Results 1 to 1 of 1

Thread: Dez falhas em Segurança da Informação!

  1. #1
    Moderator firebits's Avatar
    Join Date
    Mar 2010
    Location
    Brazil
    Posts
    353

    Lightbulb Dez falhas em Segurança da Informação!

    Fonte:IT Web - Blogs - Edison Fontes


    Tenho observado que a maioria dos problemas de segurança da informação ocorrida em organizações está relacionada a um conjunto básico de falhas na implantação e desenvolvimento do processo de segurança da informação. Destaco as seguintes falhas mais comuns e mais graves em uma organização:


    1. Não existência de uma estrutura de políticas, normas e procedimentos
    Os regulamentos (políticas, normas e procedimentos) existem para explicitar como a organização deseja que o recurso informação deva ser tratado. Além do mais, como não temos legislação no Brasil em certos assuntos, por exemplo monitoramento de mensagem de correio eletrônico, a organização precisa dizer aos seus usuários com será tratado esta questão.


    2. A gestão do controle de acesso permite uma identificação para uso comum.
    Eu ainda fico admirado, mas, ainda encontro em muitas organizações identificações que não são individuais e são utilizadas por um grupo de usuários. Não me refiro aqui às situações de exceção. São casos normais de acesso à informação. Com esse acesso comum é muito difícil identificar qual usuário fez determinado acesso.


    3. Não existência de gestor da informação.
    Historicamente a área de tecnologia exercia a função de gestor da informação. Mas, mesmo nos anos iniciais da tecnologia da informação a área de informática deveria ser apenas um prestador de serviço, deveria ser o custodiante da informação. É fator crítico de sucesso para o processo de segurança da informação a existência do gestor da informação que deve ser a pessoa da área de negócio ou da área administrativa que á a responsável por aquela informação. É o gestor da informação que vai autorizar (ou negar) o acesso dos demais usuários da empresa àquela informação.


    4. Planos de continuidade que são apenas belos documentos.
    Planos de continuidade de negócio ou planos para situações de contingência devem ser um processo vivo. Mas, muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenário.


    5. Registros de ações realizadas: não existem ou pouco tempo de guarda.
    Registros para investigação (auditoria ou computação forense) precisam ter definidos sua existência e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado apenas um dia é muito pouco caso haja uma investigação sobre uma ação indevida nesta aplicação. Também é importante a existência do registro de tentativas de acesso e erros de identificação/senha.


    6. Cópias de segurança: definição da informática.
    As cópias de segurança devem existir por razões de recuperação do ambiente de tecnologia, requisitos legais, aspectos históricos e exigências de auditoria. Apenas o primeiro caso é de responsabilidade da área de tecnologia. Requisitos legais e necessidade de guarda por questões históricas devem ser definidos pela área de negócio. Exigências de auditoria devem ser definidas pelas auditorias internas ou externas.


    7. Não existência de um gestor do processo de segurança.
    A segurança da informação é uma responsabilidade de todos. Porém, um profissional deve ser responsável pela existência do processo de segurança da informação. Empresas de médio e grande porte podem ter um funcionário dedicado a esta função,evidentemente desde que ele tenha os pré requisitos para a mesma.


    8. Não existência de uma gestão de risco.
    Quando não existe uma gestão de risco, as análises de risco e de ameaças são feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organização deve ter uma gestão de risco contínua.


    9. Não alinhamento da segurança com o negócio.
    A segurança deve considerar as prioridades do negócio da organização. Mas lembro que as áreas de negócio e a direção da organização devem considerar a participação da segurança da informação em definições estratégicas. Evidentemente não falo aqui de situações de extremo segredo, como por exemplo, a junção de duas instituições financeiras.


    10. Usuário: pouco treinamento e conscientização.
    A pessoa humana é o fator determinante para o sucesso ou fracasso do processo de segurança da informação em uma organização. Cada usuário precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que não pode fazer.

    Garanta que a sua organização não falha nestes dez itens citados. Se você conseguir isto com certeza sua organização terá um excelente nível de proteção da informação.

    Traduzido e Adaptado por firebits
    http://www.backtrack-linux.org/forum.../firebits.html
    Last edited by firebits; 04-17-2010 at 04:19 PM.

Similar Threads

  1. Os 5 princípios básicos de segurança para empresas - parte 1
    By firebits in forum Tutoriais e Howtos
    Replies: 1
    Last Post: 04-09-2010, 06:36 PM
  2. Replies: 0
    Last Post: 03-28-2010, 06:43 PM

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •