Breve Metodologia geral para disseminação de Segurança da Informação
Nos próximos paragrafos, é esboçado uma metodologia sugerida para administrar segurança de informação indiretamente por gerentes de usuários de informação e TI , também pelos líderes ao longo da organização.
1.Forme um comitê com representantes da administração (de cúpula) das unidades da organização nas quais a maioria utiliza informática.
A aprovação do comitê também tenderá a manter o princípio de top-down na ordem de decisões de segurança de informação.
2.Crie consciência e motivação para segurança de informação
Uma boa idéia é amar a segurança ao desempenho de trabalho, informando aos usuários das informações contidas em sistemas computacionais sobre as ameaças e vulnerabilidadse, e fazendo disponível a eles soluções de proteção válidas para fins particulares e controles para evitar negligência.
Faça das questões de segurança uma parte de descrições de cargo e inclua como uma exigência em salário e avaliações de desempenho junto com descrição de recompensas e penalidades. (Os gerentes precisam de treinamento e motivação para administrar tais avaliações.)
Indique a necessidade para evitar negligência satisfazendo a um padrão de cuidados devidamente relativos para outras organizações semelhantes como competidores e dentro da organização entre unidades semelhantes. Tenha certeza que a organização trata a negligência seriamente.
Ilustre as conseqüências à organização de fracassos de segurança por estudos de caso de perdas.
Demonstre a efetividade e facilidade de uso de muitos dos controles de segurança que podem ajudar evitam e reduzem perda.
3.Se a organização for grande divida a tarefa. Designe os multiplicadores de segurança de informação distribuídos em unidades de usuário locais e filiais .
Os multiplicadores podem ser responsáveis em:
- Orientar administradores de sistemas internos e Internet .
- Deverão fazer uso de controles de defesas (alertas, monitoramento, etc).
- Disseminar o uso correto de senhas
- Inicializar e monitorar controles físicos e de sistemas como práticas de mesas limpas e bases de sistemas criticos à suas unidades .
- Elaborar relatório de eventos incomuns e perdas para administração.
- Submeter pedidos de exceção de padrões (modificação de normas e controles para aderência ao negócio)
- Prover guias de segurança (manuais, material promocional)
- Treinar aos usuários quanto a questões de Segurança da Informação
- Distribuir os procedimentos para segurança da unidade de segurança de informação central
Creio que a forma de maior sucesso para disseminação da cultura de Segurança da Informação seja constantes campanhas promocionais na organização procurando motivar os usuários a aderirem as práticas de segurança e assim reduzir a exposição a riscos do elo mais fraco de qualquer sistema ou infra-estrutura de sistemas computacionais: o usuário.
Em minha prática, também de dizer não a qualquer solicitação de uso ou práticas que possam criar riscos aos ativos de informação da organização, é recomendável compartilhar e demonstrar os riscos envolvidos no uso incorreto daquele ativo. Geralmente os usuários ao entender os riscos, acabam concordando em manter os controles e práticas para proteger aquele ativo de informação.
Nenhum comentário:
Postar um comentário