O que é uma auditoria ISO 27001 e minha empresa precisa de uma?
Em nosso mundo de dados mercantilizados, os padrões de segurança cibernética precisam ser altíssimos e precisos. A maioria das empresas, mesmo que não seja imediatamente relacionada à tecnologia, acabará por se deparar com a necessidade de se preparar internamente.
Mais de uma década atrás, a Organização Internacional de Padrões adotou uma especificação chamada ISO 27001. Então, o que exatamente é? O que uma auditoria ISO 27001 pode nos dizer sobre as maquinações internas de uma organização? E como você decide se sua empresa deve ser auditada?
O que é um Sistema de Gerenciamento de Segurança da Informação (SGSI)?
Um Sistema de Gerenciamento de Segurança da Informação (ISMS) é a principal linha de defesa de uma organização contra violações de dados e outros tipos de ameaças cibernéticas externas.
Um SGSI eficaz garante que as informações protegidas permaneçam confidenciais e seguras, fiéis à fonte e acessíveis às pessoas que têm autorização para trabalhar com elas.
Um erro comum é presumir que um ISMS equivale a não mais do que um firewall ou outro meio técnico de proteção. Em vez disso, um SGSI totalmente integrado está tão presente na cultura da empresa e em cada funcionário, engenheiro ou não. Vai muito além do departamento de TI.
Mais do que políticas e procedimentos meramente oficiais, o escopo desse sistema também inclui a capacidade da equipe de gerenciar e refinar o sistema. A execução e a forma como o protocolo é realmente aplicado são fundamentais.
Isso envolve uma abordagem de longo prazo para a gestão e mitigação de riscos. Os diretores de uma empresa precisam estar intimamente familiarizados com quaisquer riscos associados ao setor em que trabalham especificamente. Armados com essa percepção, eles serão capazes de construir as paredes ao seu redor de acordo.
O que é a ISO 27001, exatamente?
Em 2005, a Organização Internacional de Padronização (ISO) e a Comissão Eletrotécnica Internacional (IEC) renovaram o BS 7799, um padrão de gerenciamento de segurança estabelecido pela primeira vez pelo Grupo BSI 10 anos antes.
Agora oficialmente conhecido como ISO / IEC 27001: 2005, o ISO 27001 é um padrão internacional de conformidade concedido a empresas que são exemplares no gerenciamento de segurança da informação.
Basicamente, é uma coleção rigorosa de padrões contra os quais o sistema de gerenciamento de segurança da informação de uma empresa pode ser aplicado. Essa estrutura permite que os auditores avaliem a tenacidade do sistema como um todo. As empresas podem optar por uma auditoria quando desejam garantir a seus clientes e clientes que seus dados estão seguros dentro de suas paredes.
Incluídos nesta coleção de disposições estão: especificações relativas à política de segurança, classificação de ativos, segurança ambiental, gerenciamento de rede, manutenção de sistema e planejamento de continuidade de negócios.
A ISO condensou todas essas facetas do regulamento BSI original, destilando-as na versão que reconhecemos hoje.
Explorando a política
O que exatamente está sendo avaliado quando uma empresa passa por uma auditoria ISO 27001?
O objetivo da norma é formalizar internacionalmente uma política de informação eficaz e segura. Incentiva uma postura proativa, que busca evitar problemas antes que aconteçam.
A ISO enfatiza três aspectos importantes de um ISMS seguro:
1. Análise constante e reconhecimento do risco : inclui tanto os riscos atuais quanto os que podem se apresentar no futuro.
2. Um sistema robusto e seguro : inclui o sistema tal como existe no sentido técnico, bem como quaisquer controles de segurança que a organização utilize para se proteger contra os riscos mencionados. Eles serão muito diferentes, dependendo da empresa e do setor.
3. Uma equipe dedicada de líderes : essas serão as pessoas que realmente colocarão os controles em ação em defesa da organização. O sistema é tão eficaz quanto aqueles que trabalham no leme.
A análise desses três principais fatores contribuintes ajuda o auditor a traçar um quadro mais completo da capacidade de uma determinada empresa de operar com segurança. A sustentabilidade é favorecida em relação a um SGSI que depende apenas da força técnica bruta.
Há um importante elemento humano que deve estar presente. A maneira como as pessoas dentro da empresa exercem controle sobre seus dados e seu SGSI é mantida acima de tudo. Esses controles são o que realmente mantém os dados seguros.
O que é o Anexo A da ISO 27001?
Exemplos específicos de "controles" dependem da indústria. O Anexo A da ISO 27001 oferece às empresas 114 meios oficialmente reconhecidos de controle sobre a segurança de suas operações.
Esses controles se enquadram em uma das quatorze classificações:
A.5— Políticas de Informação e Segurança : as políticas e procedimentos institucionalizados que uma empresa segue.
A.6— Organização de Segurança da Informação : atribuição de responsabilidade dentro da organização em relação à estrutura do SGSI e sua implementação. Curiosamente, está incluída aqui também a política que rege o teletrabalho e o uso de dispositivos dentro da empresa .
A.7— Segurança de Recursos Humanos : questões de integração, exclusão e mudança de funções dos funcionários dentro da organização. Padrões de triagem e melhores práticas em educação e treinamento também são descritos aqui.
A.8— Gerenciamento de ativos : envolve os dados que estão sendo tratados. Os ativos devem ser inventariados, mantidos e mantidos em sigilo, mesmo entre as linhas departamentais em alguns casos. A propriedade de cada ativo deve ser estabelecida claramente; esta cláusula recomenda que as empresas elaborem uma "Política de Uso Aceitável" específica para sua linha de negócios.
A.9— Controle de acesso : quem tem permissão para lidar com seus dados e como você limitará o acesso apenas a funcionários autorizados? Isso pode incluir a configuração de permissão condicional em um sentido técnico ou acesso a edifícios fechados no campus de sua empresa.
A.10— Criptografia : trata principalmente da criptografia e outras formas de proteger os dados em trânsito. Essas medidas preventivas devem ser gerenciadas ativamente; a ISO desencoraja as organizações a considerarem a criptografia uma solução única para todos os desafios profundamente diferenciados associados à segurança de dados.
A.11— Segurança Física e Ambiental : avalia a segurança física de onde quer que os dados confidenciais estejam localizados, seja em um prédio comercial real ou em uma pequena sala com ar-condicionado cheia de servidores.
A.12— Segurança de Operações : quais são suas regras internas de segurança quando se trata da operação de sua empresa? A documentação que explica esses procedimentos deve ser mantida e revisada com frequência para atender às novas necessidades de negócios emergentes.
Gerenciamento de mudanças, gerenciamento de capacidade e a separação de diferentes departamentos se enquadram neste título.
A.13— Gerenciamento de segurança de rede : as redes que conectam cada sistema em sua empresa precisam ser herméticas e cuidadosamente cuidadas.
Soluções abrangentes, como firewalls, tornam-se ainda mais eficazes quando complementadas com itens como pontos de verificação frequentes, políticas de transferência formalizadas ou proibindo o uso de redes públicas durante o manuseio dos dados da sua empresa, por exemplo.
A.14— Aquisição, desenvolvimento e manutenção do sistema : se sua empresa ainda não tem um SGSI implementado, esta seção explica o que um sistema ideal traz para a mesa. Ele ajuda você a garantir que o escopo do ISMS cubra todos os aspectos do seu ciclo de vida de produção.
Uma política interna de desenvolvimento seguro fornece a seus engenheiros o contexto de que eles precisam para construir um produto compatível desde o dia em que seu trabalho começa.
A.15— Política de Segurança do Fornecedor : ao fazer negócios com fornecedores terceirizados fora de sua empresa, quais cuidados são tomados para evitar vazamentos ou violações dos dados compartilhados com eles?
A.16— Gerenciamento de incidentes de segurança da informação : quando as coisas dão errado, sua empresa provavelmente fornece alguma estrutura de como o problema deve ser relatado, tratado e evitado no futuro.
A ISO busca sistemas de retaliação que permitam às autoridades dentro da empresa agir com rapidez e grande preconceito após a detecção de uma ameaça.
A.17- Aspectos de Segurança da Informação do Gerenciamento de Continuidade de Negócios : no caso de um desastre ou algum outro incidente improvável que interrompa suas operações irrevogavelmente, um plano precisará estar em vigor para preservar o bem-estar da empresa e seus dados até o negócio é retomado normalmente.
A ideia é que uma organização precisa de alguma forma de preservar a continuidade da segurança em tempos como estes.
A.18— Conformidade : finalmente, chegamos ao contrato real de acordos que uma empresa deve assinar para cumprir os requisitos para a certificação ISO 27001. Suas obrigações estão expostas diante de você. Tudo o que resta a você fazer é assinar na linha pontilhada.
A ISO não exige mais que as empresas em conformidade empreguem apenas controles que se enquadrem nas categorias listadas acima. A lista é um ótimo lugar para começar se você está apenas começando a estabelecer as bases do SGSI da sua empresa.
Minha empresa deve ser auditada?
Depende. Se você é uma start-up muito pequena que trabalha em um campo que não é sensível ou de alto risco, provavelmente pode esperar até que seus planos para o futuro sejam mais certos.
Mais tarde, conforme sua equipe cresce, você pode se encontrar em uma das seguintes categorias:
- Você pode estar trabalhando com um cliente importante que pede que sua empresa seja avaliada para garantir que eles estarão seguros com você.
- Você pode querer fazer a transição para um IPO no futuro.
- Você já foi vítima de uma violação e precisa repensar a maneira como gerencia e protege os dados da sua empresa.
Prever o futuro nem sempre é fácil. Mesmo que você não se veja em nenhum dos cenários acima, não custa nada ser proativo e começar a incorporar algumas das práticas recomendadas pela ISO em seu regime.
O poder está em suas mãos
Preparar seu SGSI para uma auditoria é tão simples quanto fazer a devida diligência, mesmo enquanto você trabalha hoje. A documentação deve sempre ser mantida e arquivada, dando a você a evidência de que você precisa para fazer o backup de suas declarações de competência.
É como no ensino médio: você faz a lição de casa e tira a nota. Os clientes estão sãos e salvos e seu chefe está muito feliz com você. Esses são hábitos simples de aprender e manter. Você vai agradecer a si mesmo mais tarde, quando o homem com uma prancheta finalmente vier ligar.
