Pecados em Segurança da Informação
Nossos pecados em segurança da informação, está em não darmos a devida atenção ao básico.
Processos como Gestão de Backup, Gestão de Acessos, Gestão de vulnerabilidades e Gestão de Software de Proteção contra Malwares, podemos dizer que isso é o básico que qualquer organização deve se preocupar e gerir de forma adequada.
Porém quantas vezes nos deparamos com processos mal gerenciados?
É inegável que ataques os ataques vistos se prevalecem da ineficiência das organizações e das pessoas que deveriam gerir e garantir tais processos.
É comum encontrar:
- Backups realizados e não testados;
- Ferramentas de backups não gerenciadas;
- Erros de backups não tratados;
- Falhas de segurança dos backups;
- Pessoas com mais acessos do que deveriam;
- Usuários com perfis administrativos para acessos comuns;
- Usuários de sistema criado sem os devidos cuidados;
- Sistemas sem atualizações;
- Ausência de gestão de proteção contra malwares;
- Ausência no tratamento de alertas do sistema de proteção contra malwares.
Só um exemplo dos problemas encontrados em auditorias realizadas, quando falamos em outros itens como Gestão de Incidente, Gestão de Problema, Conformidade, entre outros, é tudo algo “para inglês ver”.
O processo de auditoria que deveria ser independente e deveria garantir identificar e reportar os problemas encontrados, acontece de o auditor fazer vista grossa, ou quando é incisivo nos pontos acaba sendo retirado da atividade para dar lugar a outro.
Esses pontos não agregam e traz uma falsa sensação de segurança para colaboradores, corpo diretivo, acionistas, clientes e entre outras partes interessadas.
Todos na organização devem ter a atenção aos pequenos detalhes, verificar como estamos gerenciando nossos processos primários, quem está olhando para eles e como estamos respondendo aos problemas identificados.
Quem está demandando a auditoria?
É obvio que o responsável pelos processos não deve ser o mesmo pela contratação da auditoria, e muito menos o ponto focal pela interação com o auditor externo.
Fala-se muito em auditoria independente, o auditor interno deveria ser o primeiro com foco exclusivamente independente, com liberdade e acesso total, para que mesmo que a auditoria externa passe, esse auditor interno tem a obrigação de apontar os erros cometidos pelas áreas.
Pingback: Saiba porque investir em segurança da informação - Portal GSI