Segurança informática em auditoria

6.8. NIST 800-14 [35]

Esta norma foi produzida pelo National Institute of Standards and Technology - Technology Administration - U.S. Department of Commerce. Foi-lhe atribuída a designação "Generally Accepted Principles and Practices for Securing Information Technology Systems".

Este standard aborda os princípios e práticas, bem como os relacionamentos entre princípios. Tem preocupações com a audiência e terminologia a usar nos princípios de segurança de sistemas geralmente aceites. Trata-se de um documento com intenções semelhante aos princípios contabilísticos ou de auditoria geralmente aceites.

Sustenta que a segurança dos computadores suporta a missão da organização e é um elemento integral da gestão sólida moderna. As responsabilidades devem ser tornadas explícitas e avaliadas regularmente de forma integrada e compreensiva tendo em conta que a segurança é muito influenciada actualmente por factores sociais. Há quem crie problemas de segurança nas redes pelo prazer de conseguir fazer algo difícil!

As políticas são um aspecto chave, tal como a gestão do risco, identificação de ameaças e a sua mitigação. A segurança é vista como um processo que deve ser controlado desde a fase de planeamento à fase de monitorização, tal como se faz no Cobit.

O standard NIST trata ainda de diversos domínios comuns como a gestão de utilizadores, contingência, recuperação de desastres com cenários alternativos hipotéticos, gestão de incidentes, treino dos utilizadores, identificação, autenticação e gestão de passwords e encriptação. O Audit Trail é também uma preocupação saliente do standard.