Tenho observado que a maioria dos problemas de segurança da informação ocorrida em organizações está relacionada a um conjunto básico de falhas na implantação e desenvolvimento do processo de segurança da informação. Destaco as seguintes falhas mais comuns e mais graves em uma organização:
1. Não existência de uma estrutura de políticas, normas e procedimentos
Os regulamentos (políticas, normas e procedimentos) existem para explicitar como a organização deseja que o recurso informação deva ser tratado. Além do mais, como não temos legislação no Brasil em certos assuntos, por exemplo monitoramento de mensagem de correio eletrônico, a organização precisa dizer aos seus usuários com será tratado esta questão.2. A gestão do controle de acesso permite uma identificação para uso comum.
Eu ainda fico admirado, mas, ainda encontro em muitas organizações identificações que não são individuais e são utilizadas por um grupo de usuários. Não me refiro aqui às situações de exceção. São casos normais de acesso à informação. Com esse acesso comum é muito difícil identificar qual usuário fez determinado acesso.3. Não existência de gestor da informação.
Historicamente a área de tecnologia exercia a função de gestor da informação. Mas, mesmo nos anos iniciais da tecnologia da informação a área de informática deveria ser apenas um prestador de serviço, deveria ser o custodiante da informação. É fator crítico de sucesso para o processo de segurança da informação a existência do gestor da informação que deve ser a pessoa da área de negócio ou da área administrativa que á a responsável por aquela informação. É o gestor da informação que vai autorizar (ou negar) o acesso dos demais usuários da empresa àquela informação.4. Planos de continuidade que são apenas belos documentos.
Planos de continuidade de negócio ou planos para situações de contingência devem ser um processo vivo. Mas, muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenário.5. Registros de ações realizadas: não existem ou pouco tempo de guarda.
Registros para investigação (auditoria ou computação forense) precisam ter definidos sua existência e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado apenas um dia é muito pouco caso haja uma investigação sobre uma ação indevida nesta aplicação. Também é importante a existência do registro de tentativas de acesso e erros de identificação/senha.6. Cópias de segurança: definição da informática.
As cópias de segurança devem existir por razões de recuperação do ambiente de tecnologia, requisitos legais, aspectos históricos e exigências de auditoria. Apenas o primeiro caso é de responsabilidade da área de tecnologia. Requisitos legais e necessidade de guarda por questões históricas devem ser definidos pela área de negócio. Exigências de auditoria devem ser definidas pelas auditorias internas ou externas.7. Não existência de um gestor do processo de segurança.
A segurança da informação é uma responsabilidade de todos. Porém, um profissional deve ser responsável pela existência do processo de segurança da informação. Empresas de médio e grande porte podem ter um funcionário dedicado a esta função,evidentemente desde que ele tenha os pré requisitos para a mesma.8. Não existência de uma gestão de risco.
Quando não existe uma gestão de risco, as análises de risco e de ameaças são feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organização deve ter uma gestão de risco contínua.9. Não alinhamento da segurança com o negócio.
A segurança deve considerar as prioridades do negócio da organização. Mas lembro que as áreas de negócio e a direção da organização devem considerar a participação da segurança da informação em definições estratégicas. Evidentemente não falo aqui de situações de extremo segredo, como por exemplo, a junção de duas instituições financeiras.10. Usuário: pouco treinamento e conscientização.
A pessoa humana é o fator determinante para o sucesso ou fracasso do processo de segurança da informação em uma organização. Cada usuário precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que não pode fazer.Garanta que a sua organização não falha nestes dez itens citados. Se você conseguir isto com certeza sua organização terá um excelente nível de proteção da informação.
Fonte – Blog do Edison Fontes
Gostei muito das dicas de segurança. mas eu vou aproveitar o gancho para te pedir, “como eu faço para bloquear sites no ubuntu?”.
Por favor se souber manda para o meu e-mail.
[email protected]
Olá!
Sou Giovanna Carvalho da Edelman, agência de comunicação da Symantec, tudo bem?
Li o seu post e como percebi que você se interessa por segurança na Internet e proteção da informação gostaria de compartilhar alguns dados interessantes.
Um estudo lançado recentemente aponta que a atividade maliciosa cresceu em velocidade recorde no decorrer de 2008 e que cada vez mais o principal alvo dos crimonosos são as informações confidencias dos usuários de computador. Esse dado foi divulgado no Relatório Symantec sobre Ameaças de Segurança na Internet. O estudo, realizado no período de Janeiro a Dezembro de 2008, fornece um panorama global sobre como está a segurança na Internet.
Se você desejar mais dados sobre segurança na Web envie um e-mail para [email protected]
e eu terei prazer em trocar idéias com você!
Um abraço, Giovanna
Olá Giovanna,
Muito Obrigado.
Vou precisar muito dessas informações para incrementar minhas aulas.
Sds,
Alexandro
Prezados,
Atuo nesta área de Segurança da Informação e tenho constatado todos os itens da matéria. Parabenizo o autor!
Ótima Iniciativa
Ranieri Marinho de Souza
Segurança da Informação