Os 12 mandamentos para o Profissional de Segurança
Segundo a Bíblia, os 10 Mandamentos resumem a Lei, dada por Deus ao povo de Israel por meio de Moisés, apresentando os mandamentos do amor a Deus (os quatro primeiros) e ao próximo (os outros seis). Se para salvar o povo de Israel e orientar a Cristandade durante mais de 2000 anos foram suficientes 10 mandamentos, o desafio da Segurança da Informação é de tal forma exigente que são necessários pelo menos 12 princípios orientadores para os profissionais de segurança garantirem a criação de valor nas suas organizações.
Essa é pelo menos a convicção das organizações globais ISACA, Information Security Forum (ISF) e (ISC)2 expressa no documento “Principles for information security practitioners” [1]!
Os princípios foram desenhados para ajudar os profissionais de segurança da informação a Apoiar e Defender as suas Organizações de uma variedade de ameaças. Adicionalmente, estes princípios contribuem para Promover a segurança da informação através de uma maior consciencialização e responsabilidade de todos aqueles que, direta ou indiretamente, intervêm no sistema de informação das Organizações. De seguida apresentam-se os 12 princípios e algumas das vantagens da sua adoção nas Organizações:
A. Suportar a Organização
1. Manter o foco no negócio da Organização
2. Entregar qualidade e valor para os stakeholders
3. Cumprir com os requisitos legais e regulamentares
4. Fornecer informações atempadas e precisas sobre o desempenho da segurança
5. Avaliar as ameaças atuais e futuras à Informação
6. Promover a melhoria contínua da segurança da informação.
Benefícios da sua adoção:
- Integração da segurança da informação em atividades essenciais do negócio
- Demonstração do valor da segurança da informação, ajudando a satisfazer os requisitos de negócios
- Cumprimento das obrigações legais ou normativas e das expectativas dos stakeholders, evitando sanções civis ou penais
- Apoio dos requisitos dos negócios e gestão dos riscos da Informação
- Análise e avaliação das ameaças à segurança da informação
- Redução dos custos, melhoria da eficiência e aumento da eficácia da segurança organizacional
B. Defender a Organização
7. Adotar uma abordagem orientada ao Risco
8. Proteger a Informação classificada
9. Concentre-se nas aplicações críticas para o negócio
10. Desenvolver sistemas seguros
Benefícios da sua adoção:
- Tratamento dos riscos de uma forma consistente e eficaz
- Não divulgação de informações classificadas (por exemplo confidenciais ou sensíveis) a indivíduos não autorizados
- Direcionar os recursos escassos de segurança de informação para as aplicações de negócio onde os incidentes de segurança teriam um maior impacto no negócio
- Desenvolvimento de sistemas com qualidade e rentáveis em que as pessoas podem confiar
C. Promover a Segurança da Informação
11. Atuar de forma ética e profissional
12. Promover uma cultura de segurança positiva
Benefícios da sua adoção:
- Realização das atividades de segurança de forma confiável, responsável e eficaz
- Influência positiva dos comportamentos de segurança dos usuários, reduzindo a probabilidade de incidentes de segurança e limitando o seu impacto potencial
Conclusão
A importância da adoção de princípios orientadores para os profissionais de Segurança da Informação está sobretudo relacionada com a necessidade de harmonizar comportamentos para que seja possível o desenvolvimento de uma verdadeira cultura de valorização da Informação como ativo crítico das Organizações e consequentemente da importância de garantir a sua confidencialidade, integridade e disponibilidade.
Como qualquer outra lei escrita por Homens e para Homens terá as suas vulnerabilidades e estará exposta a ameaças. No entanto, qualquer organização deverá começar por definir e comunicar as suas Leis para que todos os envolvidos possam pelo menos saber qual a regra para tomarem consciência de quando as estão a cumprir ou a infringir.
Fonte: Portal GSIC
[1] http://www.isaca.org/Knowledge-Center/Standards/Documents/Principles-for-Info-Sec-Practitioners-overview.pdf
Você precisa fazer log in para comentar.