As informações de segurança sensíveis devem ser compartilhadas apenas com indivíduos e entidades que têm uma necessidade legítima de saber e possuir a liberação apropriada de segurança ou autorização . Isso é crucial para manter a confidencialidade e a prevenção de violações.

Os indivíduos ou entidades específicos variarão dependendo da natureza da informação e das políticas de segurança da organização. No entanto, alguns exemplos podem incluir:

* pessoal com necessidade de saber por suas tarefas de trabalho: Isso pode incluir a equipe de segurança de TI, administradores de sistemas, respondedores de incidentes, investigadores autorizados ou pessoal envolvido no gerenciamento de riscos. Seu acesso deve ser estritamente limitado ao necessário para seus papéis.

* parceiros externos com uma obrigação contratual: Isso pode envolver fornecedores de terceiros que prestam serviços de segurança, auditores que conduzem avaliações de segurança ou agências governamentais em indústrias regulamentadas. Esses relacionamentos devem ser governados por rigorosos acordos de não divulgação (NDAs) e protocolos de segurança.

* órgãos policiais ou reguladores: No caso de um incidente de segurança ou requisito legal, as informações de segurança sensíveis podem precisar ser compartilhadas com as agências policiais ou reguladoras para cumprir as obrigações legais.

* equipes internas designadas: Equipes internas específicas como um Centro de Operações de Segurança (SOC) ou uma equipe de resposta a incidentes de segurança (SIRT) exigiriam acesso para resolver problemas de segurança.

É fundamental evitar:

* compartilhamento desnecessário: Compartilhar informações confidenciais com indivíduos que não precisam saber cria riscos desnecessários.
* compartilhando através de canais não seguros: Informações sensíveis devem ser compartilhadas apenas através de canais de comunicação seguros.
* controles de acesso excessivamente amplos: O acesso deve ser concedido em uma base rigorosa de "necessidade de saber" e revisada regularmente.

As organizações devem ter políticas e procedimentos de segurança bem definidos que descrevam claramente quem pode acessar informações de segurança confidenciais, como elas podem ser compartilhadas e que salvaguardas estão em vigor para protegê-lo. Essas políticas devem cumprir os requisitos legais e regulatórios relevantes.