Políticas de Segurança.
Rogério Faria Prado.
Segurança da informação.
A
política de segurança diz respeito às regras que devem ser elaboradas e
seguidas pelos utilizadores dos recursos de informação de uma empresa.
A
formação de um conjunto de boas práticas de mercado, com o objetivo de
desenvolvimento de uma política/cultura de segurança é essencial para qualquer
tipo de empresa que necessite desse trabalho, já que a informação é um dos
ativos mais valiosos de uma organização.
As
decisões relacionadas à segurança que o administrador da organização toma,
determinam quão segura a rede de sua corporação é, quantas funções ela irá
disponibilizar e como será a sua utilização. Por isso, é preciso determinar
metas de segurança. Em qualquer política de segurança, existem duas diretrizes:
a proibitiva, que quer dizer que tudo que não é permitido é proibido, e a
permissiva, onde tudo que não é proibido é permitido.
Para
a montagem de uma política de segurança, devemos levar em consideração alguns
fatores, como os riscos e benefícios associados à falta de segurança e os
custos de implementação dos mecanismos.
ISO/IEC 17799/2007 – 27002.
É
uma norma de Segurança da Informação que foi revisada em 2005 pela ISO e pela
IEC e atualizada em 2007. Ela estabelece princípios para a gestão de segurança
da informação de uma organização, e também pode servir como um guia prático de
desenvolvimento de procedimentos para empresas.
Entre
as principais seções, estão:
1.
Avaliação de risco;
2.
Política de segurança;
3.
Organização da segurança da informação;
4.
Gerência de recurso;
5.
Segurança dos recursos humanos;
6.
Segurança física e ambiental;
7.
Gerência das comunicações e das operações;
8.
Controle de acesso;
9.
Sistemas de informação, aquisição, desenvolvimento e manutenção;
10.
Gerência de incidentes da segurança da informação;
11.
Gerência da continuidade do negócio;
12.
Conformidade.
10 maus hábitos que os administradores
de rede devem evitar.
1 -
Não realizar atualizações com frequência
As
políticas de segurança são elementos
fundamentais para o bom funcionamento da
rede.
2 -
Realizar processos manuais
Muitos
profissionais de TI ainda possuem o hábito de realizar tarefas importantes de
forma manual, o que aumenta a chance de erros acontecerem.
3 -
Não ter um controle sobre as alterações realizadas
Muitas
vezes, devido a correria do dia a dia, os profissionais de TI acabam não
registrando todas as mudanças na configuração que realizam.
4 -
Superestimar a segurança da rede
O
excesso de confiança nas ferramentas de proteção utilizadas pode acabar
permitindo que ameaças passem despercebidas.
5 -
Não atender todos os alertas de segurança
O
acúmulo de notificações de alerta está sobrecarregando os profissionais de TI
que acabam ignorando alguns chamados por não conseguirem atender a todos.
6 -
Não aprimorar habilidades
Os
administradores de TI muitas vezes acabam não explorando novas ideias e
técnicas, o que acaba limitando oportunidades de aprimorar diversos elementos
na infraestrutura de rede.
7 -
Utilizar interface de linha de comandos (CLI) para solucionar problemas
As
linhas de comando são uma forma de interagir em que o profissional emite
comandos para o programa sob formas sucessivas de linhas de texto.
8 -
Permitir portas e protocolos de saída para internet
Permitir
o acesso a qualquer porta de saída na internet representa grande perigo para a
rede.
9 -
Usar scripts em redes automatizadas
Conforme
as tecnologias se modernizam, muitos profissionais acabam criando o costume de
utilizar scripts incorretamente em redes automatizadas.
10 -
Falta de disciplina no monitoramento
À
medida que as redes crescem e se tornam mais complexas, torna-se essencial um
monitoramento disciplinado para que não haja problemas no desempenho.
Referência:
Comentários
Postar um comentário