Guias por Implementar Padrões - parte 2
Algumas organizações distribuem os documentos eletronicamente, mas
muitos usuários as imprimem antes de ler de qualquer maneira porque eles não gostam de ler texto de telas. Isto ainda faz das diretrizes de papel impresso a forma mais popular. Diretrizes também incluem métodos por alcançar segurança como baseline, revisões , teste de segurança de sistemas , e como usar planos de recuperação empresariais. Alguns guias são tamanho formato manual impresso; outros estão em brochura ou em forma de panfleto. Organizações deveriam os distribuir com a assinatura de algum executivo para expressar ainda um pouco de autoridade e uma mensagem sobre o uso deles/delas em um memorando de cobertura ou carta.
Um exemplo é Diretrizes para Systems de UNIX :Usando as praticas de ferramentas de Segurança Unix do site Unix Security entre outros Métodos. Trata da plataforma de UNIX genérica mas descreve o uso de uma ferramenta de segurança comercial específica. O nome do autor especificamente é identificado, enquanto permitindo para os leitores voltar para a fonte para ajuda adicional. Foi escrito para os administradores de sistemas e administradores de segurança de computador e sistemas UNIX dentro de uma unidade empresarial, ele reconhece mas não tolerara a prática de prover estas duas posições com a mesma pessoa. As referências do autor , os padrões aplicáveis no material de prefácio claramente indica que este documento completa, em lugar de substituir, esses padrões. O autor inclui várias seções dos padrões primários ao término das Diretrizes documenta, endereços , os tópicos de administração, integridade de sistema geral e controle da segurança de rede ,14 padrões de segurança, e workstation e padrões de LAN.
Práticas do SANS Instutue também é outro bom exemplo. O documento aplica a qualquer uma organização que patrocinou as Diretrizes. O documento discute vulnerabilidade de segurança prováveis de acordo com a filosofia expressada por aquela administração de forma que o leitor irá entender as ramificações de várias exposições de segurança. O documento define a terminologia que usa. Por exemplo, deve-se pretender implementar imediatamente; deve-se pretender seguir a ação indicada a menos que haja uma razão significante para fazer caso contrário; e designa meios que um artigo de controle ou prática pode ser opcionalmente usados para aumentam adicionalmente a segurança de sistema. Também inclui seções em terminologia de segurança, responsabilidades de pessoal, segurança física de LANs, auditoria e recuperação de desastre. O Apêndice inclui um checklist de conferencia de avaliação, amostra de tela de advertência , declaração de confidência, e há um índice.
quarta-feira, 13 de julho de 2011
Política de Segurança - Parte 13
Guias por Implementar Padrões - parte 1
Especialistas de segurança de informação precisam descrever controles de modos uniformes. Os padrões, ou menos comumente, as diretrizes, também deveria prover ajuda para selecionar, enquanto implementando, controles operacionais. Muitos padrões descrevem proteções mas não definem as características ou ressaltar quais que eles deveriam ter. Em um ambiente de computação distribuído, é crucial dar as pessoas que são freqüentemente sem experiência em segurança, orientação em o que constitui uma boa proteção, e explicar como instalar e opera-la.
DIRETRIZES (Guidelines) E APOIO TÉCNICO
Existem muitos tipos de diretrizes, incluindo algumas que são técnicas e especificas para plataformas, que tratam do gerenciamento e metodologias próprias. Algumas organizações confundem os assuntos usando o intercambio entre diretrizes ,com políticas e padrões dentro do mesmo documento.
Um dos papéis primários do administrador de segurança de informação é escrever o material necessário para comunicar segurança aos usuários de computação distribuídos. Mas desde que eles não podem ficar suficientemente especialistas provavelmente nem tudo dos assuntos técnicos sejam necessários, outros peritos têm que desenvolver as partes técnicas do material para diretrizes de segurança. Os documentos deveriam possuir integridade e autenticidade, ser auto-explicativo, útil, e não inibidor . Eles podem ser escritos em modo de um só tempo para uso on-line, como encorajado pela administração de boa base de conhecimento.
Uma companhia cria grupos de tarefa de peritos para escrever drafts de diretrizes .O pessoal de segurança de informação central os converte então em padrão, de forma editada. Os editores profissionais não são usados, mas um departamento de publicações faz a maquilagem e imprimindo. Diretrizes compartilhanda entre toda a organização são freqüentemente muito benéficas a todas as partes porque muitas diretrizes são orientadas a sistemas em particular (políticas descentralizadas) em lugar de aplicações específicas; embora muitas diretrizes são para plataforma dependentes, elas não possuem organização dependentes. Formas eletrônicas de diretrizes os fazem mais fácil de compartilhar e modificar, até mesmo quando elas são dependentes de outras áreas para sua aplicabilidade. Vendedores também podem prover diretrizes que, em alguns casos, é desenvolvido em cooperação com os clientes deles/delas.
Especialistas de segurança de informação precisam descrever controles de modos uniformes. Os padrões, ou menos comumente, as diretrizes, também deveria prover ajuda para selecionar, enquanto implementando, controles operacionais. Muitos padrões descrevem proteções mas não definem as características ou ressaltar quais que eles deveriam ter. Em um ambiente de computação distribuído, é crucial dar as pessoas que são freqüentemente sem experiência em segurança, orientação em o que constitui uma boa proteção, e explicar como instalar e opera-la.
DIRETRIZES (Guidelines) E APOIO TÉCNICO
Existem muitos tipos de diretrizes, incluindo algumas que são técnicas e especificas para plataformas, que tratam do gerenciamento e metodologias próprias. Algumas organizações confundem os assuntos usando o intercambio entre diretrizes ,com políticas e padrões dentro do mesmo documento.
Um dos papéis primários do administrador de segurança de informação é escrever o material necessário para comunicar segurança aos usuários de computação distribuídos. Mas desde que eles não podem ficar suficientemente especialistas provavelmente nem tudo dos assuntos técnicos sejam necessários, outros peritos têm que desenvolver as partes técnicas do material para diretrizes de segurança. Os documentos deveriam possuir integridade e autenticidade, ser auto-explicativo, útil, e não inibidor . Eles podem ser escritos em modo de um só tempo para uso on-line, como encorajado pela administração de boa base de conhecimento.
Uma companhia cria grupos de tarefa de peritos para escrever drafts de diretrizes .O pessoal de segurança de informação central os converte então em padrão, de forma editada. Os editores profissionais não são usados, mas um departamento de publicações faz a maquilagem e imprimindo. Diretrizes compartilhanda entre toda a organização são freqüentemente muito benéficas a todas as partes porque muitas diretrizes são orientadas a sistemas em particular (políticas descentralizadas) em lugar de aplicações específicas; embora muitas diretrizes são para plataforma dependentes, elas não possuem organização dependentes. Formas eletrônicas de diretrizes os fazem mais fácil de compartilhar e modificar, até mesmo quando elas são dependentes de outras áreas para sua aplicabilidade. Vendedores também podem prover diretrizes que, em alguns casos, é desenvolvido em cooperação com os clientes deles/delas.
terça-feira, 12 de julho de 2011
Política de Segurança - Parte 12
Ainda sobre exemplos de Padrões
Padrões variam amplamente entre organizações, enquanto demonstrando a diversidade de culturas corporativas e o uso de suas terminologias. Muitos dos padrões não são consistentes com respeito a políticas descritivas ou obrigatórias.
Um NIST ou padrão industrial é um exemplo, enquanto o Information Security Code of Practice for Information Security Management é um outro exemplo
Uma grande corporação industrial multinacional divide seu Guidebook em duas seções: um em Avaliação de Risco que requer 200 páginas; e um em Políticas de Segurança, Padrões, e Guidelines que levam outras 100 páginas. O Guidebook também inclui vários formulário de auto avaliação , alguma cobertura de vulnerabilidade de engenharia social, e em na segunda seção uma discussão útil de lei norte-americana inclusive o Ato de Segurança de Computador de 1987 e resumos de outras leis pertinentes.
Políticas, guias, e padrões não são distinguívéis no Guidebook com exceção de pistas de execução implícitas em palavra uso como deva, esteja seguro para, impor graus de imperativos. O estilo é uma mistura de texto de bulleted formal e prosa informal que atraem a usuários. O documento provê conselho e instruções como Como Informar um Incidente na descrição da unidade de CERT interna. Também provê nomes, números de telefone, e locais de escritório de administradores de segurança que requerem serem atualizados freqüentemente.
Padrões variam amplamente entre organizações, enquanto demonstrando a diversidade de culturas corporativas e o uso de suas terminologias. Muitos dos padrões não são consistentes com respeito a políticas descritivas ou obrigatórias.
Um NIST ou padrão industrial é um exemplo, enquanto o Information Security Code of Practice for Information Security Management é um outro exemplo
Uma grande corporação industrial multinacional divide seu Guidebook em duas seções: um em Avaliação de Risco que requer 200 páginas; e um em Políticas de Segurança, Padrões, e Guidelines que levam outras 100 páginas. O Guidebook também inclui vários formulário de auto avaliação , alguma cobertura de vulnerabilidade de engenharia social, e em na segunda seção uma discussão útil de lei norte-americana inclusive o Ato de Segurança de Computador de 1987 e resumos de outras leis pertinentes.
Políticas, guias, e padrões não são distinguívéis no Guidebook com exceção de pistas de execução implícitas em palavra uso como deva, esteja seguro para, impor graus de imperativos. O estilo é uma mistura de texto de bulleted formal e prosa informal que atraem a usuários. O documento provê conselho e instruções como Como Informar um Incidente na descrição da unidade de CERT interna. Também provê nomes, números de telefone, e locais de escritório de administradores de segurança que requerem serem atualizados freqüentemente.
Política de Segurança - Parte 11
Alguns exemplos de Padrões e informações distribuida
Uma boa prática na organização e operação prática da política de Segurança é a utilização de padrões ou standards para operações de TI e de práticas operacionais nas organizações
Esta seção discute só padrões internos, esses que só se aplicam dentro de uma organização e entre suas unidades empresariais. Padrões externos têm freqüentemente um longo tempo para adoção e até serem reconhecidos ou incorporados em padrões internos como apropriado.
Padrões de segurança de informação internos são controles obrigatórios e práticas aplicadas pela organização à extensão que divergências requerem aprovação de administração explícita. Algumas unidades empresariais podem ser tão incomuns ou distintas nas atividades de processamento de informação deles que a necessidade deles requerem por padrões de segurança especializados, mas estas deveriam ser exigências de padronização.
Em um ambiente de computação distribuído, as unidades funcionais podem revisar e aprovar padrões estabelecidos por uma unidade central para aplicabilidade e praticidade , desde que não é possível estar atento de todas as implicações fora das unidades funcionais. Algumas unidades têm uma central de atendimento (lidando com clientes) e um escritório por trás (lidando com o processar da informação do cliente e administração da unidade). Um escritório de corretagem de seguranças local é um exemplo típico. Eu consideraria que estes são duas unidades separadas para propósitos de segurança, por causa da necessidade para segregação de deveres e teor diferente dos padrões para os carregar a tipos diferentes das pessoas (por exemplo, investigadores, vendedores, pessoas de serviço gerais , e as pessoas de escritório).
Enquanto uma política puder ser única em uma ou duas páginas em comprimento, um documento de padrões interno pode variar de dez a mais de 100 páginas, enquanto dependendo de sua extensão e detalhes. Comprimento também depende de quanto você pretende comunicar na forma de diretrizes que apóiam os padrões. (Diretrizes são consideradas descritivas em lugar de obrigatório).
Algumas organizações, por longa prática ou tradição, não seguem estas definições. Uma organização pode fazer suas diretrizes obrigatória, enquanto outra faz seu descritiva de padrões.
Por exemplo, o Departamento de REINO UNIDO de Comércio e Indústria nomeou suas diretrizes publicadas que representam as opiniões de coletivo de nove organizações de melhores práticas " UM Código de Prática para Administração " de Segurança de Informação. Não é um código por qualquer definição correta de código. O Código é agora um padrão britânico que é desciritivo [em lugar de obrigatório, qual código insinua] e não obrigou através de lei. No final das contas, considerando a facilidade e frequentemente de comunicar informação internacionalmente através das novas mídias, será de grande benefício se as organizações estiverem mais íntimas com estes significados. Os Princípios de Segurança de Sistemas Geralmente Aceitados independentemente patrocinados (GASSP) é um passo principal nesta direção.)
Nota:GASSP é a sigla de Generally Accepted Systems Principles ,muito usada no Reino Unido – Inglaterra.
Uma boa prática na organização e operação prática da política de Segurança é a utilização de padrões ou standards para operações de TI e de práticas operacionais nas organizações
Esta seção discute só padrões internos, esses que só se aplicam dentro de uma organização e entre suas unidades empresariais. Padrões externos têm freqüentemente um longo tempo para adoção e até serem reconhecidos ou incorporados em padrões internos como apropriado.
Padrões de segurança de informação internos são controles obrigatórios e práticas aplicadas pela organização à extensão que divergências requerem aprovação de administração explícita. Algumas unidades empresariais podem ser tão incomuns ou distintas nas atividades de processamento de informação deles que a necessidade deles requerem por padrões de segurança especializados, mas estas deveriam ser exigências de padronização.
Em um ambiente de computação distribuído, as unidades funcionais podem revisar e aprovar padrões estabelecidos por uma unidade central para aplicabilidade e praticidade , desde que não é possível estar atento de todas as implicações fora das unidades funcionais. Algumas unidades têm uma central de atendimento (lidando com clientes) e um escritório por trás (lidando com o processar da informação do cliente e administração da unidade). Um escritório de corretagem de seguranças local é um exemplo típico. Eu consideraria que estes são duas unidades separadas para propósitos de segurança, por causa da necessidade para segregação de deveres e teor diferente dos padrões para os carregar a tipos diferentes das pessoas (por exemplo, investigadores, vendedores, pessoas de serviço gerais , e as pessoas de escritório).
Enquanto uma política puder ser única em uma ou duas páginas em comprimento, um documento de padrões interno pode variar de dez a mais de 100 páginas, enquanto dependendo de sua extensão e detalhes. Comprimento também depende de quanto você pretende comunicar na forma de diretrizes que apóiam os padrões. (Diretrizes são consideradas descritivas em lugar de obrigatório).
Algumas organizações, por longa prática ou tradição, não seguem estas definições. Uma organização pode fazer suas diretrizes obrigatória, enquanto outra faz seu descritiva de padrões.
Por exemplo, o Departamento de REINO UNIDO de Comércio e Indústria nomeou suas diretrizes publicadas que representam as opiniões de coletivo de nove organizações de melhores práticas " UM Código de Prática para Administração " de Segurança de Informação. Não é um código por qualquer definição correta de código. O Código é agora um padrão britânico que é desciritivo [em lugar de obrigatório, qual código insinua] e não obrigou através de lei. No final das contas, considerando a facilidade e frequentemente de comunicar informação internacionalmente através das novas mídias, será de grande benefício se as organizações estiverem mais íntimas com estes significados. Os Princípios de Segurança de Sistemas Geralmente Aceitados independentemente patrocinados (GASSP) é um passo principal nesta direção.)
Nota:GASSP é a sigla de Generally Accepted Systems Principles ,muito usada no Reino Unido – Inglaterra.
segunda-feira, 11 de julho de 2011
Política de Segurança - Parte 10
A Política de Segurança da Informação e a Cultura das Organizações
Política também é importante em ambientes de computação distribuídos como meios de estabelecer disciplina de segurança para um grupo grande, discrepante de usuários e unidades de negócio que geralmente são localizados só por comunicações formais e auditoria. É particularmente importante quando a organização possui contratos com pessoal temporário pesadamente.
A Política deveria aderir às práticas aceitadas de uma organização, contudo tirando proveito de todos os métodos práticos por influenciar o comportamento e disseminar informação dentro do ambiente de computação distribuído.
Pode-se desejar incluir um código de ética como parte da política ou recorrer a um código separado na política. É recomendável um código separado que acompanha a política em todo caso, a política deveria especificar um código e sua execução .
Política de Segurança - Parte 9
Checklist de Tópicos para Política de segurança da Informação
Uma política de segurança de informação deveria cobrir cada dos artigos seguintes, ou tendo uma razão específica por omitir isto, de acordo com noções de padrões adotados pela organização .
• Importância de ativos .
• Necessidade para segurança (Diretrizes Legais nos Princípios de Segurança de Informação podem ser úteis – Exemplo ISO 27001).
• Leis administrativas e regulamentos .
• Aderência para leis, regulamentos, padrões industriais, e padrões de cuidado devido .
• Aplicabilidade para todo o corpo pessoal e terceiros contratados.
• Elementos , funções, e escopo de segurança .
• Tipos, representações, formas, e mídia de informação coberta.
• Perdas definidas.
• Valor Estratégico e tático de segurança .
• Classificação de informação .
• Privacidade (as Diretrizes de Privacidade podem ser úteis)
• Responsabilidade, motivação, recompensas e penalidades
• Relatórios de perdas suspeitadas e tentativas de violações.
• Resposta a emergência, recuperação de desastre, e continuidade empresarial
• Gerenciamento da segurança e sua equipe.
• Tarefa de implementação de segurança
• Especificação de padrões, diretrizes, treinamento, e consciência
• Divergências , exceções, e mudanças para políticas e padrões
• Especificação execução de comportamento ético
Também deveria incluir um glossário, um apêndice que contém requisitos legais documentado, e opcionalmente uma lista de objetivos de controle:
• Administração de segurança
• Segregação
• Exceções de padrões
• Segurança física
• Controles administrativos e operacionais
• Monitorando, usando softwares de controles lógicos
• Identificação e autenticação
• Trilhas de auditoria, diagnósticos, e relatórios de violações
• Disponibilidade de informação e utilidade
• Integridade de informação e autenticidade
• Informação Confidencial e posse
• Registro de software comercial
• Desenvolvimento de aplicação
• Uso de teste dados
• Controles internos de aplicação
• Transações
• Uso da Internet
• Operação de redes e características de administração de sistemas de segurança
• Segurança de rede
• Servidor de arquios, firewall, router, switch, bridge, hub , modem, linhas de comunicações, e controles de gateways
• Comunicações
• Status
• Sinais de advertências
• Dial-up
• Planejamento e teste de reassunção empresarial
• Segurança pessoal
• Desenvolvimento e aquisição de segurança
• Cliente, contratante e segurança de outsourcing
• Avaliação e teste de produtos
• Revisões de segurança
Uma política de segurança de informação deveria cobrir cada dos artigos seguintes, ou tendo uma razão específica por omitir isto, de acordo com noções de padrões adotados pela organização .
• Importância de ativos .
• Necessidade para segurança (Diretrizes Legais nos Princípios de Segurança de Informação podem ser úteis – Exemplo ISO 27001).
• Leis administrativas e regulamentos .
• Aderência para leis, regulamentos, padrões industriais, e padrões de cuidado devido .
• Aplicabilidade para todo o corpo pessoal e terceiros contratados.
• Elementos , funções, e escopo de segurança .
• Tipos, representações, formas, e mídia de informação coberta.
• Perdas definidas.
• Valor Estratégico e tático de segurança .
• Classificação de informação .
• Privacidade (as Diretrizes de Privacidade podem ser úteis)
• Responsabilidade, motivação, recompensas e penalidades
• Relatórios de perdas suspeitadas e tentativas de violações.
• Resposta a emergência, recuperação de desastre, e continuidade empresarial
• Gerenciamento da segurança e sua equipe.
• Tarefa de implementação de segurança
• Especificação de padrões, diretrizes, treinamento, e consciência
• Divergências , exceções, e mudanças para políticas e padrões
• Especificação execução de comportamento ético
Também deveria incluir um glossário, um apêndice que contém requisitos legais documentado, e opcionalmente uma lista de objetivos de controle:
• Administração de segurança
• Segregação
• Exceções de padrões
• Segurança física
• Controles administrativos e operacionais
• Monitorando, usando softwares de controles lógicos
• Identificação e autenticação
• Trilhas de auditoria, diagnósticos, e relatórios de violações
• Disponibilidade de informação e utilidade
• Integridade de informação e autenticidade
• Informação Confidencial e posse
• Registro de software comercial
• Desenvolvimento de aplicação
• Uso de teste dados
• Controles internos de aplicação
• Transações
• Uso da Internet
• Operação de redes e características de administração de sistemas de segurança
• Segurança de rede
• Servidor de arquios, firewall, router, switch, bridge, hub , modem, linhas de comunicações, e controles de gateways
• Comunicações
• Status
• Sinais de advertências
• Dial-up
• Planejamento e teste de reassunção empresarial
• Segurança pessoal
• Desenvolvimento e aquisição de segurança
• Cliente, contratante e segurança de outsourcing
• Avaliação e teste de produtos
• Revisões de segurança
domingo, 10 de julho de 2011
Política de Segurança - Parte 8
Importância de Política
Políticas são significativamente mais importantes em um ambiente de computação distribuído que um ambiente centralizado por causa do desafio aumentado de constranger atividade de um local remoto. Tais políticas também devem estar completas e claramente têm que declarar tais medidas são para reduzir o quanto estar seguro é importante para a organização e que tal mensagem seja por eles são compreendida.
Políticas deveriam incluir descrições gerais e responsabilidade para unidades empresariais e funções em lugar de os nomes de indivíduos, de forma que eles podem transcender mudanças organizacionais, e deveria ser limitado a conceitos gerais em lugar de controles específicos (se você tem que incluir controles particulares). Por exemplo, uma política declara que:
“Cada usuário de computador deve ser autenticado por um método aceitável” em lugar de o mais específico.
“Cada usuário de computador deve ser autenticado por uma senha de seis-caráter” não precisa ser mudado quando símbolos substituíres senhas
Políticas são significativamente mais importantes em um ambiente de computação distribuído que um ambiente centralizado por causa do desafio aumentado de constranger atividade de um local remoto. Tais políticas também devem estar completas e claramente têm que declarar tais medidas são para reduzir o quanto estar seguro é importante para a organização e que tal mensagem seja por eles são compreendida.
Políticas deveriam incluir descrições gerais e responsabilidade para unidades empresariais e funções em lugar de os nomes de indivíduos, de forma que eles podem transcender mudanças organizacionais, e deveria ser limitado a conceitos gerais em lugar de controles específicos (se você tem que incluir controles particulares). Por exemplo, uma política declara que:
“Cada usuário de computador deve ser autenticado por um método aceitável” em lugar de o mais específico.
“Cada usuário de computador deve ser autenticado por uma senha de seis-caráter” não precisa ser mudado quando símbolos substituíres senhas
sábado, 9 de julho de 2011
Política de Segurança - Parte 7
Tipos de politicas
Estabelecer políticas de segurança é muito mais um assunto cultural, do que propriamente criar normas e padrões a serem seguidos. Apoio de administração, teor, e distribuição dependem de história, experiência de perda, tipo de negócio, filosofias pessoais de administração de cúpula, políticas prévias, e outros fatores na organização.
Se a cultura apoiar políticas escritas específicas em vários assuntos como TI, vários serviços internos e éticas, então é provável que uma política escrita de segurança de informação existirá. Algumas organizações têm uma política de não ter escrito políticas.
Se uma organização tem uma política escrita e distribui isto ao longo da organização, deveria ser obrigatório seu conhecimento e deveria refletir as exigências de administração de cúpula para comportamento organizacional. Quando políticas são escritas, há um nível suficientemente alto de abstração, elas não precisam ser tão rígidas que não possam sofrer alterações com o decorrer dos negócios. Na verdade, no ritmo em que andam as grandes organzações (com fusões, vendas de unidades, novos produtos e mercados) a política de segurança, deve acompanhar as mudanças nos negócios.
Quando são escritas políticas ao nível mais alto de abstração, elas geralmente são compostas só de alguns páginas menos que cinco. Algumas organizações incluem exigências operacionais na forma de objetivos de controle com as declarações de política deles. Outros combinam breve, declarações de política de alto-nível com padrões mais detalhados, criando um documento que contém políticas e padrões. Este tipo de documento pode criar problemas, porém, se quiser mostrar para qualquer um suas políticas e, fazendo assim, também tem que revelar vice-versa sua padronização. É prática geralmente boa para separar política de alto-nível de padrões específicos .
Políticas operacionais são tipicamente mais longas que declarações de política de alto-nível; algumas organizações recorrem a estes como documentos de padrões. O principal executivo da organização é quem normalmente assina tal documento para dar a isto a própria autoridade. Algumas organizações publicam isto em um panfleto e incluem um quadro do CEO ou presidente e cita uma mensagem pessoal deste indivíduo.
Estabelecer políticas de segurança é muito mais um assunto cultural, do que propriamente criar normas e padrões a serem seguidos. Apoio de administração, teor, e distribuição dependem de história, experiência de perda, tipo de negócio, filosofias pessoais de administração de cúpula, políticas prévias, e outros fatores na organização.
Se a cultura apoiar políticas escritas específicas em vários assuntos como TI, vários serviços internos e éticas, então é provável que uma política escrita de segurança de informação existirá. Algumas organizações têm uma política de não ter escrito políticas.
Se uma organização tem uma política escrita e distribui isto ao longo da organização, deveria ser obrigatório seu conhecimento e deveria refletir as exigências de administração de cúpula para comportamento organizacional. Quando políticas são escritas, há um nível suficientemente alto de abstração, elas não precisam ser tão rígidas que não possam sofrer alterações com o decorrer dos negócios. Na verdade, no ritmo em que andam as grandes organzações (com fusões, vendas de unidades, novos produtos e mercados) a política de segurança, deve acompanhar as mudanças nos negócios.
Quando são escritas políticas ao nível mais alto de abstração, elas geralmente são compostas só de alguns páginas menos que cinco. Algumas organizações incluem exigências operacionais na forma de objetivos de controle com as declarações de política deles. Outros combinam breve, declarações de política de alto-nível com padrões mais detalhados, criando um documento que contém políticas e padrões. Este tipo de documento pode criar problemas, porém, se quiser mostrar para qualquer um suas políticas e, fazendo assim, também tem que revelar vice-versa sua padronização. É prática geralmente boa para separar política de alto-nível de padrões específicos .
Políticas operacionais são tipicamente mais longas que declarações de política de alto-nível; algumas organizações recorrem a estes como documentos de padrões. O principal executivo da organização é quem normalmente assina tal documento para dar a isto a própria autoridade. Algumas organizações publicam isto em um panfleto e incluem um quadro do CEO ou presidente e cita uma mensagem pessoal deste indivíduo.
Política de Segurança - Parte 6
Política de segurança - Responsabilidades de redação
O pessoal de segurança de informação deveria escrever as políticas e padrões e passar para aprovação da alta gerência e após, submeter ao departamento de TI para implementações debaixo da direção do pessoal de segurança de informação e este deveria ser responsável para traçar políticas apropriadas e atualizações de política.
Como uma alternativa, algumas organizações nomeiam a responsabilidade a um grupo de tarefa debaixo dos patrocínios de um comitê de administração; este é um arranjo comum quando as políticas estão sendo escritas ou atualizadas junto com uma reorganização ou reengenharia mais drástica da unidade de segurança de informação.
Geralmente não é uma idéia boa delegar a criação da política que a consultores externos, pois desde o estilo e forma das políticas deveria ser consistente, coexistente com a organização e deveria refletir a cultura da organização.
Antes de traçar novas políticas, pode-se achar útil revisar as políticas de outras organizações semelhantes e os usa como modelos para seu próprio.
O pessoal de segurança de informação deveria escrever as políticas e padrões e passar para aprovação da alta gerência e após, submeter ao departamento de TI para implementações debaixo da direção do pessoal de segurança de informação e este deveria ser responsável para traçar políticas apropriadas e atualizações de política.
Como uma alternativa, algumas organizações nomeiam a responsabilidade a um grupo de tarefa debaixo dos patrocínios de um comitê de administração; este é um arranjo comum quando as políticas estão sendo escritas ou atualizadas junto com uma reorganização ou reengenharia mais drástica da unidade de segurança de informação.
Geralmente não é uma idéia boa delegar a criação da política que a consultores externos, pois desde o estilo e forma das políticas deveria ser consistente, coexistente com a organização e deveria refletir a cultura da organização.
Antes de traçar novas políticas, pode-se achar útil revisar as políticas de outras organizações semelhantes e os usa como modelos para seu próprio.
Assinar:
Postagens (Atom)