Tenho observado que a maioria dos problemas de segurana da informao ocorrida em organizaes est relacionada a um conjunto bsico de falhas

na implantao e desenvolvimento do processo de segurana da informao. Destaco as seguintes falhas mais comuns e mais graves em uma organizao: 1. No existncia de uma estrutura de polticas, normas e procedimentos Os regulamentos (polticas, normas e procedimentos) existem para explicitar como a organizao deseja que o recurso informao deva ser tratado. Alm do mais, como no temos legislao no Brasil em certos assuntos, por exemplo monitoramento de mensagem de correio eletrnico, a organizao precisa dizer aos seus usurios com ser tratado esta questo. 2. A gesto do controle de acesso permite uma identificao para uso comum. Eu ainda fico admirado, mas, ainda encontro em muitas organizaes identificaes que no so individuais e so utilizadas por um grupo de usurios. No me refiro aqui s situaes de exceo. So casos normais de acesso informao. Com esse acesso comum muito difcil identificar qual usurio fez determinado acesso. 3. No existncia de gestor da informao. Historicamente a rea de tecnologia exercia a funo de gestor da informao. Mas, mesmo nos anos iniciais da tecnologia da informao a rea de informtica deveria ser apenas um prestador de servio, deveria ser o custodiante da informao. fator crtico de sucesso para o processo de segurana da informao a existncia do gestor da informao que deve ser a pessoa da rea de negcio ou da rea administrativa que a responsvel por aquela informao. o gestor da informao que vai autorizar (ou negar) o acesso dos demais usurios da empresa quela informao. 4. Planos de continuidade que so apenas belos documentos. Planos de continuidade de negcio ou planos para situaes de contingncia devem ser um processo vivo. Mas, muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenrio. 5. Registros de aes realizadas: no existem ou pouco tempo de guarda. Registros para investigao (auditoria ou computao forense) precisam ter definidos sua existncia e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado apenas um dia muito pouco caso haja uma investigao sobre uma ao indevida nesta aplicao. Tambm importante a existncia do registro de tentativas de acesso e erros de identificao/senha. 6. Cpias de segurana: definio da informtica. As cpias de segurana devem existir por razes de recuperao do ambiente de tecnologia, requisitos legais, aspectos histricos e exigncias de auditoria. Apenas o primeiro caso de responsabilidade da rea de tecnologia. Requisitos legais e necessidade de guarda por questes

histricas devem ser definidos pela rea de negcio. Exigncias de auditoria devem ser definidas pelas auditorias internas ou externas. 7. No existncia de um gestor do processo de segurana. A segurana da informao uma responsabilidade de todos. Porm, um profissional deve ser responsvel pela existncia do processo de segurana da informao. Empresas de mdio e grande porte podem ter um funcionrio dedicado a esta funo,evidentemente desde que ele tenha os pr requisitos para a mesma. 8. No existncia de uma gesto de risco. Quando no existe uma gesto de risco, as anlises de risco e de ameaas so feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organizao deve ter uma gesto de risco contnua. 9. No alinhamento da segurana com o negcio. A segurana deve considerar as prioridades do negcio da organizao. Mas lembro que as reas de negcio e a direo da organizao devem considerar a participao da segurana da informao em definies estratgicas. Evidentemente no falo aqui de situaes de extremo segredo, como por exemplo, a juno de duas instituies financeiras. 10. Usurio: pouco treinamento e conscientizao. A pessoa humana o fator determinante para o sucesso ou fracasso do processo de segurana da informao em uma organizao. Cada usurio precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que no pode fazer. Garanta que a sua organizao no falha nestes dez itens citados. Se voc conseguir isto com certeza sua organizao ter um excelente nvel de proteo da informao.