Mas, não tem Política de Segurança da Informação?

Author Photo
9:51 am - 14 de agosto de 2013

Em função dos recentes acontecimentos de vazamento de informação ou de acessos indevidos à informação, tenho colocado como exercício para meus alunos de MBAs esses casos reais. Seleciono as notícias que trazem mais explicação de como aconteceram os problemas e peço para que eles analisem e identifiquem os problemas.Evidentemente para esse exercício didático, coloco as regras: – Vamos assumir que tudo o que está dito na mídia é verdade. Quer dizer quando alguém diz que emprestou a senha pessoal de acesso para um funcionário subalterno porque tinha muito trabalho a ser feito, vamos tomar isso como verdade. – Não vamos considerar nada em termos de problemas partidários e pessoais. Para o exercício em sala de aula, isto não é o foco. Após algumas discussões em grupos, vamos ao debate em aula. Os alunos começam a citar os problemas. Vamos ?afinando? e buscando as causas de base, e normalmente chegamos a uma pergunta: E não tinha Política de Segurança? E não tinha Código de Conduta? E os funcionários e terceiros não assinaram um termo de compromisso?Sem regras, qualquer pessoa pode fazer qualquer coisa e alegar as melhores das intenções. Em empresas eu já identifiquei situações que aparentemente não eram de má fé, mas que colocavam a organização em risco. Por sorte nada ainda havia acontecido.Verifique se a sua organização tem uma Política de Segurança da Informação, formada por um documento principal (diretriz) e outros que vão detalhar e orientar até chegar nos procedimentos.A existência de políticas e normas de segurança da informação é uma responsabilidade da direção da organização. A Norma NBR ISO/IEC 27002:2005 ? Tecnologia da Informação ? Código de prática para a gestão da segurança da informação, explicita esta responsabilidade: ?Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos de negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.?Não espere sua organização virar estudo de caso por existência de problemas na proteção da informação. Obs.: Concordo e assino o Manifesto pela Transparência Digital, elaborado pela Dra. Patrícia Peck, postado no seu blog aqui neste site ITWEB. Edison Fontes, CISM, CISA  Consultoria em Segurança da Informaçã[email protected]  

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.