Ir para o conteúdo
ou

Software livre Brasil

 Voltar a Alexos Core ...
Tela cheia

Dez falhas em Segurança da Informação!

14 de Maio de 2009, 0:00 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 2916 vezes

Tenho observado que a maioria dos problemas de segurança da informação ocorrida em organizações está relacionada a um conjunto básico de falhas na implantação e desenvolvimento do processo de segurança da informação. Destaco as seguintes falhas mais comuns e mais graves em uma organização:

1. Não existência de uma estrutura de políticas, normas e procedimentos
Os regulamentos (políticas, normas e procedimentos) existem para explicitar como a organização deseja que o recurso informação deva ser tratado. Além do mais, como não temos legislação no Brasil em certos assuntos, por exemplo monitoramento de mensagem de correio eletrônico, a organização precisa dizer aos seus usuários com será tratado esta questão.

2. A gestão do controle de acesso permite uma identificação para uso comum.
Eu ainda fico admirado, mas, ainda encontro em muitas organizações identificações que não são individuais e são utilizadas por um grupo de usuários. Não me refiro aqui às situações de exceção. São casos normais de acesso à informação. Com esse acesso comum é muito difícil identificar qual usuário fez determinado acesso.

3. Não existência de gestor da informação.
Historicamente a área de tecnologia exercia a função de gestor da informação. Mas, mesmo nos anos iniciais da tecnologia da informação a área de informática deveria ser apenas um prestador de serviço, deveria ser o custodiante da informação. É fator crítico de sucesso para o processo de segurança da informação a existência do gestor da informação que deve ser a pessoa da área de negócio ou da área administrativa que á a responsável por aquela informação. É o gestor da informação que vai autorizar (ou negar) o acesso dos demais usuários da empresa àquela informação.

4. Planos de continuidade que são apenas belos documentos.
Planos de continuidade de negócio ou planos para situações de contingência devem ser um processo vivo. Mas, muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenário.

5. Registros de ações realizadas: não existem ou pouco tempo de guarda.
Registros para investigação (auditoria ou computação forense) precisam ter definidos sua existência e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado apenas um dia é muito pouco caso haja uma investigação sobre uma ação indevida nesta aplicação. Também é importante a existência do registro de tentativas de acesso e erros de identificação/senha.

6. Cópias de segurança: definição da informática.
As cópias de segurança devem existir por razões de recuperação do ambiente de tecnologia, requisitos legais, aspectos históricos e exigências de auditoria. Apenas o primeiro caso é de responsabilidade da área de tecnologia. Requisitos legais e necessidade de guarda por questões históricas devem ser definidos pela área de negócio. Exigências de auditoria devem ser definidas pelas auditorias internas ou externas.

7. Não existência de um gestor do processo de segurança.
A segurança da informação é uma responsabilidade de todos. Porém, um profissional deve ser responsável pela existência do processo de segurança da informação. Empresas de médio e grande porte podem ter um funcionário dedicado a esta função,evidentemente desde que ele tenha os pré requisitos para a mesma.

8. Não existência de uma gestão de risco.
Quando não existe uma gestão de risco, as análises de risco e de ameaças são feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organização deve ter uma gestão de risco contínua.

9. Não alinhamento da segurança com o negócio.
A segurança deve considerar as prioridades do negócio da organização. Mas lembro que as áreas de negócio e a direção da organização devem considerar a participação da segurança da informação em definições estratégicas. Evidentemente não falo aqui de situações de extremo segredo, como por exemplo, a junção de duas instituições financeiras.

10. Usuário: pouco treinamento e conscientização.
A pessoa humana é o fator determinante para o sucesso ou fracasso do processo de segurança da informação em uma organização. Cada usuário precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que não pode fazer.

Garanta que a sua organização não falha nestes dez itens citados. Se você conseguir isto com certeza sua organização terá um excelente nível de proteção da informação.

Fonte – Blog do Edison Fontes

Tagged: pls-ba, seguranca, ubuntu-br

Fonte: http://penguim.wordpress.com/2009/05/14/dez-falhas-em-seguranca-da-informacao/

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.