Implementado e auditando Políticas de Segurança na Empresa X Os aspectos de segurança apresentados a seguir podem ser utilizados como uma lista de controle, tanto pela gerência de segurança de sistemas, como pela equipe de auditoria. Para a gerência de segurança, essa lista pode servir como um conjunto de tarefas a serem realizadas na implementação da política de segurança na empresa X. Lista de Política de segurança de informações Elaborar,divulgar e manter atualizado documento que descreva a política de segurança de informações. A alta gerência deve estar comprometida com a política de segurança de informações, a qual deve ser implantada de acordo com o documento formal por ela aprovado. Definir uma estrutura organizacional responsável pela segurança, a qual deve aprovar e revisar as políticas de segurança, designar funções de segurança e coordenar a implantação da política. Estabelecer procedimentos de segurança de pessoal, com intuito de reduzir ou evitar erros humanos, mal uso dos recursos computacionais, fraude ou roubo, por meio de um processo rigoroso de recrutamento de pessoal e de controle sobre acessos a dados confidenciais. Todos funcionários devem ter conhecimento dos riscos de segurança de informações e de suas responsabilidades com relação a esse assunto. É aconselhável que haja um treinamento de segurança para difusão de boas práticas e padrões de segurança, promovendo uma cultura de segurança na organização. Controlar e classificar os recursos computacionais de acordo com seu grau de confidencialidade, prioridade e importância para a organização. Todos recursos (hardware, software, dados, documentação, etc.) devem ser administrados por um responsável designado pelo seu proprietário. Definir padrões adequados de segurança física para prevenir acessos não autorizados, danos ou interferências em atividades críticas. Devem ser estabelecidos límites de acesso ou áreas de segurança com dispositivos de controle de entrada. Todos os equipamentos e cabeamentos de energia elétrica de de telecomunicações devem ser protegidos contra interceptação, dano, falha de energia, picos de luz e outros problemas elétricos. Implantar controle de acesso lógico aos sistemas de forma a prevenir acessos não autorizados. Esse controle pode ser feito via processo seguro de logon, senhas fortemente seguras, registro formal de usuários, monitoramento por trilhas de auditoria, etc. Administrar os recursos computacionais e as redes seguindo requisitos de segurança previamente definidos. Definir procedimentos de backup e de restauração dos sistemas computacionais para garantir a integridade e a disponibilidade de dados e software. A freguência de backup deve ser apropriada e pelo menos uma cópia do backup deve ser guardada em local seguro. Os procedimentos de restauração devem ser periodicamente testados para garantir sua efetividade quando forem necessários. Antes da inclusão de qualquer programa nos sistemas computacionais da organização, tomar as medidas de segurança exigidas na política da organização. Investigar qualquer incidente que comprometa a segurança dos sistemas. Os registros desses incidentes devem ser mantidos e periodicamente analisados para detectar vulnerabilidades na política de segurança adotada. Após uma violação da política de segurança, tomar as medidas necessárias para identificação de suas causas e agentes, correção das vulnerabilidades e punição dos infratores. Auditar regularmente todos aspectos de segurança a fim de determinar se as políticas estão sendo efetivamente cumpridas ou se são necessárias modificações. Biblio(18) |