Dez falhas em Segurança da Informação

9 de maio de 2016
Compartilhe

Edison Fontes*

Tenho observado que a maioria dos problemas de Segurança da Informação presentes nas organizações estão relacionados a um conjunto básico de falhas em seu processo de implantação e desenvolvimento. Destaco as falhas mais comuns e mais graves em uma organização:

  1. Inexistência de uma estrutura de políticas, normas e procedimentos.
    Os regulamentos (políticas, normas e procedimentos) existem para explicitar como a organização deseja que o recurso de informação deva ser tratado. Além do mais, como não temos legislação no Brasil para certos assuntos – por exemplo, o monitoramento de mensagens de correio eletrônico –, a organização precisa dizer aos seus usuários como será tratada esta questão.
  2. A gestão do controle de acesso permite uma identificação para uso comum.
    Eu fico admirado, mas em muitas organizações ainda encontro identificações que não são individuais e são utilizadas por um grupo de usuários. Não me refiro aqui às situações de exceção. São casos normais de acesso à informação. Com esse acesso comum é muito difícil identificar qual usuário fez determinado acesso.
  3. Inexistência de gestor da informação.
    Historicamente, a área de tecnologia exercia a função de gestora da informação. Mas, mesmo nos anos iniciais da Tecnologia da Informação, a área de informática deveria ser apenas uma prestadora de serviço. É fator crítico de sucesso para o processo de Segurança da Informação a existência do gestor da informação, que deve ser a pessoa da área de negócio ou da área administrativa responsável por aquela informação. É o gestor da informação que vai autorizar (ou negar) o acesso dos demais usuários da empresa àquela informação.
  4. Planos de continuidade que são apenas belos documentos.
    Planos de continuidade de negócio ou planos para situações de contingência devem ser um processo vivo. Mas muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenário.
  5. Registros de ações realizadas inexistentes ou com pouco tempo de guarda.
    Registros para investigação (auditoria ou computação forense) precisam ter definidos sua existência e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado por apenas um dia é ineficaz caso haja investigações sobre uma ação indevida nesta aplicação. Também é importante a existência do registro de tentativas de acesso e erros de identificação/senha.
  6. Cópias de segurança: definição da informática.
    As cópias de segurança devem existir por razões de recuperação do ambiente de tecnologia, requisitos legais, aspectos históricos e exigências de auditoria. Apenas o primeiro caso é de responsabilidade da área de tecnologia. Requisitos legais e necessidade de guarda por questões históricas devem ser definidos pela área de negócio. Exigências de auditoria devem ser definidas pelas auditorias internas ou externas.
  7. Inexistência de um gestor do processo de segurança.
    A Segurança da Informação é uma responsabilidade de todos. Porém, deve haver um responsável pela existência deste processo. Empresas de médio e grande porte podem ter um funcionário dedicado a esta função – desde que ele tenha os pré-requisitos para a mesma.
  8. Não existência de uma gestão de risco.
    Quando não existe uma gestão de risco, as análises de risco e de ameaças são feitas aleatoriamente e normalmente apenas quando se tem um risco iminente. Toda organização deve ter uma gestão de risco contínua.
  9. Desalinhamento da segurança com o negócio.
    A segurança deve considerar as prioridades do negócio da organização. Mas lembro que as áreas de negócio e a direção da empresa devem levar em conta a participação da Segurança da Informação em definições estratégicas. Evidentemente não falo aqui de situações de extremo segredo, como por exemplo, a junção de duas instituições financeiras.
  10. Usuário: pouco treinamento e conscientização.
    As pessoas são fatores determinantes para o sucesso ou fracasso do processo de Segurança da Informação em uma organização. Cada usuário precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que não pode fazer.

Garanta que a sua organização não falhe nestes dez itens citados pois, com certeza, existirá assim um excelente nível de proteção da informação.

*Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

 

 

 

Últimas Notícias
STARTUP ONE MBA 2024 – 1° SEMESTRE: CONHEÇA O TOP 10 Leia mais
PROFESSORES DA FIAP PARTICIPAM DA III BUSINESS WEEK DA MUST UNIVERSITY Leia mais
MBA em Product Management é opção para transição de carreira Leia mais
NEXT 2023: FIAP PREMIA MAIS DE 80 PROJETOS DOS ALUNOS DA GRADUAÇÃO Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.