implantados.

Regulamentos de segurança são direcionadores das ações de proteção da informação. Defina as políticas e normas da sua organização! Siga as políticas e normas da sua organização!

Edison Fontes, CISM, CISA.
Consultor, Professor e Autor de Livros de Segurança da Informação.
Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.
edison@pobox.com

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s