Hoje, a questão da segurança da informação (doravante designada por segurança da informação) das empresas é uma das mais prementes do mundo. E isso não é surpreendente, porque em muitos países há requisitos mais rígidos para organizações que armazenam e processam dados pessoais. Atualmente, a legislação russa exige a manutenção de uma proporção significativa do fluxo de documentos em papel. Ao mesmo tempo, é perceptível a tendência para a digitalização: muitas empresas já armazenam uma grande quantidade de informação confidencial tanto em formato digital como sob a forma de documentos em papel.
Com base nos resultados Centro Analítico Anti-Malware, 86% dos entrevistados observaram que durante o ano eles tiveram que resolver pelo menos uma vez incidentes após ataques cibernéticos ou como resultado de violações dos regulamentos estabelecidos pelo usuário. Nesse sentido, priorizar a segurança da informação nos negócios tornou-se uma necessidade.
Atualmente, a segurança da informação corporativa não é apenas um conjunto de meios técnicos, como antivírus ou firewalls, é já uma abordagem integrada ao tratamento dos ativos da empresa em geral e da informação em particular. As empresas abordam esses problemas de maneira diferente. Hoje gostaríamos de falar sobre a implementação da norma internacional ISO 27001 como solução para tal problema. Para empresas no mercado russo, a presença de tal certificado simplifica a interação com clientes e parceiros estrangeiros que possuem altas exigências neste assunto. A ISO 27001 é amplamente utilizada no Ocidente e abrange requisitos na área de segurança da informação, que devem ser contemplados pelas soluções técnicas utilizadas, e também contribuir para o desenvolvimento dos processos de negócio. Assim, esta norma pode se tornar seu diferencial competitivo e um ponto de contato com empresas estrangeiras.
Esta certificação do Sistema de Gestão de Segurança da Informação (doravante designado por SGSI) recolheu as melhores práticas para a concepção de um SGSI e, sobretudo, previu a possibilidade de escolha de ferramentas de controlo para garantir o funcionamento do sistema, requisitos de suporte tecnológico de segurança e ainda para o processo de gestão de pessoas na empresa. Afinal, é preciso entender que as falhas técnicas são apenas parte do problema. Em questões de segurança da informação, o fator humano desempenha um papel importante e é muito mais difícil eliminá-lo ou minimizá-lo.
Se sua empresa deseja obter a certificação ISO 27001, então você já deve ter tentado encontrar a maneira mais fácil de fazer isso. Temos que decepcioná-lo: não existem caminhos fáceis aqui. No entanto, existem certas etapas que ajudarão a preparar uma organização para os requisitos internacionais de segurança da informação:
1. Obtenha suporte da gestão
Você pode pensar que isso é óbvio, mas na prática esse ponto costuma ser esquecido. Além disso, esta é uma das principais razões pelas quais os projetos de implementação da ISO 27001 falham frequentemente. Sem compreender a importância do projecto de implementação da norma, a gestão não fornecerá recursos humanos suficientes nem orçamento suficiente para a certificação.
2. Desenvolva um plano de preparação para certificação
A preparação para a certificação ISO 27001 é uma tarefa complexa que envolve muitos tipos diferentes de trabalho, requer o envolvimento de um grande número de pessoas e pode levar muitos meses (ou até anos). Por isso, é muito importante criar um plano de projeto detalhado: alocar recursos, tempo e envolvimento de pessoas para tarefas estritamente definidas e monitorar o cumprimento dos prazos – caso contrário, você nunca terminará o trabalho.
3. Defina o perímetro de certificação
Se você possui uma grande organização com atividades diversificadas, pode fazer sentido certificar apenas parte dos negócios da empresa na ISO 27001, o que reduzirá significativamente o risco do seu projeto, bem como seu tempo e custo.
4. Desenvolva uma política de segurança da informação
Um dos documentos mais importantes é a Política de Segurança da Informação da empresa. Deve refletir os objetivos de segurança da informação da sua empresa e os princípios básicos da gestão da segurança da informação, que devem ser seguidos por todos os colaboradores. O objetivo deste documento é determinar o que a gestão da empresa pretende alcançar no domínio da segurança da informação, bem como a forma como isso será implementado e controlado.
5. Defina uma metodologia de avaliação de risco
Uma das tarefas mais difíceis é definir regras para avaliação e gestão de riscos. É importante compreender quais riscos uma empresa pode considerar aceitáveis e quais requerem ação imediata para reduzi-los. Sem estas regras, o SGSI não funcionará.
Ao mesmo tempo, vale lembrar a adequação das medidas tomadas para reduzir os riscos. Mas você não deve se deixar levar pelo processo de otimização, pois eles também acarretam grandes custos de tempo ou financeiros ou podem simplesmente ser impossíveis. Recomendamos que utilize o princípio da “suficiência mínima” ao desenvolver medidas de redução de riscos.
6. Gerencie os riscos de acordo com uma metodologia aprovada
A próxima etapa é a aplicação consistente da metodologia de gestão de riscos, ou seja, sua avaliação e processamento. Este processo deve ser realizado regularmente com muito cuidado. Ao manter o cadastro de riscos de segurança da informação atualizado, você conseguirá alocar efetivamente os recursos da empresa e prevenir incidentes graves.
7. Planeje o tratamento de riscos
Os riscos que ultrapassam um nível aceitável para sua empresa devem ser incluídos no plano de tratamento de riscos. Deve registrar as ações voltadas à redução dos riscos, bem como os responsáveis por elas e os prazos.
8. Preencha a Declaração de Aplicabilidade
Este é um documento fundamental que será estudado por especialistas do organismo de certificação durante a auditoria. Deve descrever quais controles de segurança da informação se aplicam às atividades da sua empresa.
9. Determinar como será medida a eficácia dos controles de segurança da informação.
Qualquer ação deve ter um resultado que leve ao cumprimento das metas estabelecidas. Portanto, é importante definir claramente por quais parâmetros será medido o cumprimento das metas tanto para todo o sistema de gestão de segurança da informação quanto para cada mecanismo de controle selecionado no Anexo de Aplicabilidade.
10. Implementar controles de segurança da informação
E somente depois de concluir todas as etapas anteriores você deverá começar a implementar os controles de segurança da informação aplicáveis do Apêndice de Aplicabilidade. O maior desafio aqui, claro, será introduzir uma forma completamente nova de fazer as coisas em muitos dos processos da sua organização. As pessoas tendem a resistir a novas políticas e procedimentos, por isso preste atenção ao próximo ponto.
11. Implementar programas de treinamento para funcionários
Todos os pontos descritos acima não terão sentido se seus colaboradores não compreenderem a importância do projeto e não agirem de acordo com as políticas de segurança da informação. Se você deseja que sua equipe cumpra todas as novas regras, primeiro você precisa explicar às pessoas por que elas são necessárias e, em seguida, ministrar treinamento sobre o SGSI, destacando todas as políticas importantes que os funcionários devem levar em consideração no seu trabalho diário. A falta de treinamento da equipe é um motivo comum para o fracasso do projeto ISO 27001.
12. Manter processos de SGSI
Neste ponto, a ISO 27001 se torna uma rotina diária em sua organização. Para confirmar a implementação dos controles de segurança da informação de acordo com a norma, os auditores precisarão fornecer registros – evidências da operação real dos controles. Mas acima de tudo, os registos devem ajudá-lo a controlar se os seus funcionários (e fornecedores) estão a executar as suas tarefas de acordo com as regras aprovadas.
13. Monitore seu SGSI
O que está acontecendo com o seu SGSI? Quantos incidentes você tem, de que tipo são? Todos os procedimentos são seguidos corretamente? Com essas perguntas, você deve verificar se a empresa está cumprindo suas metas de segurança da informação. Caso contrário, você deverá desenvolver um plano para corrigir a situação.
14. Conduza uma auditoria interna do SGSI
O objetivo da auditoria interna é identificar inconsistências entre os processos reais da empresa e as políticas de segurança da informação aprovadas. Na maior parte, é verificar se seus funcionários estão seguindo bem as regras. Este é um ponto muito importante, pois se você não controlar o trabalho de sua equipe, a organização poderá sofrer danos (intencionais ou não). Mas o objectivo aqui não é encontrar os culpados e discipliná-los pelo incumprimento das políticas, mas sim corrigir a situação e prevenir problemas futuros.
15. Organize uma revisão gerencial
A gestão não deve configurar seu firewall, mas deve saber o que está acontecendo no SGSI: por exemplo, se todos estão cumprindo suas responsabilidades e se o SGSI está alcançando os resultados pretendidos. Com base nisso, a gestão deve tomar decisões importantes para melhorar o SGSI e os processos internos de negócios.
16. Introduzir um sistema de ações corretivas e preventivas
Como qualquer norma, a ISO 27001 exige “melhoria contínua”: a correção sistemática e prevenção de inconsistências no sistema de gestão de segurança da informação. Através de ações corretivas e preventivas, a não conformidade pode ser corrigida e evitada que ocorra novamente no futuro.
Concluindo, gostaria de dizer que, na verdade, obter a certificação é muito mais difícil do que o descrito em várias fontes. Isto é confirmado pelo fato de que na Rússia hoje existem apenas foram certificados para conformidade. Ao mesmo tempo, este é um dos padrões mais populares no exterior, atendendo às crescentes demandas dos negócios na área de segurança da informação. Essa demanda de implementação se deve não apenas ao crescimento e complexidade dos tipos de ameaças, mas também às exigências da legislação, bem como aos clientes que necessitam manter total sigilo de seus dados.
Apesar de a certificação do SGSI não ser uma tarefa fácil, o simples facto de cumprir os requisitos da norma internacional ISO/IEC 27001 pode proporcionar uma séria vantagem competitiva no mercado global. Esperamos que nosso artigo tenha fornecido uma compreensão inicial das principais etapas da preparação de uma empresa para a certificação.
Fonte: habr.com