Segurança por números

Segurança por números

Alguns meses atrás, perguntei nesta coluna se a segurança de TI ruim deveria se tornar um crime por si só, meu argumento é que um dever legal de divulgação, agora imposto em alguns estados dos EUA, poderia induzir contadores de feijão a errar do lado de cautela, em vez de barato ao pagar medidas de segurança - é melhor gastar alguns milhares agora para evitar uma multa com vários outros zeros se um buraco de segurança que você conhecia é explorado. Em poucas palavras, criminalize a quebra de regras de proteção de dados.

Eu não fiquei surpreso quando esse argumento trouxe mais do que a colheita usual de nozes de suas conchas e na minha caixa de correio (você sabe quem é), embora a gravidade específica do vitríolo fosse um pouco maior do que o esperado, mesmo de uma comunidade melhor descrito como “louco como uma caixa de sapos”. Do equilíbrio desses discursos, veio esta correspondência bastante instigante de Glenn Glidden, gerente de TI de uma faculdade de educação mais aprofundada: “Concordo que os danos à reputação podem ser uma boa alavanca para tentar fazer com que as organizações mudem de políticas de segurança de TI, mas não Uma maneira é para o governo exigir que os órgãos públicos implementem BS7799?”

Ele continua: “Até onde eu sei, não há requisito específico. Claro, isso não significa que será aplicado, daí meu apoio para criminalizar essas violações de segurança, duplamente, se você souber o que deveria ter feito.”O próprio Glenn está abordando o problema usando o que vê como uma solução intermediária, o manual de segurança da informação da UCISA (www.Ucisa.AC.Reino Unido/Publicações/IST.ASPX) como base para a política local. Este documento é baseado no BS7799 e abrange cerca de 90% de seus requisitos, mas não pode suprir magicamente o tempo para permitir que Glenn o implemente, nem pode garantir que sua equipe cumpra: “É aí que a compulsão legal e governamental ajudaria. Eu sou o único que impulsionou isso no momento, daí o progresso lento.Glenn acrescenta: “O tempo de implementação com o manual seria mais rápido se fosse realmente apresentado como uma política completa com listas de verificação de auditoria, por isso estava mais próximo de um resultado final. Além disso, um guia da equipe sobre por que a segurança era importante seria útil, mas parece falta.”

O que me leva a perguntar, o leitor, você está implementando o BS7799/ISO27001 e, se sim, como você está se saindo e quais recursos você encontrou mais útil? Que armadilhas você encontrou? Dependendo de suas respostas, posso dedicar uma coluna inteira a isso.

No material marrom

O show anual da Infosecurity Europe agora está bem e verdadeiramente atrás de nós, mas seu legado de comunicados de imprensa, pesquisas e relatórios de pesquisa permanecem como um mau cheiro. Se alguma coisa é calculada para aumentar minha pressão arterial ao nível de perigo, é a pesquisa anual que os organizadores deste programa conduzem durante a preparação, sem dúvida para divulgar o evento, bem como a conscientização sobre segurança em geral, e que sempre parece envolver chocolate. Não é a pesquisa em si que me acaba, mas a maneira como torna aparente a incapacidade do grande público britânico de entender o conceito de que seus dados são valiosos e que eles precisam desempenhar um papel em protegê -lo.

É por isso que fiquei agradavelmente surpreendido com os resultados da última pesquisa, que ocorreu fora de uma estação ferroviária movimentada de Londres e envolveu um grupo de bonitas damas fazendo perguntas inadequadas sobre questões pessoais de segurança de TI em troca de uma barra de chocolate. A boa notícia é que as coisas realmente se tornaram melhores, ou assim parece, uma vez que apenas 21% dos perguntados estavam preparados para revelar suas senhas para chocolate este ano, em comparação com 64% enormes no ano passado. Curiosamente, (embora dificilmente surpreenda, pois minha esposa e todos os seus amigos parecem viciados em coisas) as mulheres tiveram quatro vezes mais chances de sucumbir a essa forma específica de suborno do que os homens.