Due Care
“Due care” (devido cuidado) é um termo legal utilizado para descrever o cuidado que “uma pessoa razoável” tomaria sob determinadas circunstâncias, utiliza-se para descrever a obrigação legal de um indivíduo ou organização. A falta de “due care” é normalmente considerada como negligencia, e em vários países é susceptível de recurso ao abrigo do direito. Se uma organização está legalmente obrigada a cumprir com os regulamentos ou requisitos de segurança da informação, e se de modo consciente ou inconscientemente negligenciar essas exigências ela pode ser levada a uma exposição legal sob a perspectiva do “due care”.
Due Diligence
“Due diligence” (devida diligencia) é similar a “due care” com a exceção que é uma medida preventiva tomada para evitar danos a outras pessoas ou sua propriedade, é uma prática que deve ser adotada pelos profissionais de segurança da informação como principio básico em suas carreiras. Exemplos de “due diligence” incluem checar antecedentes de funcionários, crédito de parceiros de negócio, avaliação da segurança dos sistemas, avaliação de risco na segurança física, testes de invasão de “firewall”, teste de contingência em sistemas de “backup”, e checagem do uso/divulgação da propriedade intelectual da empresa.
