Quais são exemplos de perguntas que devem ser feitas para ajudar a desenvolver diretrizes de segurança para uma empresa?
Não é possível implementar a segurança, se ainda não decidimos o que precisa ser protegido e de quem. Precisamos de uma política de segurança, uma lista do que consideramos admissível e o que você não consideramos admissível, sobre como basear as decisões em termos de segurança. Devemos também determinar a resposta à violações de segurança. As perguntas a seguir exemplificam o desenvolvimento de diretrizes gerais:
- Exatamente de quem queremos nos proteger?
- Usuários remotos precisam ter acesso a nossa rede e sistemas?
- Como classificamos as nossas informações confidenciais ou sensíveis?
- Quais as consequências se essas informações forem divulgadas para concorrentes ou outras pessoas de fora?
- Nossas senhas ou criptografia fornecem proteção suficiente?
- Precisamos acessar à Internet?
- Quantos acesso serão permitidos aos nossos sistemas a partir da Internet e / ou usuários fora da rede (parceiros de negócios, fornecedores, afiliados corporativos, etc)?
- Que medidas tomaremos se descobrirmos brechas na nossa segurança?
- Quem na nossa organização irá impor e fiscalizar esta política?
Esta lista é curta, e uma política de segurança empresarial irá provavelmente demandar mais do que isso. Qualquer política de segurança é baseada no quanto confiamos nas pessoas, tanto dentro quanto fora da empresa. A política deve proporcionar um equilíbrio entre permitir aos seus usuários um acesso razoável à informação que necessitam para fazer o trabalho, e não permitir o acesso às outras informações. O ponto onde esta linha é delineada irá determinar a sua política de segurança empresarial.
Essas perguntas compõem um check list simples e inicial que ajuda a investigar a situação, necessidades/problemas, implicações e imagens de soluções, risco e valor da segurança para uma empresa
