risco-humano

Por Niel Nickolaisen – post traduzido pela Módulo Security

Dentre as inúmeras ameaças à segurança da informação, os CIOs podem contar com uma constante: o erro humano. Niel Nickolaisen lista abaixo três práticas essencias para lidarmos com nós mesmos.

Há alguns meses eu estava participando de uma conferência de liderança de TI. Um dos tópicos da conferência era tecnologia e processos de segurança da informação. Depois de várias palestras, o organizador da conferência dividiu os participantes em grupos para facilitar uma discussão sobre as ameaças à segurança da informação. No nosso grupo, o mediador começou perguntando qual seria a melhor notícia que um líder de TI poderia ouvir sobre segurança da informação. Outros membros do meu grupo disseram que a melhor notícia seria passar na auditoria, ficar algum tempo sem incidentes ou algo similar. Eu timidamente levantei minha mão e disse que a melhor notícia que eu poderia receber sobre segurança da informação era de que outra pessoa foi violada. Por que isso é uma boa notícia? Primeiro de tudo, não fui eu. Em segundo lugar, desde que tenha acontecido com outra pessoa, a probabilidade da minha empresa receber fundos para investimentos em segurança da informação aumenta após uma violação de dados bem divulgada.

Quando se trata de segurança da informação, as ameaças, respostas e tecnologias mudam frequentemente e eu espero que continue assim.

Mesmo com toda a variação das ameaças à segurança da informação e processos/ferramentas para combatê-las, existe uma área que é uma constante e representa um risco permanente – o comportamento humano. Eu ainda não descobri uma maneira de garantir que os humanos ajam da maneira certa, mas há algumas coisas que podemos fazer para ajudar a reduzir nossa exposição.

Três processos de segurança da informação para reduzir o erro humano

Aqui está minha lista do que faz a diferença:

1. Classificar e restringir o acesso aos dados.

Alguns tipos de dados são mais sensíveis do que outros. Pode ser desesperador pensar em maneiras de proteger todos os dados da empresa, mas, se você considerar os dados sensíveis um subconjunto ou pedaço do volume total de dados, as coisas ficam mais simples. Eu gosto de definir alguns critérios que podem ser usados ​​para agrupar dados em diferentes classificações. Claramente dados financeiros são sensíveis, assim como as informações de identificação pessoal dos nossos clientes. No entanto, há uma porção de dados que talvez não valha a pena proteger totalmente.

Após classificar os dados, devemos determinar quem realmente precisa acessar os dados confidenciais – e quanto menos pessoas, melhor. Realmente deve haver um critério de “quem necessita saber” atrelado a seus processos de segurança da informação. Restringir o acesso aos dados pode ser exaustivo, já que precisamos definir as funções e permissões dos dados. Depois temos que atualizar regularmente as classificações, funções e permissões dos dados, assim como aqueles que devem ter essas funções e permissões. Todo o esforço e trabalho compensam.

2. Além de restringir o acesso aos dados sensíveis, implementar processos e ferramentas de autenticação para acesso aos dados.

Isso significa que temos que nos livrar de contas de usuários genéricas – em particular contas de administrador. Como parte dos nossos relatórios regulares de acesso, devemos avaliar quem está acessando quais dados e certificar que tal acesso é adequado. Podemos analisar os registros de acesso para aperfeiçoar as regras de acesso. Em alguns sistemas, não há como contornar contas de administrador genéricas – impossibilitando, assim, saber quem acessou os dados. Nesses casos, veja o sistema de gestão de chaves de segurança no qual o administrador pega uma chave para usar a conta de administrador genérica. Em geral, nós queremos saber quem está acessando os nossos dados confidenciais.

3. Analisar como são transmitidos internamente os dados sensíveis de clientes ou financeiros.

Muitas vezes, fazemos isso de forma ad hoc, menos cuidadosa. Alguém faz uma pergunta sobre uma conta de cliente e, em resposta, enviamos um e-mail que fornece detalhes que nunca deveriam ser enviados via e-mail. Eu acho interessante passar algum tempo com as equipes de serviço ao cliente e contas a receber para simplesmente observar como eles trocam informações entre si e com outros departamentos. Então, se isso for um problema, implemente um procedimento mais seguro para esse intercâmbio de informações.

No meu mundo ideal, aqueles inventando e melhorando as ferramentas de segurança descobrem tudo e criam soluções abrangentes para combater todas as conhecidas e futuras ameaças à segurança da informação. Mas, enquanto as pessoas continuarem caindo no golpe do príncipe nigeriano, parte do meu perfil de segurança deve presumir que preciso de processos de segurança da informação em vigor para compensar o comportamento humano.

A Módulo pode ajudar sua empresa a criar normas de Segurança através da Gestão de Políticas e a proteger seus dados através da Gestão de Riscos e Vulnerabilidades de TI.

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/12/risco-humano.pnghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/12/risco-humano.pngMódulo SecurityCiberdefesaGestão de RiscosGRC - Governança, Riscos e ComplianceProfissionais de TISegurança da Informação
Por Niel Nickolaisen - post traduzido pela Módulo Security Dentre as inúmeras ameaças à segurança da informação, os CIOs podem contar com uma constante: o erro humano. Niel Nickolaisen lista abaixo três práticas essencias para lidarmos com nós mesmos. Há alguns meses eu estava participando de uma conferência de liderança de...