Os 7 pecados mortais das políticas de segurança

Joan Goodchild, colunista da NetworkWorld, apresenta-nos um artigo em que aborda o tema das políticas de segurança organizacionais, focando os aspectos que, na sua opinião, constituem os erros mais crassos na sua concepção. E são sete:

  1. Preparar políticas de segurança sem realizar uma análise de risco prévia;
  2. Acreditar que uma política de segurança genérica é adequada para qualquer organização;
  3. Não manter uma estrutura stardardizada na definição das políticas;
  4. Definir políticas desadequadas à realidade, i.e., que são realizáveis apenas no papel;
  5. Não obter apoio para a concretização das políticas na organização, ao nível da gestão de topo;
  6. Escrever as políticas de segurança após a realização dos sistemas e aplicações;
  7. Não rever nem adaptar as políticas à evolução dos processos da organização e do sistema de informação.

Facilmente subscrevemos este conjunto. O artigo acrescenta o racional e algum detalhe a cada um destes tópicos. Intitula-se The seven deadly sins of security policy e está online no site da NW.