Embora as organizações implementem diversos mecanismos de segurança, dificultando o acesso indevido as informações, geralmente o ambiente computacional possui uma relação de confiança com outro ambiente computacional.

Existem diversos exemplos que colocam as empresas no mesmo “barco” da segurança da informação. O primeiro é quando a sua empresa conecta o ambiente computacional da filial a matriz. Isso significa que diretores e funcionários da filial poderão ter acesso às informações da matriz através do ambiente computacional.

A filial, porém, não tem implementado os mesmos mecanismos de segurança da matriz, tais como firewall, sistema de detecção de intrusos (IDS), antivírus gerenciável, treinamento interno, etc.

Outro exemplo interessante é quando a empresa contrata os serviços de data center. Com o objetivo de reduzir custos, as informações da empresa são armazenadas em servidores de terceiros. O ambiente computacional da empresa precisa estabelecer uma relação de confiança com o data center para ter acesso as informações. Algumas ameaças já podem ser identificadas neste exemplo.
 
Antes de contratar os serviços do data center, a organização precisa estar preparada para responder as seguintes perguntas:

1) Nossa empresa teve acesso ao curriculum vitae dos funcionários do data center responsáveis pelo backup das informações?

2) O funcionário responsável pelo backup pode ter trabalhado ou até mesmo ser “amigo” do principal concorrente da sua empresa.?

3) O departamento de RH do data center deve ter um documento chamado “antecedente criminal” relacionado ao funcionário responsável pelo backup? Essa análise é importante para identificar se o funcionário do data center teve algum problema com a polícia em relação a atividades de hacking.

4) A pessoa responsável pelo backup assinou algum termo de confidencialidade?

5) O serviço de backup do data center é terceirizado?

6) Em qual local são armazenadas as fitas de backup?