Os 12 mandamentos para o Profissional de Segurança

Os 12 mandamentos para o Profissional de SegurançaSegundo a Bíblia, os 10 Mandamentos resumem a Lei, dada por Deus ao povo de Israel por meio de Moisés, apresentando os mandamentos do amor a Deus (os quatro primeiros) e ao próximo (os outros seis). Se para salvar o povo de Israel e orientar a Cristandade durante mais de 2000 anos foram suficientes 10 mandamentos, o desafio da Segurança da Informação é de tal forma exigente que são necessários pelo menos 12 princípios orientadores para os profissionais de segurança garantirem a criação de valor nas suas organizações.

Essa é pelo menos a convicção das organizações globais ISACA, Information Security Forum (ISF) e (ISC)2 expressa no documento “Principles for information security practitioners” [1]!

Os princípios foram desenhados para ajudar os profissionais de segurança da informação a Apoiar e Defender as suas Organizações de uma variedade de ameaças. Adicionalmente, estes princípios contribuem para Promover a segurança da informação através de uma maior consciencialização e responsabilidade de todos aqueles que, direta ou indiretamente, intervêm no sistema de informação das Organizações. De seguida apresentam-se os 12 princípios e algumas das vantagens da sua adoção nas Organizações:

A. Suportar a Organização

1. Manter o foco no negócio da Organização

2. Entregar qualidade e valor para os stakeholders

3. Cumprir com os requisitos legais e regulamentares

4. Fornecer informações atempadas e precisas sobre o desempenho da segurança

5. Avaliar as ameaças atuais e futuras à Informação

6. Promover a melhoria contínua da segurança da informação.

Benefícios da sua adoção:

  • Integração da segurança da informação em atividades essenciais do negócio
  • Demonstração do valor da segurança da informação, ajudando a satisfazer os requisitos de negócios
  • Cumprimento das obrigações legais ou normativas e das expectativas dos stakeholders, evitando sanções civis ou penais
  • Apoio dos requisitos dos negócios e gestão dos riscos da Informação
  • Análise e avaliação das ameaças à segurança da informação
  • Redução dos custos, melhoria da eficiência e aumento da eficácia da segurança organizacional

B. Defender a Organização

7. Adotar uma abordagem orientada ao Risco

8. Proteger a Informação classificada

9. Concentre-se nas aplicações críticas para o negócio

10. Desenvolver sistemas seguros

Benefícios da sua adoção:

  • Tratamento dos riscos de uma forma consistente e eficaz
  • Não divulgação de informações classificadas (por exemplo confidenciais ou sensíveis) a indivíduos não autorizados
  • Direcionar os recursos escassos de segurança de informação para as aplicações de negócio onde os incidentes de segurança teriam um maior impacto no negócio
  • Desenvolvimento de sistemas com qualidade e rentáveis ​​em que as pessoas podem confiar

C. Promover a Segurança da Informação

11. Atuar de forma ética e profissional

12. Promover uma cultura de segurança positiva

Benefícios da sua adoção:

  • Realização das atividades de segurança de forma confiável, responsável e eficaz
  • Influência positiva dos comportamentos de segurança dos usuários, reduzindo a probabilidade de incidentes de segurança e limitando o seu impacto potencial

Conclusão

A importância da adoção de princípios orientadores para os profissionais de Segurança da Informação está sobretudo relacionada com a necessidade de harmonizar comportamentos para que seja possível o desenvolvimento de uma verdadeira cultura de valorização da Informação como ativo crítico das Organizações e consequentemente da importância de garantir a sua confidencialidade, integridade e disponibilidade.

Como qualquer outra lei escrita por Homens e para Homens terá as suas vulnerabilidades e estará exposta a ameaças. No entanto, qualquer organização deverá começar por definir e comunicar as suas Leis para que todos os envolvidos possam pelo menos saber qual a regra para tomarem consciência de quando as estão a cumprir ou a infringir.

Fonte: Portal GSIC

[1] http://www.isaca.org/Knowledge-Center/Standards/Documents/Principles-for-Info-Sec-Practitioners-overview.pdf