Home > Uncategorized > Dez falhas em Segurança da Informação!

Dez falhas em Segurança da Informação!

Tenho observado que a maioria dos problemas de segurança da informação ocorrida em organizações está relacionada a um conjunto básico de falhas na implantação e desenvolvimento do processo de segurança da informação. Destaco as seguintes falhas mais comuns e mais graves em uma organização:

1. Não existência de uma estrutura de políticas, normas e procedimentos
Os regulamentos (políticas, normas e procedimentos) existem para explicitar como a organização deseja que o recurso informação deva ser tratado. Além do mais, como não temos legislação no Brasil em certos assuntos, por exemplo monitoramento de mensagem de correio eletrônico, a organização precisa dizer aos seus usuários com será tratado esta questão.

2. A gestão do controle de acesso permite uma identificação para uso comum.
Eu ainda fico admirado, mas, ainda encontro em muitas organizações identificações que não são individuais e são utilizadas por um grupo de usuários. Não me refiro aqui às situações de exceção. São casos normais de acesso à informação. Com esse acesso comum é muito difícil identificar qual usuário fez determinado acesso.

3. Não existência de gestor da informação.
Historicamente a área de tecnologia exercia a função de gestor da informação. Mas, mesmo nos anos iniciais da tecnologia da informação a área de informática deveria ser apenas um prestador de serviço, deveria ser o custodiante da informação. É fator crítico de sucesso para o processo de segurança da informação a existência do gestor da informação que deve ser a pessoa da área de negócio ou da área administrativa que á a responsável por aquela informação. É o gestor da informação que vai autorizar (ou negar) o acesso dos demais usuários da empresa àquela informação.

4. Planos de continuidade que são apenas belos documentos.
Planos de continuidade de negócio ou planos para situações de contingência devem ser um processo vivo. Mas, muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenário.

5. Registros de ações realizadas: não existem ou pouco tempo de guarda.
Registros para investigação (auditoria ou computação forense) precisam ter definidos sua existência e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado apenas um dia é muito pouco caso haja uma investigação sobre uma ação indevida nesta aplicação. Também é importante a existência do registro de tentativas de acesso e erros de identificação/senha.

6. Cópias de segurança: definição da informática.
As cópias de segurança devem existir por razões de recuperação do ambiente de tecnologia, requisitos legais, aspectos históricos e exigências de auditoria. Apenas o primeiro caso é de responsabilidade da área de tecnologia. Requisitos legais e necessidade de guarda por questões históricas devem ser definidos pela área de negócio. Exigências de auditoria devem ser definidas pelas auditorias internas ou externas.

7. Não existência de um gestor do processo de segurança.
A segurança da informação é uma responsabilidade de todos. Porém, um profissional deve ser responsável pela existência do processo de segurança da informação. Empresas de médio e grande porte podem ter um funcionário dedicado a esta função,evidentemente desde que ele tenha os pré requisitos para a mesma.

8. Não existência de uma gestão de risco.
Quando não existe uma gestão de risco, as análises de risco e de ameaças são feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organização deve ter uma gestão de risco contínua.

9. Não alinhamento da segurança com o negócio.
A segurança deve considerar as prioridades do negócio da organização. Mas lembro que as áreas de negócio e a direção da organização devem considerar a participação da segurança da informação em definições estratégicas. Evidentemente não falo aqui de situações de extremo segredo, como por exemplo, a junção de duas instituições financeiras.

10. Usuário: pouco treinamento e conscientização.
A pessoa humana é o fator determinante para o sucesso ou fracasso do processo de segurança da informação em uma organização. Cada usuário precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que não pode fazer.

Garanta que a sua organização não falha nestes dez itens citados. Se você conseguir isto com certeza sua organização terá um excelente nível de proteção da informação.

Fonte – Blog do Edison Fontes

Categories: Uncategorized Tags: , ,
  1. manoel barreiros
    05/16/2009 at 11:06 AM

    Gostei muito das dicas de segurança. mas eu vou aproveitar o gancho para te pedir, “como eu faço para bloquear sites no ubuntu?”.
    Por favor se souber manda para o meu e-mail.
    manoelbarreiros@hotmail.com

  2. Giovanna Carvalho - Edelman
    05/19/2009 at 5:16 PM

    Olá!
    Sou Giovanna Carvalho da Edelman, agência de comunicação da Symantec, tudo bem?
    Li o seu post e como percebi que você se interessa por segurança na Internet e proteção da informação gostaria de compartilhar alguns dados interessantes.
    Um estudo lançado recentemente aponta que a atividade maliciosa cresceu em velocidade recorde no decorrer de 2008 e que cada vez mais o principal alvo dos crimonosos são as informações confidencias dos usuários de computador. Esse dado foi divulgado no Relatório Symantec sobre Ameaças de Segurança na Internet. O estudo, realizado no período de Janeiro a Dezembro de 2008, fornece um panorama global sobre como está a segurança na Internet.
    Se você desejar mais dados sobre segurança na Web envie um e-mail para giovanna.carvalho@edelman.com
    e eu terei prazer em trocar idéias com você!
    Um abraço, Giovanna

    • 05/19/2009 at 9:19 PM

      Olá Giovanna,

      Muito Obrigado.

      Vou precisar muito dessas informações para incrementar minhas aulas.

      Sds,

      Alexandro

  3. Jose
    06/01/2009 at 8:37 AM

    Prezados,

    Atuo nesta área de Segurança da Informação e tenho constatado todos os itens da matéria. Parabenizo o autor!

  4. 07/15/2009 at 2:40 PM

    Ótima Iniciativa

    Ranieri Marinho de Souza
    Segurança da Informação

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: