Inimigos da segurança da informação – Meliante 3

=> Não possuir regulamentos ou possuir regulamentos que são belos documentos guardados que ninguém segue.Os regulamentos de segurança da informação (políticas, normas e procedimentos) devem refletir o que realmente a organização deseja para a sua proteção da informação. Eles devem ser verdadeiros, válidos para todos os usuários (do presidente ao estagiário), possíveis de serem cumpridos e devem considerar as características da organização e seu tipo de negócio.Muitas vezes chama-se política de segurança as configurações de um Firewall ou de outro equipamento. Rigorosamente isso seria o conjunto de regras técnicas de controle de um determinado tipo de recurso. Política de segurança deve ser entendida como a diretriz de segurança. A partir dessas políticas é que se constroem e são implantados os controles. Sugiro que tenhamos uma política principal tipo Os Dez Mandamentos. Depois devemos ter políticas por assunto específico (acesso a informação, classificação da informação, requisitos de segurança para desenvolvimento de sistemas). E em um nível de detalhamento maior devemos ter normas. Por exemplo, teremos uma política principal (nível 1), uma política de acesso á informação (nível 2) e normas relativas ao acesso a informação referentes a cada ambiente de tecnologia com suas regras específicas (nível 3).A política principal, a diretriz, deve ser assinada pelo presidente da organização. Os demais regulamentos devem ser assinados pela área de segurança em conjunto com áreas envolvidas.Os usuários devem conhecer e receber treinamento sobre os regulamentos que lhes dizem respeito. Esse treinamento deve acontecer periodicamente e deve ser formalizada a participação do usuário.Políticas e normas de segurança da informação são elementos estruturais no processo de proteção da informação. Isto é, somente a partir da sua existência é que controles podem ser implantados.Regulamentos de segurança são direcionadores das ações de proteção da informação. Defina as políticas e normas da sua organização! Siga as políticas e normas da sua organização!Edison Fontes, CISM, CISA.Consultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]