Convém que os riscos para os recursos de processamentos da informação e da informação da organização oriundos de processos de negócio que envolvam as partes externas sejam identificados e controles apropriados implementados antes de se conceder o acesso.
Aspectos a serem seguidos:
- Os recursos de processamentos da informação que uma parte externa esteja autorizada a acessar;
- Tipo de acesso que a parte externa terá aos recursos de processamento da informação, como por exemplo, acesso a salas,computadores, arquivos de papéis, banco de dados, sistemas de informação, rede de conexão, acesso remoto, etc;
- Valor e a sensibilidade da informação envolvida, e a sua criticidade para as operações do negócio;
- Controles necessários para proteger a informação que não deva ser acessada pelas partes externas;
- Como a organização ou pessoal autorizado a ter acesso pode ser identificado;
- As diferentes formas e controles empregado pela parte externa quando estiver armazenando, processando, comunicando, compartilhando informações;
- Impacto do acesso não está disponível para a parte externa, quando requerido, e a entrada ou o recebimento incorreto ou por engano da informação;
- Práticas e procedimentos para tratar com incidentes de segurança da informação e danos potenciais, e os termos e condições para que a parte externa continue acessando, no caso que ocorra um incidente de segurança da informação;
Convém que o acesso às informações da organização pela parte externa não seja fornecido até que os controles apropriados tenha sido implementados e, onde for viável, um contrato tenha sido assinado definindo os termos e condições para a conexão ou o acesso e os preparativos para o trabalho.
A informação pode ser colocada em risco por partes externas com uma gestão inadequada da segurança da informação. Convém que os controles sejam identificados e aplicados para administrar o acesso da parte externa aos recursos de processamento da informação.
Nenhum comentário:
Postar um comentário