sábado, 8 de junho de 2013

Os 12 mandamentos para o Profissional de Segurança

Segundo a Bíblia, os 10 Mandamentos resumem a Lei, dada por Deus ao povo de Israel por meio de Moisés, apresentando os mandamentos do amor a Deus (os quatro primeiros) e ao próximo (os outros seis). Se para salvar o povo de Israel e orientar a Cristandade durante mais de 2000 anos foram suficientes 10 mandamentos, o desafio da Segurança da Informação é de tal forma exigente que são necessários pelo menos 12 princípios orientadores para os profissionais de segurança garantirem a criação de valor nas suas organizações. Essa é pelo menos a convicção das organizações globais ISACA, Information Security Forum (ISF) e (ISC)2 expressa no documento “Principles for information security practitioners”!

Os princípios foram desenhados para ajudar os profissionais de segurança da informação a Apoiar e Defender as suas Organizações de uma variedade de ameaças. Adicionalmente, estes princípios contribuem para Promover a segurança da informação através de uma maior consciencialização e responsabilidade de todos aqueles que, direta ou indiretamente, intervêm no sistema de informação das Organizações. De seguida apresentam-se os 12 princípios e algumas das vantagens da sua adoção nas Organizações:

A. Suportar a Organização

1. Manter o foco no negócio da Organização.
2. Entregar qualidade e valor para os stakeholders.
3. Cumprir com os requisitos legais e regulamentares.
4. Fornecer informações atempadas e precisas sobre o desempenho da segurança.
5. Avaliar as ameaças atuais e futuras à Informação.
6. Promover a melhoria contínua da segurança da informação.

Benefícios da sua adoção:

Integração da segurança da informação em atividades essenciais do negócio;
Demonstração do valor da segurança da informação, ajudando a satisfazer os requisitos de negócios;
Cumprimento das obrigações legais ou normativas e das expectativas dos stakeholders, evitando sanções civis ou penais;
Apoio dos requisitos dos negócios e gestão dos riscos da Informação;
Análise e avaliação das ameaças à segurança da informação;
Redução dos custos, melhoria da eficiência e aumento da eficácia da segurança organizacional;

B. Defender a Organização

7. Adotar uma abordagem orientada ao Risco.
8. Proteger a Informação classificada.
9. Concentre-se nas aplicações críticas para o negócio.
10. Desenvolver sistemas seguros.


Benefícios da sua adoção:

Tratamento dos riscos de uma forma consistente e eficaz;
Não divulgação de informações classificadas (por exemplo confidenciais ou sensíveis) a indivíduos não autorizados;
Direcionar os recursos escassos de segurança de informação para as aplicações de negócio onde os incidentes de segurança teriam um maior impacto no negócio;
Desenvolvimento de sistemas com qualidade e rentáveis ​​em que as pessoas podem confiar.

C. Promover a Segurança da Informação

11. Atuar de forma ética e profissional.
12. Promover uma cultura de segurança positiva.

Benefícios da sua adoção:

Realização das atividades de segurança de forma confiável, responsável e eficaz;
Influência positiva dos comportamentos de segurança dos usuários, reduzindo a probabilidade de incidentes de segurança e limitando o seu impacto potencial; 

Conclusão

A importância da adoção de princípios orientadores para os profissionais de Segurança da Informação está sobretudo relacionada com a necessidade de harmonizar comportamentos para que seja possível o desenvolvimento de uma verdadeira cultura de valorização da Informação como ativo crítico das Organizações e consequentemente da importância de garantir a sua confidencialidade, integridade e disponibilidade.

Como qualquer outra lei escrita por Homens e para Homens terá as suas vulnerabilidades e estará exposta a ameaças. No entanto, qualquer organização deverá começar por definir e comunicar as suas Leis para que todos os envolvidos possam pelo menos saber qual a regra para tomarem consciência de quando as estão a cumprir ou a infringir.


Nenhum comentário:

Postar um comentário