O problema
Gerenciar eficientemente a informação tornou-se um desafio significativo, especialmente com o contínuo crescimento da organização. Os departamentos da empresa estão cada vez mais necessitando de acesso à informação, que pode estar armazenada localmente na infraestrutura física ou na nuvem.
O departamento de marketing busca ampliar seu acesso à internet, enquanto a equipe de engenharia precisa compartilhar seus projetos altamente confidenciais com parceiros de desenvolvimento. Os clientes exigem que suas informações privadas sejam protegidas com o máximo de rigor, enquanto os colaboradores acessam remotamente os recursos da empresa através da internet. O conselho por sua vez, busca garantias de que o negócio está seguro. Especialmente em momentos de crises.
Essa multiplicidade de situações expõe a empresa a uma variedade de riscos, muitas vezes negligenciados.
A solução
A Certificação Internacional em Segurança da Informação abrange 10 requisitos organizacionais essenciais para um sistema de gestão robusto, compreendendo 18 domínios e 114 controles. Esses controles permeiam todos os aspectos do tratamento da informação dentro da empresa, proporcionando uma abordagem abrangente e eficaz para garantir a segurança dos dados.
1
CAPACITAR
É imperativo que todos os membros da organização estejam cientes dos princípios de Segurança da Informação (SI) e dos controles necessários para implementar um sistema eficaz de Gestão de SI. A capacitação é essencial para garantir que todos os colaboradores estejam habilitados a desenvolver controles alinhados com os padrões da ISO 27001.
2
DESENVOLVER
É essencial que o Sistema de Gestão de Segurança da Informação seja elaborado de maneira personalizada para atender objetivos e necessidades da organização. Isso implica levar em consideração os requisitos de segurança relacionados à área de atuação, processo organizacional, bem como o tamanho e a estrutura da organização. Portanto, destaca-se a importância da fase de capacitação para os envolvidos que participarão do desenvolvimento desse sistema, garantindo sua eficácia e alinhamento com as particularidades da organização.
3
MELHORAR
Após o desenvolvimento e implementação dos controles, é crucial realizar uma análise crítica do sistema de gerenciamento de Segurança da Informação (SI) e aprimorá-lo continuamente. Essa abordagem assegura que os controles estejam prontos para serem submetidos à auditoria de certificação, a qual visa identificar um sistema de gestão de segurança da informação efetivamente ativo.
A composição da ISO 27001
Para alcançar os objetivos de um Sistema de Gestão de Segurança da Informação em conformidade com a ISO 27001, é necessário desenvolver controles que abranjam os seguintes domínios de controles:
4 – REQUISITOS DO SISTEMA
Os requisitos representam o modelo sistêmico empregado para gerenciar a segurança. Nesse contexto, efetivamente se estabelece um ciclo PDCA (Planejar, Executar, Verificar e Agir) de desenvolvimento e aprimoramento contínuo.
5 – POLÍTICAS DE S.I.
A política de Segurança da Informação representa a visão a ser estabelecida pela organização, fornecendo a orientação global para os processos organizacionais sobre como tratar a informação.
6 – ORGANIZAÇÃO DE S.I.
A organização define a estrutura básica do sistema de segurança, delineando responsabilidades, segregação de funções, procedimentos de contato e o uso de dispositivos tanto dentro quanto fora da entidade.
7 – SEGURANÇA E R.H.
Os recursos humanos devem receber orientação em todas as fases de sua trajetória profissional dentro da organização, abrangendo desde a entrada, passando pelo desenvolvimento, até o encerramento das atividades.
8 – GESTÃO DE ATIVOS
Os ativos representam valor para a organização, exigindo a definição de seu tratamento. Cada ativo deve ser identificado, classificado e submetido a um tratamento adequado.
9 – CONTROLE DE ACESSOS
É crucial controlar todo o acesso à informação a fim de prevenir riscos relacionados a acessos indevidos e mau uso por parte de usuários, sistemas e processos
10 – CRIPTOGRAFIA
A criptografia e uso de chaves desempenham um papel fundamental na definição de todas as formas de proteção em equipamentos móveis, armazenamento e conexões.
11 – SEGURANÇA FÍSICA E DO AMBIENTE
É imperativo prevenir o acesso físico não autorizado e interferências com os recursos de computação das informações e as informações da organização.
12 – SEGURANÇA DAS OPERAÇÕES
Há centenas de operações na área de tecnologia, sendo fundamental direcionar esforços para a documentação. monitoramento, recuperação, segregação sistêmica e controles de vulnerabilidades.
13 – SEGURANÇA NAS COMUNICAÇÕES
As comunicações entre a organização e o mundo externo devem ser controladas, separadas e acordadas entre as partes, sem causar prejuízos.
14 – DESENVOLVIMENTO DE SISTEMAS
Os sistemas desenvolvidos pela organização devem estar em conformidade com os princípios de Segurança da Informação e seguir as diretivas organizacionais.
15 -SEGURANÇA COM FORNECEDORES
Os acessos de fornecedores representam potenciais riscos para a organização, tornando essencial estabelecer critérios de segurança da informação para salvaguardar os ativos.
16 – GESTÃO DE INCIDENTES DE S.I.
É necessário administrar os incidentes de Segurança da Informação, o que engloba a comunicação referente a fragilidades e eventos relacionados à Segurança da Informação.
17 – CONTINUIDADE DO NEGÓCIO
A continuidade da Segurança da Informação deve ser integrada aos sistemas de gestão da continuidade do negócio da organização, incorporando redundâncias necessárias.
18 – CONFORMIDADE
Deve-se evitar violações das obrigações legais, estatutárias, regulamentares ou contratuais associadas à segurança da informação, assim como de quaisquer requisitos de segurança.
19 – GESTÃO DA PRIVACIDADE
A gestão da privacidade das informações do titular dos dados deve ser considerada em todas as camadas dos processos organizacionais.
