Em nosso mundo de dados mercantilizados, os padrões de segurança cibernética precisam ser altíssimos e precisos. A maioria das empresas, mesmo que não seja imediatamente relacionada à tecnologia, acabará por se deparar com a necessidade de se preparar internamente.

Mais de uma década atrás, a Organização Internacional de Padrões adotou uma especificação chamada ISO 27001. Então, o que exatamente é isso? O que uma auditoria ISO 27001 pode nos dizer sobre as maquinações internas de uma organização? E como você decide se sua empresa deve ser auditada?

O que é um Sistema de Gerenciamento de Segurança da Informação (SGSI)?

Um Sistema de Gestão de Segurança da Informação (SGSI) é a principal linha de defesa de uma organização contra violações de dados e outros tipos de ameaças cibernéticas de fora.

Um SGSI eficaz garante que as informações protegidas permaneçam confidenciais e seguras, fiéis à fonte e acessíveis às pessoas que têm autorização para trabalhar com elas.

Um erro comum é presumir que um ISMS equivale a não mais do que um firewall ou outro meio técnico de proteção. Em vez disso, um SGSI totalmente integrado está tão presente na cultura da empresa e em cada funcionário, engenheiro ou não. Vai muito além do departamento de TI.

Mais do que políticas e procedimentos meramente oficiais, o escopo desse sistema também inclui a capacidade da equipe de gerenciar e refinar o sistema. A execução e a forma como o protocolo é realmente aplicado são fundamentais.

Isso envolve uma abordagem de longo prazo para a gestão e mitigação de riscos. Os diretores de uma empresa precisam estar intimamente familiarizados com quaisquer riscos associados ao setor em que trabalham especificamente. Armados com essa percepção, eles serão capazes de construir as paredes ao seu redor de acordo.

O que é a ISO 27001, exatamente?

Em 2005, a International Organization for Standardization (ISO) e a International Electrotechnical A Comissão (IEC) renovou o BS 7799, um padrão de gerenciamento de segurança estabelecido pela primeira vez pelo Grupo BSI por 10 anos anteriormente.

Agora oficialmente conhecido como ISO / IEC 27001: 2005, o ISO 27001 é um padrão internacional de conformidade concedido a empresas que são exemplares no gerenciamento de segurança da informação.

Basicamente, é uma coleção rigorosa de padrões contra os quais o sistema de gerenciamento de segurança da informação de uma empresa pode ser aplicado. Essa estrutura permite que os auditores avaliem a tenacidade do sistema como um todo. As empresas podem optar por uma auditoria quando desejam garantir a seus clientes e clientes que seus dados estão seguros dentro de suas paredes.

Incluídos nesta coleção de disposições estão: especificações relativas à política de segurança, ativos classificação, segurança ambiental, gerenciamento de rede, manutenção de sistema e continuidade de negócios planejamento.

A ISO condensou todas essas facetas do regulamento BSI original, destilando-as na versão que reconhecemos hoje.

Explorando a política

O que exatamente está sendo avaliado quando uma empresa passa por uma auditoria ISO 27001?

O objetivo da norma é formalizar internacionalmente uma política de informação eficaz e segura. Incentiva uma postura proativa, que busca evitar problemas antes que aconteçam.

A ISO enfatiza três aspectos importantes de um ISMS seguro:

1. Análise constante e reconhecimento de risco: isso inclui os riscos atuais e os que podem se apresentar no futuro.

2. Um sistema robusto e seguro: inclui o sistema tal como existe no sentido técnico, bem como quaisquer controles de segurança que a organização utilize para se proteger contra os riscos mencionados. Eles serão muito diferentes, dependendo da empresa e do setor.

3. Uma equipe dedicada de líderes: essas serão as pessoas que realmente colocarão os controles em ação em defesa da organização. O sistema é tão eficaz quanto aqueles que trabalham no leme.

A análise desses três principais fatores contribuintes ajuda o auditor a traçar um quadro mais completo da capacidade de uma determinada empresa de operar com segurança. A sustentabilidade é favorecida em relação a um SGSI que depende apenas da força técnica bruta.

Relacionado: Como evitar que os funcionários roubem dados da empresa quando eles saírem

Há um importante elemento humano que deve estar presente. A maneira como as pessoas dentro da empresa exercem controle sobre seus dados e seu SGSI é mantida acima de tudo. Esses controles são o que realmente mantém os dados seguros.

O que é o Anexo A da ISO 27001?

Exemplos específicos de "controles" dependem da indústria. O Anexo A da ISO 27001 oferece às empresas 114 meios oficialmente reconhecidos de controle sobre a segurança de suas operações.

Esses controles se enquadram em uma das quatorze classificações:

A.5-Políticas de Informação e Segurança: as políticas e procedimentos institucionalizados que uma empresa segue.

A.6—Organização de Segurança da Informação: a atribuição de responsabilidades dentro da organização em relação à estrutura do SGSI e sua implementação. Incluída aqui, por incrível que pareça, também está a política que rege o teletrabalho e o uso de dispositivos dentro da empresa.

A.7—Segurança de Recursos Humanos: preocupações com integração, desligamento e mudança de funções dos funcionários dentro da organização. Padrões de triagem e melhores práticas em educação e treinamento também são descritos aqui.

A.8-Gestão de ativos: envolve os dados que estão sendo tratados. Os ativos devem ser inventariados, mantidos e mantidos em sigilo, mesmo entre as linhas departamentais em alguns casos. A propriedade de cada ativo deve ser estabelecida claramente; esta cláusula recomenda que as empresas elaborem uma "Política de Uso Aceitável" específica para sua linha de negócios.

A.9-Controle de acesso: quem tem permissão para lidar com seus dados e como você limitará o acesso apenas a funcionários autorizados? Isso pode incluir a configuração de permissão condicional em um sentido técnico ou acesso a edifícios fechados no campus de sua empresa.

A.10-Criptografia: trata principalmente de criptografia e outras maneiras de proteger dados em trânsito. Essas medidas preventivas devem ser gerenciadas ativamente; a ISO desencoraja as organizações a considerarem a criptografia uma solução única para todos os desafios profundamente diferenciados associados à segurança de dados.

A.11-Segurança Física e Ambiental: avalia a segurança física de onde quer que os dados confidenciais estejam localizados, seja em um prédio comercial real ou em uma pequena sala com ar-condicionado cheia de servidores.

A.12-Operações de Segurança: quais são as suas regras internas de segurança no que diz respeito ao funcionamento da sua empresa? A documentação que explica esses procedimentos deve ser mantida e revisada com frequência para atender às novas necessidades de negócios emergentes.

Gerenciamento de mudanças, gerenciamento de capacidade e a separação de diferentes departamentos se enquadram neste título.

A.13-Gerenciamento de segurança de rede: as redes que conectam cada sistema de sua empresa precisam ser herméticas e cuidadas com cuidado.

Soluções abrangentes, como firewalls, tornam-se ainda mais eficazes quando complementadas com itens como pontos de verificação de verificação frequentes, políticas de transferência formalizadas ou por proibindo o uso de redes públicas ao lidar com os dados da sua empresa, por exemplo.

A.14-Aquisição, desenvolvimento e manutenção do sistema: se sua empresa ainda não tem um SGSI implementado, esta cláusula explica o que um sistema ideal traz para a mesa. Ele ajuda você a garantir que o escopo do ISMS cubra todos os aspectos do seu ciclo de vida de produção.

Uma política interna de desenvolvimento seguro fornece a seus engenheiros o contexto de que precisam para construir um produto compatível desde o dia em que seu trabalho começa.

A.15—Política de Segurança do Fornecedor: ao fazer negócios com fornecedores terceirizados fora de sua empresa, quais cuidados são tomados para evitar vazamentos ou violações dos dados compartilhados com eles?

A.16-Gestão de Incidentes de Segurança da Informação: quando as coisas dão errado, sua empresa provavelmente fornece uma estrutura de como o problema deve ser relatado, tratado e evitado no futuro.

A ISO busca sistemas de retaliação que permitam às autoridades dentro da empresa agir com rapidez e grande preconceito após a detecção de uma ameaça.

A.17-Aspectos de segurança da informação da gestão de continuidade de negócios: no caso de um desastre ou algum outro incidente improvável que interrompa suas operações de forma irrevogável, um plano precisará estar no local para preservar o bem-estar da empresa e seus dados até que os negócios sejam retomados conforme normal.

A ideia é que uma organização precisa de alguma forma de preservar a continuidade da segurança em tempos como estes.

A.18-Conformidade: finalmente, chegamos ao contrato real de convênios que uma empresa deve assinar para cumprir os requisitos para a certificação ISO 27001. Suas obrigações estão expostas diante de você. Tudo o que resta a você fazer é assinar na linha pontilhada.

A ISO não exige mais que as empresas em conformidade empreguem apenas controles que se enquadrem nas categorias listadas acima. A lista é um ótimo lugar para começar se você está apenas começando a estabelecer as bases do SGSI da sua empresa.

Relacionado: Como melhorar sua atenção com boas práticas de segurança

Minha empresa deve ser auditada?

Depende. Se você é uma start-up muito pequena que trabalha em um campo que não é sensível ou de alto risco, provavelmente pode esperar até que seus planos para o futuro sejam mais certos.

Mais tarde, conforme sua equipe cresce, você pode se encontrar em uma das seguintes categorias:

  • Você pode estar trabalhando com um cliente importante que pede que sua empresa seja avaliada para garantir que eles estarão seguros com você.
  • Você pode querer fazer a transição para um IPO no futuro.
  • Você já foi vítima de uma violação e precisa repensar a maneira como gerencia e protege os dados da sua empresa.

Prever o futuro nem sempre é fácil. Mesmo que você não se veja em nenhum dos cenários acima, não custa nada ser proativo e começar a incorporar algumas das práticas recomendadas pela ISO em seu regime.

O poder está em suas mãos

Preparar seu SGSI para uma auditoria é tão simples quanto fazer a devida diligência, mesmo enquanto você trabalha hoje. A documentação deve sempre ser mantida e arquivada, dando a você a evidência de que você precisa para fazer o backup de suas declarações de competência.

É como no ensino médio: você faz a lição de casa e tira a nota. Os clientes estão sãos e salvos e seu chefe está muito feliz com você. Esses são hábitos simples de aprender e manter. Você vai agradecer a si mesmo mais tarde, quando o homem com uma prancheta finalmente vier ligar.

E-mail
As 4 principais tendências de segurança cibernética a serem observadas em 2021 e além

Aqui estão os ataques cibernéticos nos quais você precisa ficar de olho em 2021 e como você pode evitar ser vítima deles.

Leia a seguir

Tópicos relacionados
  • Segurança
  • Segurança Informática
  • Segurança de dados
Sobre o autor
Emma Garofalo (31 artigos publicados)

Emma Garofalo é uma escritora que mora atualmente em Pittsburgh, Pensilvânia. Quando não está labutando em sua mesa em busca de um amanhã melhor, ela geralmente pode ser encontrada atrás da câmera ou na cozinha.

Mais de Emma Garofalo

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Mais um passo…!

Confirme seu endereço de e-mail no e-mail que acabamos de enviar.

.