segunda-feira, 13 de agosto de 2012

Os 10 mandamentos da segurança da informação na empresa




Refletir sobre a segurança na empresa não é uma tarefa fácil, é um processo complexo e contínuo que envolve vários controles, tanto tecnológicos como de gestão e educacional. No entanto, muitos profissionais de segurança acreditam fortemente que todas as empresas estão preparadas para enfrentar este desafio, e para isso, o que pode ser melhor do que conhecer os princípios que devem reger a proteção das informações? Para fazer isso, seguem os 10 mandamentos da segurança corporativa:


1- Definirás uma política de segurança: É o documento que rege toda a segurança da informação na empresa. Recomenda-se que não seja muito extensa (nenhum funcionário poderá se comprometer com um documento de cinqüenta páginas), que seja realista (pedir aos empregados coisas que sejam possíveis para manter a credibilidade) e que os valorize (outra recomendação: que esses documentos sejam entregues aos funcionários pela alta administração ou pelo departamento de RH, ao invés do suporte técnico de TI).

2- Utilizarás tecnologias de segurança: São a base da segurança da informação na empresa. Uma rede que não tem proteção antivírus, um firewall ou uma ferramenta antispam estará exposta à cobertura de proteção com outros controles.

3- Educarás aos seus usuários...e começando com o esclarecimento: educarás a todos os seus usuários. Os usuários técnicos ou do departamento de TI algumas vezes são omitidos desse tipo de iniciativa, como se estivesse comprovado que estão menos expostos as ameaças tecnológicas. 45% das ameaças utilizam técnicas de engenharia social, ou seja, ficam atentos a ignorância do usuário para infectá-lo.

4- Controlarás o acesso físico à informação: A segurança da informação não é um problema que deva abranger somente a informação “virtual”, mas também os suportes físicos onde estão armazenados. Onde estão os servidores? Quem tem acesso a eles? Sem dúvida, o acesso físico é fundamental. Também devem ser considerados neste aspecto os dados impressos, como por exemplo, o acesso físico aos escritórios com informações confidenciais (contador, gerente, etc) ou os acessos a impressoras (alguém poderia pegar “acidentalmente” uma informação confidencial).

5- Atualizarás o seu software: As vulnerabilidades dos softwares são a porta de entrada para muitos ataques que ameaçam a organização. De acordo com o relatório sobre o estado de malware na América Latina, 41% dos dispositivos USB estão infectados e 17% do malware exploram as vulnerabilidades. Mantenha tanto o sistema operacional como as demais aplicações com os últimos patches de segurança. É uma medida de segurança indispensável.

6- Não utilizarás a TI como o seu equipamento de segurança informática: É um dos erros mais freqüentes, e omitem a importância de entender que a segurança não é apenas um problema tecnológico. Além disso, é importante que exista uma área cujo único objetivo seja a segurança das informações de modo que não pode ser negligenciada por outros objetivos associados com a usabilidade, como por exemplo, a instalação de um determinado serviço, de acordo com as necessidades do negócio.

7- Não utilizarás usuários administrativos: Desta forma, uma intromissão no sistema estará limitada em quanto ao dano que pode causar ao mesmo. Mais uma vez, vale destacar a importância de se aplicar este controle para toda a empresa: os membros do departamento de TI ou a gerência sênior também devem utilizar licenças limitadas no uso diário do computador.

8- Não investirás dinheiro em segurança sem pensar: A segurança deve ser concebida para proteger a informação e, portanto, o negócio. Fazer investimentos em segurança sem mensurar o valor da informação que se está protegendo e a probabilidade de perda por incidentes pode resultar em dinheiro mal investido ou, basicamente, em dinheiro perdido. A segurança deve proteger a informação, o valor desta e, como comentado, o negócio. Portanto, é importante calcular e pensar!

9- Não terminarás um projeto em segurança: A segurança deve ser concebida como um processo contínuo, sem ser terminada. É verdade que pequenas implementações de controles podem precisar de projetos, mas a proteção geral da informação é uma necessidade permanente para o negócio que deve estar em melhoria contínua.

10 – Não subestimarás a segurança da informação: Finalmente, compreender o valor atribuído ao negócio mantém a informação protegida, esse é o nosso último e, talvez, o mais importante dos mandamentos. Pensar que um controle não deve ser implementado porque “eu não acho que isso vai acontecer comigo” é um dos piores erros que um executivo pode cometer e, se isso acontecer, muitos vão se arrepender: muitas empresas, especialmente as pequenas e médias, não podem se recuperar de um incidente grave contra segurança da informação.

Embora a ordem tenha algum tipo de sentido lógico, é importante destacar que todos são de grande importância, e que considerá-los e implementá-los dentro da organização ajudará a melhorar a proteção das informações em âmbito corporativo.

Fonte: IT Web

Nenhum comentário:

Postar um comentário