quinta-feira, 11 de janeiro de 2007

Conheça 13 dicas para criar sua estratégia de segurança

Por Sarah D. Scalethes, para o Computerworld
Publicada em 18 de setembro de 2006 às 11h19
Atualizada em 18 de setembro de 2006 às 12h01
(http://idgnow.uol.com.br/seguranca/2006/09/18/idgnoticia.2006-09-18.8251518357)

Geórgia - Traçamos um plano com sugestões passo-a-passo para quem pretende organizar ou reorganizar com sucesso a área de segurança em TI.

O CISO (Chief Information Security Officer) da Universidade da Geórgia (EUA), Stan Gatewood, em parceria com o Computerworld, reuniu os principais passos para construir – ou mesmo reestruturar – o departamento de segurança da informação da sua empresa.

1. Identifique um executivo líder. Um executivo patrocinador precisa defender a nova estratégia do programa de segurança.

2. Selecione uma pessoa principal. O CISO ou outro líder de segurança devem gerenciar diariamente as atividades.

3. Defina ou priorize os objetivos. Tente amarrar os objetivos de negócio aos de segurança.

4. Estabeleça um mecanismo de revisão. Um processo revisto pela diretoria, por executivos de tecnologia da informação, segurança física, recursos humanos, jurídico, auditoria e pela área de segurança da informação avaliará e aprimorará as iniciativas.

5. Estime o estado corrente da segurança. Considere política, processos, sugestões, padrões, tecnologias existentes (hardware e software), treinamento e educação.

6. Estabeleça – ou restabeleça – a organização da segurança. O grupo deve ter o foco na segurança das informações, não só as limitações das tecnologias que possui.

7. Revise a posição existente e desenvolva novas de acordo com as necessidades. Isso pode incluir uma política aceitável e configuração de segurança mínima para qualquer equipamento da rede.

8. Monte times de implementação. Coloque juntos grupos com funções complementares, com funções técnicas e de negócio para orquestrar os planos as novas políticas, iniciativas, ferramentas e processos.

9. Tenha um executivo da diretoria de segurança revisando os planos. Este grupo deve considerar o orçamento, tempo de execução e prioridades.

10. Revise as possibilidades técnicas. Isto pode ser feito por um técnico de segurança que represente o escritório do CIO e do CTO, mais o pessoal de operações, serviços de produção e suporte.

11. Determine, faça a programação, execute e discute o que pode ser feito e entregue. Dê claras responsabilidades individuais e de grupo.

12. Coloque toda a equipe de trabalho no plano estratégico. Cada um do departamento de segurança deve estar apto a introduzir e explicar os objetivos do plano de segurança e detalhar como os projetos estão contribuindo para a meta da empresa.

13. Mensure resultados com métricas e estas métricas de segurança de TI devem estar baseadas em objetivos que terminem em decisões certas e melhorias de negócio.

*Sarah D. Scalethes é CISO da Universidade de Geórgia (EUA)
Copyright 2006 IDG Brasil Ltda. Todos os direitos

Nenhum comentário: