Responsabilidades em segurança da informação nas empresas
Pessoas, Processos e Tecnologia são pilares que representam a Segurança da Informação e através destes devem garantir a confidencialidade, integridade e disponibilidade das informações.
No entanto, os processos continuam sendo mapeados sem avaliar a segurança dos dados, as pessoas continuam sem receber treinamento sobre o assunto e a solicitação para gastar orçamento em tecnologia somente tende a aumentar.
Segundo estatísticas, o fator humano é o ponto mais fraco em questões relacionadas à Segurança da Informação, pois, muitas vezes não está ligada diretamente a área essencialmente técnica.
O trabalho dos gestores de segurança da informação é assegurar a integridade dos dados da empresa e, juntamente com essa responsabilidade, há diversas situações que estão propícias acontecer, desde a pressão por parte dos executivos até a ocorrência de falhas de segurança. É necessário a alta gestão da organização atribuir, assegurar e comunicar as responsabilidades e autoridades dos papéis relevantes para a segurança da informação. Segundo pesquisa da Ponemon Institute (2018), 84% dos entrevistados precisam de mais funcionários para lidar com os seus desafios de segurança. Mais de 50% queriam mesmo duplicar as equipes e os mais radicais, 30% queriam aumentar suas equipes em quatro vezes ou mais. A questão é que a visibilidade da segurança da informação precisa ser sentida em toda a empresa para que os colaboradores enxerguem seu valor.
Cada pessoa ou equipe com responsabilidades pela gestão da segurança da informação deve estar claramente ciente das responsabilidades e das tarefas relacionadas por meio da política específica. Sem essa responsabilidade, falhas nos processos podem dar acesso a recursos críticos.
As empresas também devem considerar planos de transição e/ou sucessão do time relevante para evitar potenciais gaps nos procedimentos de segurança, que poderiam resultar em falhas na atribuição de responsabilidades e, portanto, não execução das atribuições. Ainda, é necessário dentro de uma política de segurança da informação, a adoção de medidas voltadas para o treinamento, capacitação de RH, apresentação de seminários, palestras que foquem à importância com que deve ser tratado o fator humano na SI. Afinal, Segurança da Informação em pessoas é responsabilidade de todos.
Levando-se em consideração que dificilmente a engenharia social será erradicada, essas medidas, certamente, farão com que vulnerabilidades relacionadas à engenharia social sejam minimizadas no âmbito das organizações. Com isso, a engenharia social provavelmente sempre funcionará.
Autora: Janaina Devus – Coordenadora de Segurança da Informação do time de GRC Cipher.
0 Comments