A segurança da informação tem ganhado cada vez mais relevância no cenário mundial nos últimos anos, o que vem se refletindo em grandes investimentos das organizações em segurança, com treinamentos e tecnologia cada vez mais sofisticada para proteger redes e obter softwares mais seguros.
Um dos principais motivos que levaram esse tema a entrar em evidência foi o risco de vazamento ou acesso de pessoas mal intencionadas a dados e sistemas sigilosos. Temos visto nos últimos meses diversos “sequestros” de sistemas e bancos de dados de grandes companhias e também ciberataques pelo mundo, o que representa um grande problema para toda a sociedade. É nesse cenário que a gestão de segurança da informação e a sua ligação direta com a ISO 27001 e a LGPD – Lei Geral de Proteção de Dados se torna pauta cada vez mais importante no meio empresarial e governamental.
A fim de lhe informar sobre o assunto, na conversa de hoje falaremos sobre o que é a ISO 27001, como funciona sua implementação, quais os seus benefícios para a empresa, como reforçar a segurança no acesso às informações e apresentaremos algumas práticas a serem implementadas para que os dados sejam mantidos de forma segura. Quer saber mais sobre esse tema? Venha conosco!
O que é a ISO 27001? Qual sua função e como implementar na empresa?
A ISO 27001 é uma norma internacional de Gestão de Segurança da Informação cujo princípio geral é a adoção de um conjunto de requisitos, processos e controles, com o objetivo de gerir adequadamente os riscos de Segurança da Informação presentes nas organizações. Essa norma foi desenvolvida em meio a digitalização das empresas, onde o cuidado com os dados se tornou chave para o sucesso do negócio.
A implementação da ISO 27001 tem como objetivo garantir o compromisso com a segurança da informação, fornecendo às organizações um modelo de melhores práticas para identificar e analisar riscos de segurança da informação, implementar controles para mitigá-los e proteger a confidencialidade, integridade e disponibilidade de dados essenciais aos negócios.
Essa norma pode ser aplicada em qualquer tipo de empresa, com ou sem fins lucrativos, privada ou pública, e de qualquer porte, afinal, a ISO 27001 confere maior confiança às organizações que interagem com uma empresa certificada.
Em 2022, a ISO 27001 e a ISO 27002 estão passando por processo de revisão. Nele, a ISO 27001 teve os controles do Sistema de Gestão de Segurança da Informação revisados (Anexo A). As mudanças serão pauta de nossos próximos artigos.
Para implementar essa norma, a empresa deve atender aos requisitos definidos no documento. Isto inclui políticas, processos, procedimentos, controles e práticas descritas e requeridas pela norma, ajustando-as à realidade da empresa. As principais etapas da implementação são:
– Obter apoio da alta direção e realizar o planejamento de todas atividades necessárias;
– Definir o escopo do Sistema de Gestão de Segurança da Informação;
– Definir a metodologia e realizar a identificação, avaliação e tratamento de riscos;
– Identificação e tratamento dos ativos;
– Escrever a declaração de aplicabilidade que contenha os controles necessários;
– Definir indicadores e medir o nível de eficácia dos controles;
– Implementar todos os controles e procedimentos aplicáveis de acordo com a declaração de aplicabilidade;
– Implementar programas de treinamentos e conscientização;
– Monitorar e avaliar o Sistema de Gestão de Segurança da Informação;
– Realizar auditorias internas que cubram todos os controles da ISO 2700;
– Realizar análise crítica dos resultados do Sistema de Gestão de Segurança da Informação;
– Identificar não conformidades, implementar ações corretivas e ações de melhoria, quando necessário.
Quais são os benefícios da ISO 27001 para a empresa?
A adoção da norma na empresa traz diversos benefícios à organização. Confira alguns deles a seguir:
Melhores práticas: A norma propicia as melhores práticas referentes à Gestão da Segurança da Informação. Seus controles são reconhecidos internacionalmente, além de envolverem a Segurança da Informação em todos os níveis.
Controle dos riscos: Com a análise de riscos e o tratamento destes, as ações de controle são planejadas para evitar a exploração de pontos fracos do seu sistema.
Conformidade: Ao exigir conformidade com todas as leis e requisitos contratuais, a norma impacta positivamente a gestão de riscos e a governança corporativa, colocando o seu negócio em conformidade com a maioria das legislações de proteção de dados vigentes, como a LGPD.
Vantagem competitiva: Seguir as práticas da norma e até mesmo possuir a certificação ISO 27001 demonstra o compromisso da empresa com a Segurança da Informação, o que gera grande nível de confiança dos clientes.
As certificações dessa forma também são exigidas por muitas empresas parceiras como forma de garantir a conformidade com as leis, o que pode aumentar o número de oportunidades de negócios.
Monitoramento: A empresa deve criar indicadores reativos e proativos que evidenciam a evolução do Sistema de Gestão de Segurança da Informação. Além disso,, a realização de auditorias permite à empresa ter a chance de rever, analisar e alterar seus processos caso seja necessário devido um surgimento de um gap ou oportunidade.
Aprimoramento constante: A ISO exige que o Sistema de Gestão de Segurança da Informação melhore continuamente! Para tal, a partir de dados coletados nos processos e clientes, a empresa tem a oportunidade de definir e implementar ações corretivas e de melhoria, evitando que o problema volte a acontecer.
Organização interna da empresa: A norma define que é necessário determinar os papéis e responsabilidades da equipe. Quando as ações são bem definidas e os objetivos esclarecidos, o desempenho operacional torna-se mais efetivo.
Integração de sistemas de gestão: Uma das bases da ISO 27001 é o ciclo PDCA (Planejar, Fazer, Verificar, Agir), que também faz parte de outras normas de sistemas de gestão. Desta forma, fica mais simples desenvolver um sistema de gestão único que atenda aos requisitos de outras normas, por exemplo, a ISO 9001 – Sistema de Gestão da Qualidade, ISO 14001 (Ambiental) e ISO 45001 (Saúde e Segurança).
Como reforçar a segurança do acesso à informação dentro da empresa?
Para garantir que a informação esteja protegida e que a sua Segurança da Informação seja efetiva, além de investir em tecnologia, é essencial também trabalhar com alinhamento de processos e conscientização de pessoas de toda a organização.
O primeiro passo é entender o contexto da organização e o risco associado às suas informações para então direcionar o tratamento adequado para cada tipo de informação, seja ela comercial, financeira, política ou até mesmo legal, fornecendo confiança para as partes interessadas de que os riscos são gerenciados corretamente.
Com este direcionamento, trabalha-se nas frentes de Processos, Tecnologia e Pessoas, construindo as Políticas de Segurança da Informação, alinhando os processos organizacionais, e direcionando a utilização adequada de tecnologia, além de conscientizar as pessoas sobre como lidar com as informações e recursos corporativos, reforçando a confidencialidade, a integridade e a disponibilidade.
É importante lembrar que a LGPD (Lei Geral de Proteção de Dados) também aborda o tema de acesso aos dados, porém seu foco é em dados pessoais. Nesse contexto, a certificação ISO 27001 apresenta-se como uma forma de ir além dos requisitos da LGPD, fornecendo segurança completa tanto para dados pessoais quanto dados empresariais.
Conheça alguns dos principais casos de problemas de segurança da informação
Para ilustrar a importância da segurança da informação, falaremos sobre alguns dos principais casos de problemas de cibersegurança no Brasil e no mundo:
1 – Uber: Em 2016, a Uber sofreu um ciberataque em grande escala. Foram expostos os dados de 57 milhões de usuários no mundo todo, incluindo 196 mil brasileiros.
Segundo a Comissão Federal de Comércio norte-americana, os dados vazados consistiam em e-mails, dados da carteira de habilitação dos motoristas e números de celular. A solução adotada pela empresa foi a negociação com os criminosos, que se comprometeram a deletar os dados roubados. No entanto, não é recomendado negociar com os criminosos, visto que não há formas de assegurar que os dados roubados sejam de fato deletados.
2 – Facebook: No início de 2018, o Facebook admitiu o vazamento de dados de aproximadamente 87 milhões de usuários. Entre eles, encontravam-se mais de 443 mil brasileiros.
Para piorar a situação da empresa, a Cambridge Analytica, responsável por tratar e coletar dados da rede social, foi acusada de compartilhamento ilegal de informações para fins de manipulação eleitoral em 2016. Após sofrer duras críticas, o fundador do Facebook, Mark Zuckerberg se comprometeu a adotar medidas mais drásticas para evitar novos vazamentos.
3 – Netshoes: No final de 2017, a Netshoes foi alvo do ataque de hackers. Mais de 2 milhões de clientes foram afetados com o vazamento de dados, como e-mail, CPF e data de nascimento. Apesar disso, a empresa assegurou que nenhum dado bancário foi exposto no ataque. Após o ocorrido, a empresa se comprometeu a entrar em contato com os afetados para explicar a situação e lhes oferecer orientação.
4 – Adobe: A companhia norte-americana de softwares sofreu um grave ataque virtual em 2013. Estima-se que cerca de 152 milhões de nomes e senhas de usuários foram expostos. Isso, além dos 2,8 milhões de números de cartões de crédito. Apesar disso, a empresa apenas admitiu que o vazamento de dados atingiu 38 milhões.
Em decorrência do caso, a Adobe foi processada por vários estados americanos. Em 2016, a empresa precisou pagar o valor de US $1 milhão em multas.
Com todos esses casos acontecendo no Brasil e no exterior, podemos ver que a cibersegurança é um tema mundial de alta importância, especialmente para as empresas.
Como garantir que os dados sejam mantidos de forma segura?
Confira a seguir 5 dicas práticas para manter a segurança dos dados na sua empresa:
1 – Implemente uma Política de Segurança da Informação: De nada adianta uma organização contar com as melhores soluções para a proteção de dados se não existe uma política de segurança da informação clara a ser seguida por todos os seus colaboradores, não é mesmo?
Uma Política de Segurança da Informação deve estipular, interna e externamente, como se dará o acesso às informações corporativas, além das responsabilidades e penalidades cabíveis em caso de desrespeito às normas estabelecidas. É nesse cenário que a certificação ISO 27001 se torna ainda mais relevante, garantindo que a sua empresa siga todas as normas de segurança da informação.
2 – Aplicativos e sistemas operacionais devem estar sempre atualizados: Cada atualização de sistema é importante para corrigir possíveis bugs e erros em softwares e aplicações.
Alguns gestores de TI não fazem esse processo periodicamente, muitas vezes, por falta de tempo, deixando o sistema mais suscetível a ataques de cibercriminosos.
Uma poderosa solução é a automatização das atualizações.
3 – Invista em antivírus, firewall e antispam: Essas três ferramentas instaladas, operando e atualizadas são fundamentais para aumentar a segurança da informação nas empresas.
Elas devem ser instaladas tanto na infraestrutura de TI como nas estações individuais de trabalho, para que a proteção seja global.
Este cuidado é importante para evitar que ameaças online ou aquelas oriundas de dispositivos portáteis (como pen drives) comprometam o sigilo das informações da organização.
Os filtros antispam evitam que os colaboradores caiam nas armadilhas digitais, permitindo que possam executar suas atividades diárias sem quaisquer problemas.
4 – Aposte na criptografia: Se a companhia trabalha constantemente com um fluxo de dados sensíveis e confidenciais, utilizar a criptografia é uma forma eficaz para manter a sua proteção.
Quando criptografados, os dados ficam ilegíveis, tornando a segurança da informação nas empresas mais forte e confiável.
Então, para que as informações fiquem protegidas, é recomendado que elas sejam criptografadas antes de serem salvas em dispositivos removíveis ou enviadas via e-mail.
5 – Monitoramento para garantir a segurança da informação nas empresas: É necessário que a equipe de TI faça um monitoramento das atividades para que as práticas de segurança da informação sejam implementadas de forma efetiva.
Para que todas essas medidas tenham efeitos reais e positivos, é importante obter o comprometimento formal e treinar os funcionários sobre boas práticas, bem como utilizar os recursos tecnológicos disponíveis. Aqui, mais uma vez, os treinamentos em ISO 27001 se fazem indispensáveis.
O que deve ser feito na empresa quando acontece uma violação de segurança da informação?
Após definir as diretrizes para uma Segurança da informação efetiva e tomar as devidas providências com Processos, Tecnologia e Pessoas, é hora de monitorar os eventos ocorridos.
Ao implementar uma solução de SIEM (Security Information Event Management), é possível relacionar os eventos ocorridos nas mais diversas ferramentas, emitindo alertas de violação de Segurança da Informação e até mesmo automatizar algumas reações.
Com isto, recomenda-se a implementação de um SOC (Security Operations Center), para dar agilidade na reação em caso de um incidente de Segurança da Informação, evitando uma perda maior em caso de um ataque, por exemplo.
É importante lembrar que a ISO 27001 determina um Sistema de Gestão que garante que estas ações sejam realizadas. E além do mais, a norma sistematiza estas iniciativas, garantindo uma gestão eficaz da segurança da informação.
Quer saber como implementar a ISO 27001 da melhor forma a fim de garantir a segurança da informação na sua empresa? Conheça a STANCE!
A Stance é uma empresa especialista em consultoria, auditoria e responsável por desenvolver treinamentos online, EAD e in company, utilizando o método de andragogia, que facilita a absorção de conteúdo por parte dos treinandos, pois tal método utiliza de exemplos do cotidiano para repassar os assuntos abordados nos treinamentos.
A STANCE realiza diagnósticos, assessoria, treinamentos e auditoria de ISO 27001 e de LGPD! Para isso, contamos com profissionais qualificados e uma equipe pronta para te ajudar a melhorar o desempenho de segurança da informação da sua empresa!
Gostou de saber mais sobre como restringir o acesso às informações e atender a ISO 27001? Então continue acompanhando a Stance nas redes sociais. Estamos no Facebook, Instagram e também no LinkedIn, sempre levando as melhores informações para você se manter muito bem informado. Também não deixe de acompanhar nosso blog.
Até a próxima!
