Política de Segurança da Informação (PSI) -Burocracia? Engessa a empresa?

A cada dia que passa e que estou trabalhando em prol a segurança da informação vejo algumas coisas que me deixam muito chateado como por exemplo: 

  • Os invasores estão sempre a 2 ou 5 passos a sua frente, assim que você fecha uma porta outra chave foi feita para abrir outras e assim vamos.
  • Empresas ainda não vêem o valor de um time de Resposta a Incidente de Segurança da Informação ou uma simples coordenação de segurança da informação olhando para o NEGÓCIO da empresa.

Mas, o que é pior é que quando elas são atacadas dão valor por alguns dias e novamente colocam a segurança em segundo plano.

Mas vamos ao tema, a política de segurança da informação é uma burocracia? Ela engessa a empresa com suas proibições?

Vamos entender alguns pontos:

  • A PSI deve seguir o negócio, e se a PSI é a segurança do NEGÓCIO todos nós devemos não só conhece-la mas como respeita-la.
  • Exceções não deveriam existir, se o pen drive é proibido ninguém deve usar, nem mesmo o presidente (ou presidente é isento de ameaças?)
    • Mas nesse tópico fica uma pergunta, mas Leonel e SE o presidente, diretores e gerente precisar usar? eu irei devolver com outra pergunta, é necessário para o negócio?
    • Se sim, devemos verificar a possibilidade de controlar os acessos e se necessário rastrear a informação.
    • Se não é necessário para o negócio, por que devemos liberar o acesso, somente por que são de um nível de hierarquia maior? OPA, estamos enfrentando outro detalhe agora, o famoso ditado “Manda quem pode, obedece quem tem juízo”, e com isso a exceção acaba virando REGRA, CUIDADO.
  •  Para que se tenha uma PSI confiável e funcionando e necessário um comitê onde tenha o poder de olhar para o negócio e dizer “VOU COM VOCÊ aonde você quer chegar” e não burocratizar ou engessar como todos pensam, o comitê ira por exemplo:
    • Verificar suas políticas se estão de acordo com o negócio e se enxergar ou chegar uma demanda onde é necessário uma revisão na política, irão alinhar e decidir o que fazer da melhor forma possível para o negócio e com SEGURANÇA.
  • Como mencionado acima, quando digo todos nos devemos conhece-la eu quero dizer que a produção da empresa deve conhecer, os terceiros devem conhecer e todos os envolvidos direto ou indiretamente com a empresa devem ter ciência da PSI. Por isso a conscientização é um ponto importantíssimo e que irá trazer benefícios cada vez maiores se conseguir marcar a importância em cada pessoa.

Poderíamos ter mais alguns pontos mas, o principal, está ai por isso, meu pedido para hoje, você profissional de segurança da informação é, leia sua política de segurança da informação e critique, entenda e pense sobre o por que é necessário bloquear ou proibir tantas coisas.

Obrigado a todos e até próximo post com segurança.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s