(ISC)² orienta: 5 ações que todo gestor de Segurança da Informação deve desenvolver

O (ISC)²®, principal instituto do mundo focado em educação e certificações profissionais em segurança da informação e cibersegurança, sugere que os gestores de segurança da informação desenvolvam algumas ações para antecipar tendências, evitar ataques e preservar o valor dos dados internos das organizações.

“Os ciberataques estão cada vez mais sofisticados e o tema vem ganhando destaque mundial. É preciso priorizar a educação e a conscientização dos usuários para evitar o vazamento de informações estratégicas da empresa”, afirma Walmir Freitas, Membro do Conselho Consultivo do (ISC)² para a América Latina.

Confira a seguir 5 ações recomendadas:

 

1 – Conheça as prioridades da empresa

O primeiro passo para uma estratégia de Segurança da Informação bem elaborada é conhecer profundamente o ambiente e o cenário em que a organização atua, sendo necessário entender a relevância e o perfil das informações para estabelecer critérios de sigilo e criticidade. Todas as áreas da organização devem ser envolvidas para que haja uma compreensão completa do ambiente organizacional. “Os níveis de acesso devem ser decididos em conjunto e devem seguir uma hierarquia clara para que os usuários tenham acesso apenas àquilo que lhes é necessário e não comprometam o sigilo e integridade das informações”, diz Walmir Freitas, Membro do Conselho Consultivo do (ISC)² para a América Latina.

 

2 – Crie regras simples e claras

As regras de utilização e acesso à informação devem ser simples, claras e objetivas para que todos os usuários sejam capazes de compreendê-las e aplicá-las. Para cumprir as regras com comprometimento, as pessoas precisam entender os possíveis impactos do seu descumprimento. Essas regras devem considerar hierarquia, normas, políticas e procedimentos da organização, além das necessidades diárias dos usuários.

 

3 – Treine e comunique

O treinamento contínuo é uma importante etapa da estratégia de Segurança da Informação. Os usuários precisam ter acesso às regras e políticas da empresa para eventuais consultas, e devem estar sempre atualizados sobre quaisquer mudanças que possam ocorrer. E-mails, comunicados, murais e treinamentos permitem que os usuários mantenham as diretrizes de segurança em mente e entendam as consequências de suas atitudes, evitando assim o vazamento proposital ou não das informações.

 

4 – Utilize as ferramentas corretas

Existem diversas ferramentas de controle preventivo e de detecção de ameaças à Segurança da Informação. As ferramentas de controle preventivo englobam o bloqueio antecipado das ameaças e iniciativas educacionais para os usuários. Já as de controle de detecção monitoram ações para entender o comportamento dos usuários e ajudam a acompanhar as mudanças diárias das empresas. Elas automatizam o processo, evitam o vazamento e a perda de dados com base nas normas previamente estabelecidas. O seu uso, porém, deve ser feito de maneira assertiva para que não haja um impedimento excessivo de acesso que prejudique o desenvolvimento do trabalho e nem demasiado livre, para que não haja vazamentos.

 

5 – Liderar pelo exemplo

As pessoas tendem a dar mais importância ao exemplo do que às regras, por isso os gestores têm um papel fundamental na disseminação das políticas de Segurança da Informação da empresa. Os gestores devem ser bem treinados quanto às normas e políticas, demonstrando a sua aplicação no dia a dia, orientando os usuários quanto às consequências de suas ações e gerando um ciclo de aprendizado. Funcionários que enxergam seus gestores como exemplos a serem seguidos tendem a representar menos riscos de vazamentos e a apresentar melhor desempenho.

 

Sobre o (ISC)²

O (ISC)² é a maior organização associativa sem fins lucrativos de profissionais certificados em segurança cibernética, de informação, software e infraestrutura no mundo. Possui aproximadamente 110 mil membros em mais de 160 países. Internacionalmente reconhecido pelo seu padrão de excelência, o (ISC)² concede a profissionais qualificados as credenciais Certified Information Systems Security Professional (CISSP®) e concentrações relacionadas, Certified Secure Software Lifecycle Professional (CSSLP®), Certified Cloud Security Professional (CCSP®), Systems Security Certified Practitioner (SSCP®), HealthCare Information Security and Privacy Practitioner (HCISPP®), Certified Cyber Forensics Professional (CCFP®) e Certified Authorization Professional (CAP®).

As certificações do (ISC)² estão entre os requisitos fundamentais para atender às rigorosas normas de ISO/IEC 17024, referência mundial para a avaliação e certificação de profissionais e equipes. O (ISC)² também oferece programas de educação e serviços com base no seu conjunto de conhecimentos (CBK), um compêndio de tópicos em segurança de software e de informação.  Mais informações estão disponíveis no site: www.isc2.org.

© 2016, (ISC)² Inc., (ISC)², CISSP, ISSAP, ISSMP, ISSEP, CSSLP, CAP, CCFP, HCISPP, SSCP, CBK e CCSP são marcas registradas do (ISC)², Inc.

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.