Breve Metodologia geral para disseminação de Segurança da Informação
Nos próximos paragrafos, é esboçado uma metodologia sugerida para administrar segurança de informação indiretamente por gerentes de usuários de informação e TI , também pelos líderes ao longo da organização.
1.Forme um comitê com representantes da administração (de cúpula) das unidades da organização nas quais a maioria utiliza informática.
A aprovação do comitê também tenderá a manter o princípio de top-down na ordem de decisões de segurança de informação.
2.Crie consciência e motivação para segurança de informação
Uma boa idéia é amar a segurança ao desempenho de trabalho, informando aos usuários das informações contidas em sistemas computacionais sobre as ameaças e vulnerabilidadse, e fazendo disponível a eles soluções de proteção válidas para fins particulares e controles para evitar negligência.
Faça das questões de segurança uma parte de descrições de cargo e inclua como uma exigência em salário e avaliações de desempenho junto com descrição de recompensas e penalidades. (Os gerentes precisam de treinamento e motivação para administrar tais avaliações.)
Indique a necessidade para evitar negligência satisfazendo a um padrão de cuidados devidamente relativos para outras organizações semelhantes como competidores e dentro da organização entre unidades semelhantes. Tenha certeza que a organização trata a negligência seriamente.
Ilustre as conseqüências à organização de fracassos de segurança por estudos de caso de perdas.
Demonstre a efetividade e facilidade de uso de muitos dos controles de segurança que podem ajudar evitam e reduzem perda.
3.Se a organização for grande divida a tarefa. Designe os multiplicadores de segurança de informação distribuídos em unidades de usuário locais e filiais .
Os multiplicadores podem ser responsáveis em:
- Orientar administradores de sistemas internos e Internet .
- Deverão fazer uso de controles de defesas (alertas, monitoramento, etc).
- Disseminar o uso correto de senhas
- Inicializar e monitorar controles físicos e de sistemas como práticas de mesas limpas e bases de sistemas criticos à suas unidades .
- Elaborar relatório de eventos incomuns e perdas para administração.
- Submeter pedidos de exceção de padrões (modificação de normas e controles para aderência ao negócio)
- Prover guias de segurança (manuais, material promocional)
- Treinar aos usuários quanto a questões de Segurança da Informação
- Distribuir os procedimentos para segurança da unidade de segurança de informação central
Creio que a forma de maior sucesso para disseminação da cultura de Segurança da Informação seja constantes campanhas promocionais na organização procurando motivar os usuários a aderirem as práticas de segurança e assim reduzir a exposição a riscos do elo mais fraco de qualquer sistema ou infra-estrutura de sistemas computacionais: o usuário.
Em minha prática, também de dizer não a qualquer solicitação de uso ou práticas que possam criar riscos aos ativos de informação da organização, é recomendável compartilhar e demonstrar os riscos envolvidos no uso incorreto daquele ativo. Geralmente os usuários ao entender os riscos, acabam concordando em manter os controles e práticas para proteger aquele ativo de informação.
quinta-feira, 16 de junho de 2011
quarta-feira, 15 de junho de 2011
Política de Segurança da Informação - Parte 4
A natureza de tamanho, e locais de unidades de segurança de informação
O tamanho, talentos, e local de uma unidade de segurança de informação dependem em grande parte na natureza, cultura, local, e tamanho da organização que deseja implanta-la.
Hoje nós vemos muitas unidades de segurança de informação com responsabilidades técnicas e administrativas combinadas localizadas embaixo da árvore de TI.
Em uma companhia com alta maturidade no assunto, um vice-presidente sênior de segurança de informação reporta-se diretamente ao CIO. Em outro caso, a unidade informa ao departamento legal, e em outro para o Controller ou CFO
.
Geralmente, organizações não esperam gastar muito dinheiro em segurança, e não é forçado a gastar a não ser por força como obedecer leis ou regulamentos que eles são “obrigados” a levar a cabo a função de orçamentos próprios para este fim.
A grande realidade no Brasil é que as empresas somente gastam com Segurança da Informação por causa de um ou a combinação dos seguintes fatores:
- Obrigações legais (SOX, CVM entre outros regulamentos);
- Recorrências de problemas e incidentes de segurança;
Somente instituições financeiras enxergam na Segurança de seus dados, alguma vantagem competitiva.
Muitos vão da mesma maneira; logo preferem se arriscar com os custos de perdas de informação, desde que eles não saibam medir ou mensurar as perdas , relativo ao dinheiro gasto em segurança para reduzir tais perdas. Muitas organizações só estão começando agora a entender que é mais fácil e mais importante arcar com algum custo orçamentário antes de uma ocorrência, onde a perda é maior.
Logo, aquela história do ROI de Segurança acaba sendo demonstrado na equação de redução do risco.
Algumas pessoas argumentam o exemplo do seguro do carro para justificar gastos com Segurança da Informação; o seguro não vai aumentar o valor do seu carro mas no caso de um sinistro ou roubo irá diminuir e muito o impacto financeiro que este trará ao segurado.
O tamanho, talentos, e local de uma unidade de segurança de informação dependem em grande parte na natureza, cultura, local, e tamanho da organização que deseja implanta-la.
Hoje nós vemos muitas unidades de segurança de informação com responsabilidades técnicas e administrativas combinadas localizadas embaixo da árvore de TI.
Em uma companhia com alta maturidade no assunto, um vice-presidente sênior de segurança de informação reporta-se diretamente ao CIO. Em outro caso, a unidade informa ao departamento legal, e em outro para o Controller ou CFO
.
Geralmente, organizações não esperam gastar muito dinheiro em segurança, e não é forçado a gastar a não ser por força como obedecer leis ou regulamentos que eles são “obrigados” a levar a cabo a função de orçamentos próprios para este fim.
A grande realidade no Brasil é que as empresas somente gastam com Segurança da Informação por causa de um ou a combinação dos seguintes fatores:
- Obrigações legais (SOX, CVM entre outros regulamentos);
- Recorrências de problemas e incidentes de segurança;
Somente instituições financeiras enxergam na Segurança de seus dados, alguma vantagem competitiva.
Muitos vão da mesma maneira; logo preferem se arriscar com os custos de perdas de informação, desde que eles não saibam medir ou mensurar as perdas , relativo ao dinheiro gasto em segurança para reduzir tais perdas. Muitas organizações só estão começando agora a entender que é mais fácil e mais importante arcar com algum custo orçamentário antes de uma ocorrência, onde a perda é maior.
Logo, aquela história do ROI de Segurança acaba sendo demonstrado na equação de redução do risco.
Algumas pessoas argumentam o exemplo do seguro do carro para justificar gastos com Segurança da Informação; o seguro não vai aumentar o valor do seu carro mas no caso de um sinistro ou roubo irá diminuir e muito o impacto financeiro que este trará ao segurado.
terça-feira, 14 de junho de 2011
Política de Segurança da Informação - Parte 3
Ajustando a Segurança da Informação na Organização
A unidade de segurança de informação em uma organização normalmente é uma área , departamento, ou seção dentro da gestão de tecnologia ; alternativamente, pode ser uma unidade administrativa semelhante ao Jurídico , contabilidade, recursos humanos.
Segurança de informação pode estar sendo chamado segurança de dados, segurança de computador, segurança, ou segurança de sistemas, embora quaisquer destes nomes pode aplicar a só uma parte da unidade de segurança de informação. Segurança patrimonial é o nome da unidade responsável para administrar segurança física de ativos tangíveis.
Raramente a unidade de segurança de informação é uma parte da unidade de segurança de industrial, porque informática normalmente não é suficientemente entendida pelo pessoal de segurança de industrial ou patrimonial tradicional que freqüentemente tem um fundo policial ou militar.
Semelhantemente, informática é uma parte da unidade de auditoria (e é aconselhável que não seja), porque a unidade de auditoria precisa da independência para examinar o desempenho da unidade de segurança de informação objetivamente. Identificamos a unidade de auditoria como uma ferramenta mais poderosa da segurança , por causa do forte fator de monitoramento e de que alguém está monitorando os controles estabelecidos pela Segurança da Informação
Qualquer organização que incorpora a unidade de segurança de informação em auditoria tem um problema sério para resolver.
Políticas de segurança de informação, padrões, controles, administração, práticas, procedimentos, e documentos de orientação são coletivamente chamados de ferramentas de segurança de informações. Peritos de segurança reconhecem os documentos seguintes para uso em segurança de informações:
Política: Largos princípios , dita modelos de cobertura , instruções, controla objetivos (opcional).
Padrões (Standards): Controles obrigatórios de objetivos e descrições bem como princípios de implementação a serem aplicados.
Diretrizes (Guidelines): Implementação de uma política clara, ajuda e controla descrições aos fornecedores e departamentos de compra.
Treinamento e materiais de promoção: Manuais, folhetos, apresentações , vídeos, e artefatos.
As unidades de segurança de informação e tomadores de decisão dentro de uma organização típica incluem:
Conselhos de administração/executivo. Executivos com a missão de administração de cúpula da unidade de segurança de informação.
Segurança de informação. O provedor primário de política de segurança de informação, padrões, e orientação.
Equipe de segurança de dados. Unidades de tecnólogos que desenvolvem e mantêm segurança em computadores e redes.
coordenadores de segurança de informação. Os administradores e consultores dentro das unidades e debaixo da administração de linha pontilhada da unidade de segurança de informação.
Administradores de plataforma e gerentes de LAN&WAN, rede e sistema(equipe de TI). Gerentes de serviços locais às unidades de negócios .
Donos de aplicação e Informações, provedores, custodiantes, e usuários. Pessoas nas unidades responsável pela o informação da organização.
A unidade de segurança de informação em uma organização normalmente é uma área , departamento, ou seção dentro da gestão de tecnologia ; alternativamente, pode ser uma unidade administrativa semelhante ao Jurídico , contabilidade, recursos humanos.
Segurança de informação pode estar sendo chamado segurança de dados, segurança de computador, segurança, ou segurança de sistemas, embora quaisquer destes nomes pode aplicar a só uma parte da unidade de segurança de informação. Segurança patrimonial é o nome da unidade responsável para administrar segurança física de ativos tangíveis.
Raramente a unidade de segurança de informação é uma parte da unidade de segurança de industrial, porque informática normalmente não é suficientemente entendida pelo pessoal de segurança de industrial ou patrimonial tradicional que freqüentemente tem um fundo policial ou militar.
Semelhantemente, informática é uma parte da unidade de auditoria (e é aconselhável que não seja), porque a unidade de auditoria precisa da independência para examinar o desempenho da unidade de segurança de informação objetivamente. Identificamos a unidade de auditoria como uma ferramenta mais poderosa da segurança , por causa do forte fator de monitoramento e de que alguém está monitorando os controles estabelecidos pela Segurança da Informação
Qualquer organização que incorpora a unidade de segurança de informação em auditoria tem um problema sério para resolver.
Políticas de segurança de informação, padrões, controles, administração, práticas, procedimentos, e documentos de orientação são coletivamente chamados de ferramentas de segurança de informações. Peritos de segurança reconhecem os documentos seguintes para uso em segurança de informações:
Política: Largos princípios , dita modelos de cobertura , instruções, controla objetivos (opcional).
Padrões (Standards): Controles obrigatórios de objetivos e descrições bem como princípios de implementação a serem aplicados.
Diretrizes (Guidelines): Implementação de uma política clara, ajuda e controla descrições aos fornecedores e departamentos de compra.
Treinamento e materiais de promoção: Manuais, folhetos, apresentações , vídeos, e artefatos.
As unidades de segurança de informação e tomadores de decisão dentro de uma organização típica incluem:
Conselhos de administração/executivo. Executivos com a missão de administração de cúpula da unidade de segurança de informação.
Segurança de informação. O provedor primário de política de segurança de informação, padrões, e orientação.
Equipe de segurança de dados. Unidades de tecnólogos que desenvolvem e mantêm segurança em computadores e redes.
coordenadores de segurança de informação. Os administradores e consultores dentro das unidades e debaixo da administração de linha pontilhada da unidade de segurança de informação.
Administradores de plataforma e gerentes de LAN&WAN, rede e sistema(equipe de TI). Gerentes de serviços locais às unidades de negócios .
Donos de aplicação e Informações, provedores, custodiantes, e usuários. Pessoas nas unidades responsável pela o informação da organização.
domingo, 12 de junho de 2011
Ataque cibernético ao FMI
Até o FMI não escapa das tentativas de ataquesde hackers!
http://economia.estadao.com.br/noticias/not_71157.htm
http://economia.estadao.com.br/noticias/not_71157.htm
Política de Segurança da Informação - Parte 2
Estatísticas de Incidentes de Segurança reportados ao CERT.BR
É muito interessante acompanhar as estatísticas disponibilizadas pelo CERT.BR (orgão ligado ao Comitê Gestor da Internet no Brasil que trata especificamente do tema de incidentes de Segurança da Informação).
Vejamos o quadro do ultimo período:
Fica claro para nós que apesar de muitas entidades não divulgarem os incidentes que estão expostos temos tido uma redução significativa dos incidentes reportados.
A pergunta que não quer calar é ; qual o motivo da redução?
Podemos acreditar que houve uma dimunuição devidos aos controles, cuidados e sistemas de proteção implementados.
Porém podemos também pensar que muitos incidentes(mas muitos mesmo!) não tem sido reportados.
Aqui vale minha ponderação vivendo o dia-a-dia de Segurança. Acredito que muitos incidentes não são reportados ao CERT.BR e isto acaba distorcendo um pouco a análise de segurança na Internet Brasil baseado neste indicador.
Não é culpa do CERT. Do contrário. O CERT e o Comitê Gestor muito tem feito (e um excelente trabalho) em alertar a comunidade da Internet Brasil sobre os perigos e ameaças no mundo virtual. Porém as entidades e pessoas ainda não dão a devida a atenção ao tema e preferem não reportar a realidade.
Infelizmente, ainda existem muitos problemas de fraudes financeiras a pessoas físicas e jurídicas que acabam não sendo reportadas devido a exposição que estes fatos impõem às vitimas.
De qualquer maneira é para se pensar nos indicadores.
É muito interessante acompanhar as estatísticas disponibilizadas pelo CERT.BR (orgão ligado ao Comitê Gestor da Internet no Brasil que trata especificamente do tema de incidentes de Segurança da Informação).
Vejamos o quadro do ultimo período:
Fica claro para nós que apesar de muitas entidades não divulgarem os incidentes que estão expostos temos tido uma redução significativa dos incidentes reportados.
A pergunta que não quer calar é ; qual o motivo da redução?
Podemos acreditar que houve uma dimunuição devidos aos controles, cuidados e sistemas de proteção implementados.
Porém podemos também pensar que muitos incidentes(mas muitos mesmo!) não tem sido reportados.
Aqui vale minha ponderação vivendo o dia-a-dia de Segurança. Acredito que muitos incidentes não são reportados ao CERT.BR e isto acaba distorcendo um pouco a análise de segurança na Internet Brasil baseado neste indicador.
Não é culpa do CERT. Do contrário. O CERT e o Comitê Gestor muito tem feito (e um excelente trabalho) em alertar a comunidade da Internet Brasil sobre os perigos e ameaças no mundo virtual. Porém as entidades e pessoas ainda não dão a devida a atenção ao tema e preferem não reportar a realidade.
Infelizmente, ainda existem muitos problemas de fraudes financeiras a pessoas físicas e jurídicas que acabam não sendo reportadas devido a exposição que estes fatos impõem às vitimas.
De qualquer maneira é para se pensar nos indicadores.
Política de Segurança da Informação - Parte 1
Após a tomada de decisão da organização em adotar um plano de segurança de informações, será necessário planejar o que, como e quando proteger o patrimônio da informação.
A política de segurança, é um conjunto de normas, processos e procedimentos que estão em harmonia com o planejamento de segurança das empresas.
Dois fatores em tecnologia de informação estão afetando dramaticamente a necessidade de medidas em segurança da informação e a maneira pela qual estas medidas são implementadas: computação distribuída, na qual os usuários e proprietários da informação possuem alto poder de computação e seus recursos através das organizações e por outro lado o continuo crescimento dos negócios na Internet.
Estes dois fatores tem sido determinantes para a administração de segurança de informação, pois se as empresas abrem mão dos recursos tecnológicos aos usuários da organização (diga-se por necessidade de velocidade dos processos de negócios), os usuários por vezes tem usado estes recursos de maneira “perigosa”. Há também a questão da necessidade de interconectar as redes das empresas à Internet devido aos negócios que estão surgindo através da mesma.
Para as equipes de segurança, mais do que nunca, há uma extrema e continuada necessidade por planejamento para implementações dos planos de segurança.
Se a base de política de segurança, não estiver bem sólida, o sucesso de planos de segurança nas organizações tende ao fracasso.
A política de segurança, é um conjunto de normas, processos e procedimentos que estão em harmonia com o planejamento de segurança das empresas.
Dois fatores em tecnologia de informação estão afetando dramaticamente a necessidade de medidas em segurança da informação e a maneira pela qual estas medidas são implementadas: computação distribuída, na qual os usuários e proprietários da informação possuem alto poder de computação e seus recursos através das organizações e por outro lado o continuo crescimento dos negócios na Internet.
Estes dois fatores tem sido determinantes para a administração de segurança de informação, pois se as empresas abrem mão dos recursos tecnológicos aos usuários da organização (diga-se por necessidade de velocidade dos processos de negócios), os usuários por vezes tem usado estes recursos de maneira “perigosa”. Há também a questão da necessidade de interconectar as redes das empresas à Internet devido aos negócios que estão surgindo através da mesma.
Para as equipes de segurança, mais do que nunca, há uma extrema e continuada necessidade por planejamento para implementações dos planos de segurança.
Se a base de política de segurança, não estiver bem sólida, o sucesso de planos de segurança nas organizações tende ao fracasso.
Segurança da Informação e negócios
Dois fatores em informática estão afetando nossa necessidade dramaticamente por segurança de informação, como também o modo no qual nós implementamos isto: computação distribuída na qual os donos de informação e usuários têm os próprios computadores e redes ao longo da organização; e a confiança sempre-crescente de negócio na Internet.
A natureza onipresente de computar nas organizações põe a segurança de informação nas mãos destes donos e usuários da informação que tipicamente colocam uma prioridade muito mais alta em executar os trabalhos nomeados à eles que em fazer o uso de informação, redes, e computadores de forma como foi determinada pela segurança de informações (desde que segurança não é uma exigência de desempenho de trabalho explícita na maioria das organizações).
Eles fazem e trabalham cumprindo o que lhes determina seu contrato de trabalho , porém torna-se necessário faze-los aprender alguns dos fundamentos de segurança de informação e os aplicar à computação local deles/delas e ambientes de networking. Em grandes organizações, o grupo central de segurança de informação tem de prover orientação e direção a estes usuários, como também para os operadores dos Sistemas de mainframe que ainda existem em muitos negócios.
Esta tarefa exige para as especialistas de segurança de informação que sejam especialistas em escrever, comunicar, motivar, e ensinar sobre segurança de informação . Em diversas organizações de grande porte , geograficamente espalhadas os especialistas de segurança não podem ter nenhum contato direto com alguns dos usuários de computador e operadores, fazendo da tarefa até mesmo mais desafiadora.
E hoje no rumo acelerado do ambiente empresarial onde os usuários de informação e os especialistas de segurança de informação estão freqüentemente separados, nós temos de achar modos efetivos para enfatizar a necessidade por proteções adequadas e praticar métodos mais formais de levar a informação necessária para alcançar níveis de cuidados eficazes, providos de segurança para os empregados e administração.
Nós também precisamos fazer a segurança ser transparente, ou pelo menos “diafônico” (ou seja, com poucos constrangimentos), e equilibra-la com as metas da organização. Muitos estudos indicam que a maior mudança provocada pela computação distribuição é o reforma do departamento de segurança de informação em uma organização cujas atividades principais estão sendo escrever, publicar, treinar, e promover as normas de segurança. O trabalho técnico de segurança é primeiramente realizado na informática (TI) para depois partir aos departamentos e unidades empresariais de negócios.
Satisfazendo a padrões de cuidados básicos e evitando negligências, a força de segurança de informação e postura da organização inteira mediante ao quesito segurança de informações será medido pela reação e resposta à incidentes, se houver alguma unidade de negócio mais fraca quanto aos conhecimentos dos procedimentos de segurança ,se perdas materiais vierem a acontecer e na unidade mais fraca em segurança é onde perdas provavelmente acontecerão. Por exemplo, a filial do banco na Califórnia que deu a um hacker vagabundo de praia , um estilo de vida de milionário , pela responsabilidade exclusiva por operações de computador, trouxe vergonha e elevou dúvidas de clientes sobre o banco inteiro e todos suas filiais.
O departamento de segurança de informação tem que ajudar a elevar a consciência de segurança da organização inteira, criando motivação, e efetividade ao nível dessas partes da organização que satisfaz para um padrão de cuidado devido. Outra filial de banco, este na França, implementou uma proteção de aço volumosa que visava proteger o caixa e o computador dele no caso de uma tentativa de roubo armado. Porém, na área de clientes especiais possuía uma falha que dava passagem ao terminal de computador do caixa que estava continuamente ativo e este era usado para manutenções ao sistema.
Levaria pelo menos cinco anos no momento até estas organizações obtiverem taxas de progresso para trazer a segurança deles até um baseline de nível adequado sem avanços adicionais em tecnologia. É claro que, a tecnologia está correndo à frente a uma velocidade muito rápida
No panorama atual da informática, muito tem sido o esforço das empresas para atualizarem seus parques tecnológicos e estarem atualizados com as mais modernas armas no mercado de informática para obter vantagem competitiva.
É praticamente uma questão de sobrevivência às empresas estarem modernizadas e prontas para a guerra por clientes e produtos com preços mais competitivos.
Com isso, planos de segurança de informações é muito importante para todos os usuários de todas tecnologias, mas poucas são as empresas que realmente, tem determinado ao seu corpo empresarial a adoção de estratégias para efetuar suas tarefas diárias relacionadas direta ou indiretamente à informática.
Para que esse número pequeno de empresas que adotam estratégias de segurança ainda existe um problema que pouco é discutido: Política de segurança.
Dar direção à empresa sobre processos de segurança, é tarefa a ser desenvolvida no âmbito de decisão da alta gerência. Porém torna-se difícil e quando não, complicado ao corpo de diretores da empresa tratar de um assunto que baseia-se em avaliações que tratam de situações de perda de lucratividade ou mesmo de sobrevivência da companhia.
Para que um plano de segurança, possa alcançar êxito dentro de uma organização, é necessário que se tenha uma direção a seguir e focar as ações a serem efetivadas no plano de segurança a partir desta direção. Esta direção é chamada de Política de segurança.
A natureza onipresente de computar nas organizações põe a segurança de informação nas mãos destes donos e usuários da informação que tipicamente colocam uma prioridade muito mais alta em executar os trabalhos nomeados à eles que em fazer o uso de informação, redes, e computadores de forma como foi determinada pela segurança de informações (desde que segurança não é uma exigência de desempenho de trabalho explícita na maioria das organizações).
Eles fazem e trabalham cumprindo o que lhes determina seu contrato de trabalho , porém torna-se necessário faze-los aprender alguns dos fundamentos de segurança de informação e os aplicar à computação local deles/delas e ambientes de networking. Em grandes organizações, o grupo central de segurança de informação tem de prover orientação e direção a estes usuários, como também para os operadores dos Sistemas de mainframe que ainda existem em muitos negócios.
Esta tarefa exige para as especialistas de segurança de informação que sejam especialistas em escrever, comunicar, motivar, e ensinar sobre segurança de informação . Em diversas organizações de grande porte , geograficamente espalhadas os especialistas de segurança não podem ter nenhum contato direto com alguns dos usuários de computador e operadores, fazendo da tarefa até mesmo mais desafiadora.
E hoje no rumo acelerado do ambiente empresarial onde os usuários de informação e os especialistas de segurança de informação estão freqüentemente separados, nós temos de achar modos efetivos para enfatizar a necessidade por proteções adequadas e praticar métodos mais formais de levar a informação necessária para alcançar níveis de cuidados eficazes, providos de segurança para os empregados e administração.
Nós também precisamos fazer a segurança ser transparente, ou pelo menos “diafônico” (ou seja, com poucos constrangimentos), e equilibra-la com as metas da organização. Muitos estudos indicam que a maior mudança provocada pela computação distribuição é o reforma do departamento de segurança de informação em uma organização cujas atividades principais estão sendo escrever, publicar, treinar, e promover as normas de segurança. O trabalho técnico de segurança é primeiramente realizado na informática (TI) para depois partir aos departamentos e unidades empresariais de negócios.
Satisfazendo a padrões de cuidados básicos e evitando negligências, a força de segurança de informação e postura da organização inteira mediante ao quesito segurança de informações será medido pela reação e resposta à incidentes, se houver alguma unidade de negócio mais fraca quanto aos conhecimentos dos procedimentos de segurança ,se perdas materiais vierem a acontecer e na unidade mais fraca em segurança é onde perdas provavelmente acontecerão. Por exemplo, a filial do banco na Califórnia que deu a um hacker vagabundo de praia , um estilo de vida de milionário , pela responsabilidade exclusiva por operações de computador, trouxe vergonha e elevou dúvidas de clientes sobre o banco inteiro e todos suas filiais.
O departamento de segurança de informação tem que ajudar a elevar a consciência de segurança da organização inteira, criando motivação, e efetividade ao nível dessas partes da organização que satisfaz para um padrão de cuidado devido. Outra filial de banco, este na França, implementou uma proteção de aço volumosa que visava proteger o caixa e o computador dele no caso de uma tentativa de roubo armado. Porém, na área de clientes especiais possuía uma falha que dava passagem ao terminal de computador do caixa que estava continuamente ativo e este era usado para manutenções ao sistema.
Levaria pelo menos cinco anos no momento até estas organizações obtiverem taxas de progresso para trazer a segurança deles até um baseline de nível adequado sem avanços adicionais em tecnologia. É claro que, a tecnologia está correndo à frente a uma velocidade muito rápida
No panorama atual da informática, muito tem sido o esforço das empresas para atualizarem seus parques tecnológicos e estarem atualizados com as mais modernas armas no mercado de informática para obter vantagem competitiva.
É praticamente uma questão de sobrevivência às empresas estarem modernizadas e prontas para a guerra por clientes e produtos com preços mais competitivos.
Com isso, planos de segurança de informações é muito importante para todos os usuários de todas tecnologias, mas poucas são as empresas que realmente, tem determinado ao seu corpo empresarial a adoção de estratégias para efetuar suas tarefas diárias relacionadas direta ou indiretamente à informática.
Para que esse número pequeno de empresas que adotam estratégias de segurança ainda existe um problema que pouco é discutido: Política de segurança.
Dar direção à empresa sobre processos de segurança, é tarefa a ser desenvolvida no âmbito de decisão da alta gerência. Porém torna-se difícil e quando não, complicado ao corpo de diretores da empresa tratar de um assunto que baseia-se em avaliações que tratam de situações de perda de lucratividade ou mesmo de sobrevivência da companhia.
Para que um plano de segurança, possa alcançar êxito dentro de uma organização, é necessário que se tenha uma direção a seguir e focar as ações a serem efetivadas no plano de segurança a partir desta direção. Esta direção é chamada de Política de segurança.
Assinar:
Postagens (Atom)