1. Home >
  2. Colunas >

Inimigos da segurança da informação – Meliante 2

Author Photo
9:51 am - 14 de agosto de 2013

Não conhecer como a organização está protegida em relação a cada uma das dimensões da segurança da informação é o nosso segundo inimigo para se ter um processo efetivo de proteção da informação.Quem não tem essa posição da efetividade dos controles de segurança realiza um vôo cego sobre o que deve ser implantado prioritariamente ou que riscos a organização possui e está inocente (ou incompetente). Neste caso as ações de segurança são reativas e nunca se tem um planejamento para as ações segurança. O aspecto emocional vai sobrepor ao aspecto profissional. Outra conseqüência prática em não se ter uma posição a partir de um diagnóstico profissional, é que a organização busca resolver o problema que aparece e esquece as causas. Isto é, ataca a febre e se esquece de resolver a doença. Evidentemente algumas vezes temos que atacar a febre, isto é, a situação existente no momento. Mas não podemos esquecer em resolver a causa raiz.Um exemplo dessa situação febre/doença é o fato da descoberta de um vazamento de uma base de clientes. Identifica-se que foi através de uma cópia em planilha eletrônica. Resolve-se proibir uso de pen driver por que se pode copiar uma planilha eletrônica para este dispositivo. Isto é febre. O problema é que não se tem um regulamento de acesso á informação, não se tem a função e responsabilidade do gestor da informação, não se têm registro de auditoria (log) indicando o que foi feito de acesso/cópia/alteração em cada informação. Enfim, uma grande confusão com muitas pessoas utilizando seu ?achômetro? A solução do problema é estruturarmos o controle de acesso á informação. De repente essa mesma organização tem excelência na solução para situações de contingência. Ótimo! Mas a direção executiva precisa saber das duas situações.A direção executiva da organização precisa saber de uma maneira não técnica como está a efetividade dos controles de segurança da informação. Abaixo indicamos um exemplo prático de como demonstrar aos executivos e aos acionistas como está a segurança da informação. upload20092009151955Neste exemplo, de uma maneira rápida e simples se verifica que a organização está bem em relação às cópias de segurança fora do ambiente principal, tem um bom plano de contingência, possui um controle de pessoas no acesso aos ambientes físicos e não está bem nas demais dimensões de segurança.Com um diagnóstico deste tipo e considerando as características da organização, seus objetivos e detalhes da operacionalização do negócio, bem como a complexidade da adoção de controles, pode-se definir um plano de ação com prioridades de desenvolvimento e implantação de controles.Saber como está a efetividade dos controles de segurança é o primeiro passo para que a organização tenha um efetivo processo de segurança da informação. Não saber a situação da organização em segurança da informação é um inimigo fatal para o processo de proteção da informação.Se sua organização tem esse tipo de avaliação, parabéns, porém mantenha e aprimore a mesma. Se não tem: corra e faça uma avaliação gerencial do processo de segurança da informação.Edison Fontes, CISM, CISA.Consultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]“Você faz suas escolhas e suas escolhas fazem você” Steve Beckman

Notícias relacionadas

Negócios
Gao Kexin é novo CEO da Huawei Brasil
Notícias
Phi-3 Mini: Microsoft introduz o menor modelo de IA até o momento
Notícias
Falta uma semana para o IT Forum Trancoso 2024
Notícias
Blanca Treviño, CEO da Softtek: “O Brasil foi como um mestrado para mim”
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.