Avaliação do Risco - Parte 1

Como  um gerente de segurança está assegurado que os ativos da companhia estão sendo protegido? 

Se são precisas melhorias, como  determinar quais porções do que é necessária para o para modificar o sistema de segurança, ou se o mais recente controle de acesso sensor tecnologia é necessária? 

Uma avaliação de risco pode responder estas perguntas e pode promover um desenvolvimento estruturado de modificações de sistema de segurança. Se corretamente aplicado, uma avaliação de risco, melhora e alinha o apoio da administração sênior por encarecimentos sistemáticos de segurança . Isso permite a uma companhia a aplicar recursos de segurança da maneira mais custo-efetiva para a área de segurança, com o melhor aproveitamento da relação custo-benefício. 

Quando uma companhia decide que este tipo de análise de risco está garantindo, o gerenciamento do projeto, tipicamente o diretor ou responsável  da segurança, deveria desenvolver um plano  identificando:  

-         tarefas principais;

-         marcos ou objetivos ;

-         e    recursos.  

O processo para cada companhia pode variar de acordo com as preocupações de operações, mas toda análise de risco deveria começar com a formação de comitê de avaliação, e seu componente principal deveria ser uma análise de vulnerabilidade, exposição desta vulnerabilidade, medidas de proteção e aceitação ou não dos riscos.  

Política de Segurança - Parte 20

Os principais benefícios de uma boa política de segurança

Após a adoção de uma metodologia para a criação da política de segurança e a sua devida implementação, a organização tende a se tornar mais segura a cada revisionamento da política.

É importante que se tenha como prioridades na implementação de política de segurança, como objetivo principal a proteção de ativos de informação da organização. Sem isto, não é possível implantar tamanha mudança cultural dentro da organização.

Com a implantação correta, distribuída a todas as ramificações da empresa, é possível que o plano de segurança seja passível de alcançar sucesso.

Conclusão

 

Conforme visto em todas as metodologias de criação e manutenção de politica de segurança,  é possível que as organizações tenham isto, como base para o sucesso do plano de segurança.

O ponto principal durante a criação e revisão de politicas de segurança, é a questão da mudança cultural de uma organização. Não terá pleno sucesso, metodologias que façam com que os usuários finais, tenham  que aceitar  (muitas vezes “goela  abaixo”) mudanças em suas formas de trabalho e rotinas diárias.

Por mais, que se fale a respeito, durante o plano de conscientização, que as pessoas estarão recebendo novas maneiras de se trabalhar a informação, a resistência (dependendo do metodo empregado para o plano de conscientização) irá ser grande, pois as pessoas não aceitam facilmente novas formas de controle.

Todas as pessoas, gostam de liberdade. Porém toda liberdade tem seu limite, e um dos principais papéis da política de segurança, é delimitar as fronteiras de tais liberdades, quando no ambiente operacional, principalmente de computação distribuida.

Com isso, podemos verificar a importância de toda a concepção até a implantação definitiva da politica de segurança.

Política de Segurança - Parte 19

Exceções para exigências de segurança de informação 

Organizações devem ter uma política de exceção de segurança, até mesmo se as exceções são limitadas a condições extremas ou situações de emergência. Até mesmo a segurança básica controla, como deve ser a autenticação de usuários, deveria estar sujeito a exceção , por exemplo, preservar o  anonimato ou segregação de deveres. O dono de informação e pelo menos um nível de administração sobre o dono deveria ser juntamente responsável para autorizar qualquer exceção. Tal autorização pode ser estendida a níveis mais altos para exceções significantes. O dono de informação deveria ser responsável para informar os , provedores de serviço, e usuários da informação, como também a unidade de segurança de informação, sobre as exceções. A auditoria e unidades legais podem desempenhar bons papéis no processo. 

Um exemplo de uma forma de exceção inclui os tópicos seguintes: método alternativo a ser usado, controle de dial-up  para um microcomputador não conectado a uma rede, comunicação controlada, controle de comunicação de informação sensível sem criptografar , e uma categoria  para exceções adicionais. Esta lista demonstra a gama larga de exceções que uma organização pode precisar cobrir, e demonstra a ênfase em assuntos  particulares que freqüentemente podem surgir. A categoria de situações de coberturas de um padrão de proteção específico não pode ser totalmente ou parcialmente  ignorado sem uma substituta alternativa.