terça-feira, 23 de julho de 2019

CRIANDO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO QUE FUNCIONAM

Antes de falarmos sobre como criar uma política de segurança da informação, é importante esclarecer o que a segurança da informação realmente é.

Segurança da informação - às vezes abreviada para InfoSec - é a proteção de informações e sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição, a fim de garantir a confidencialidade, integridade e disponibilidade.

CONFIDENCIALIDADE, INTEGRIDADE & DISPONIBILIDADE

Se você está no campo de segurança por um tempo, provavelmente sabe que a segurança da informação é baseada em três pontos. No entanto, para aqueles que são novos no campo da segurança da informação, esta envolve três componentes críticos de confidencialidade, integridade e disponibilidade:
  • Confidencialidade: proteção contra acesso não autorizado
  • Integridade: proteção contra alterações não autorizadas de dados
  • Disponibilidade: garantia de acesso e uso oportuno e confiável de informações
Entender a triade da segurança, os vários princípios por trás dela e como ela se aplica à sua organização ajudarão você a implementar uma política de segurança sólida.

POR QUE CRIAR UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO?

As organizações normalmente criam uma política de segurança da informação porque “a ISO 27001 diz que devemos ter uma” ou “é necessária para a auditoria”. Claro, mas essa não é a principal razão para ter uma política.

Uma política de segurança, ou políticas, é projetada para mitigar o risco (por exemplo, violação de dados) e geralmente é desenvolvida em resposta a uma ameaça real ou percebida (uma situação que poderia potencialmente causar conseqüências ou impactos indesejáveis). A política conterá uma declaração de alto nível da intenção e direção da administração e deverá ser desenvolvida ou modificada para apoiar os objetivos estratégicos de uma organização.

As políticas de segurança por si só não são suficientes. Os funcionários devem entender quais são as regras para proteger informações e ativos e as razões pelas quais os padrões de segurança são desenvolvidos.

Padrões de segurança são desenvolvidos para estabelecer limites para pessoas, processos, tecnologias e procedimentos para ajudar a manter a conformidade com as políticas e apoiar a realização das metas e objetivos da organização.

MELHORES PRÁTICAS NA CRIAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Depois de mais de uma década criando políticas de segurança, talvez o conselho mais importante que posso dar a qualquer organização para criar uma política bem-sucedida seja escrevê-la especificamente com os objetivos estratégicos da organização, o apetite e a tolerância ao risco e a cultura em mente.

Assegure-se de que a política seja escrita por um indivíduo que possa traduzir os requisitos de segurança em um alto nível em termos comerciais. Deve ser escrito de uma forma que os funcionários possam entender; assim como um bom aplicativo, ele deve ser fácil de usar. Ele deve explicar por que a segurança é importante dentro da organização e define as responsabilidades de todos para proteger as informações e os ativos da organização.

O QUE FAZ UMA POLÍTICA DE SEGURANÇA EFICAZ?

O que você não deseja incluir em sua política é uma lista de "não farás". Porque, na minha experiência, sempre que uma política é repleta de diretivas rígidas que parecem mais mandamentos, ela está fadada ao fracasso e é difícil monitorar a conformidade. Você pode evitar inchar sua política, construindo uma que é clara, concisa, relacionável e fácil de entender.

Uma boa regra é escrevê-lo para a pessoa média, não técnica. Dentro de 60 segundos, deve ficar claro para o leitor sobre o que é a política de segurança. Qualquer luta compreendendo isso, e você pode precisar voltar para a prancheta.

Conforme mencionado anteriormente, uma política de segurança eficaz não deve apenas se alinhar aos objetivos estratégicos de uma organização, mas também deve considerar o perfil geral de risco da organização.

Você deve ser capaz de responder a estas perguntas: Quanto risco de segurança a organização está disposta a tolerar? Qual é o consenso sobre o risco de segurança e as políticas e o mandato corporativo tratam disso? Como está o tom no topo? Qual é a cultura da organização em relação à segurança?

Por fim, sua política deve ser atualizada anualmente, pois ajuda sua organização a manter-se atualizada com regulamentações, mudanças na tecnologia e no cenário de ameaças e as melhores práticas do setor.

Mas a verdade é que muitas organizações pesquisam por uma política padronizada e não fazem muitas alterações. Se a política não for adaptada à sua organização, ela provavelmente não será seguida. Já vi isso acontecer com muita frequência.

O QUE DEVE COBRIR SUA POLÍTICA DE SEGURANÇA?

Para começar, aqui estão 10 elementos de política em potencial e questões relevantes que devem ser respondidas ao projetar uma política de segurança corporativa:
  1. Propósito: Por que você precisa dessa política?
  2. Escopo e aplicabilidade: qual é o escopo da política? Para quem esta política se aplica?
  3. Autoridade política e ciclo de revisão: quem tem autoridade da diretoria ou do CEO para estabelecer políticas e normas de segurança? Quem pode aprovar a política? Quem pode atualizar a política? Se houver um requisito na política que não possa ser atendido, uma solicitação de isenção de política é enviada?
  4. Ciclo de Revisão de Política: Com que frequência a política será revisada?
  5. Cultura da empresa: como a política pode se adaptar à sua cultura corporativa? A cultura da sua organização suporta seus esforços de segurança? Você tem compromisso e apoio de executivos seniores?
  6. Tópicos de foco: quais tópicos (por exemplo, E-mail e Internet, BYOD, Mídia social) devem ser incluídos na política que você gostaria que os funcionários estivessem cientes no que se refere à segurança
  7. Políticas Específicas de Segurança da Informação: Quais políticas cobrirão uma área subsidiária de segurança da informação (por exemplo, Gerenciamento de Chaves, Resposta a Incidentes de Segurança, Firewall) que exige ainda mais os controles de segurança da informação exigidos em um nível operacional?
  8. Treinamento: como a organização aborda a conscientização de segurança? Quais métodos são usados ​​para o treinamento de conscientização e com que frequência o treinamento ocorre?
  9. Comunicação: quem os funcionários contatam quando têm dúvidas sobre alguma coisa relacionada à segurança? Como você vai comunicar a política de segurança? Você vai exigir que os funcionários reconheçam e assinem sua política?
  10. Conformidade: como você monitorará a conformidade com essa política?

IMPORTÂNCIA DA APLICAÇÃO DA POLÍTICA

    Uma política de segurança só pode ser eficaz se os funcionários estiverem confiantes de que as regras serão aplicadas. Deve haver responsabilidades claras definidas para conformidade, bem como estipulações sobre as etapas que serão tomadas para a não conformidade.
      Dependendo do setor de uma organização, a política de segurança deve referenciar a importância da adesão aos regulamentos desse setor. Isso pode incluir o Padrão de Segurança de Dados do PCI, a Reforma de Wall Street de Dodd-Frank, o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP), o Regulamento Geral de Proteção de Dados (GDPR) ou HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde), para nomear um poucos.
        Para alcançar os melhores resultados de aplicação, sua política deve estar em sincronia com o atual cenário de ameaças, bem como com os regulamentos de privacidade. Quando uma política reflete o que está acontecendo on-line (pense em phishing, ransomware (malware), multas de privacidade, etc.), você tem mais chances de acompanhar os funcionários. Se essa política for clara e compreensível, a fiscalização será mais fácil.
          Ao redigir sua política, tenha em mente a conformidade e a imposição. Se você não acha que pode seguir as regras de um elemento específico da política, talvez seja necessário regravá-la.
            Em última análise, a política não deve impedir que a organização e seus funcionários atinjam sua missão ou objetivos.

            Por: Karen Sandhu
            NNOVAX - Marcelo Grandchamp
            Postado por às

            Nenhum comentário:

            Postar um comentário

            Assinar: Postar comentários (Atom)