Especialista fala sobre a ISO/IEC 27001, norma de segurança de informação

Na ocasião, o diretor-geral da APCER Brasil, Paulo Bertolini, falou sobre a importância dessa e outras normas para a segurança de dados.

A Associação Brasileira de Avaliação da Conformidade (Abrac) conversou com o diretor-geral da certificadora APCER Brasil, Paulo Bertolini, sobre a importância da norma ISO/IEC 27001 para a segurança de dados e proteção de informações dentro das organizações.

Abrac – Quais são os objetivos do Sistema de Gestão de Segurança da Informação (SGSI) dentro de uma organização?

Paulo Bertolini – O sistema de gestão de segurança da informação tem dentre seus principais objetivos: a preservação da confidencialidade, a integridade e a disponibilidade da informação. Isso se dá por meio de um processo eficaz de gestão de riscos relacionados à informação e permite trazer confiança às partes interessadas que os riscos são geridos adequadamente.

Dentre os benefícios trazidos pelo SGSI, cito alguns exemplos: proteger a informação contra ameaças – ameaças internas: erros humanos, negligência, má conduta, sabotagem; ameaças externas: ataques cibernéticos, malware, espionagem, desastres naturais. Gerir os ricos de segurança da informação: identificar, avaliar e tratar os riscos de forma proativa; implementar medidas de controlo para reduzir os riscos a um nível aceitável. Assegurar a conformidade com leis e regulamentos: atender aos requisitos legais e regulatórios aplicáveis à organização; demonstrar o compromisso da organização com a segurança da informação. Melhorar a qualidade dos serviços prestados: minimizar erros e falhas causadas por problemas de segurança da informação; aumentar a confiança dos clientes e parceiros na organização. Reduzir custos: prevenir perdas financeiras causadas por incidentes de segurança da informação; otimizar o uso dos recursos da organização. Aumentar a competitividade da organização: demonstrar aos clientes e parceiros que a organização está comprometida com a segurança da informação; diferenciar-se da concorrência. Promover uma cultura de segurança da informação: conscientizar os colaboradores sobre a importância da segurança da informação; incentivar os colaboradores a adotarem práticas seguras de trabalho. Monitorar e melhorar continuamente o SGSI: medir e avaliar a eficácia do SGSI; implementar medidas de melhoria contínua.

Abrac – Como a ISO/IEC 27001 auxilia a liderança da organização na demonstração do seu compromisso com a segurança da informação?

Paulo Bertolini – A ISO 27001 é um padrão internacional que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). A certificação ISO 27001 demonstra que a organização está comprometida com a segurança da informação e que implementa medidas para proteger seus ativos de informação.

A ISO 27001 auxilia a liderança da organização na demonstração do seu compromisso com a segurança da informação das seguintes maneiras:

1. Fornecendo um conjunto de requisitos abrangentes para a gestão da segurança da informação:
A norma ISO 27001 cobre todos os aspetos da segurança da informação, desde a gestão de riscos até o controle de acesso e a criptografia.
Isso garante que a organização esteja abordando todos os aspetos importantes da segurança da informação.

2. Estabelecendo um processo formal para a gestão da segurança da informação:
A implementação da ISO 27001 exige que a organização defina e implemente um SGSI.
Isso garante que a segurança da informação seja gerenciada de forma proativa e sistemática.

3. Fornecendo uma base para a melhoria contínua:
A ISO 27001 exige que a organização revise e melhore continuamente seu SGSI.
Isso garante que a organização esteja sempre buscando melhorar sua postura de segurança da informação.

4. Demonstrando o compromisso da organização com a segurança da informação para as partes interessadas:
A certificação ISO 27001 é um reconhecimento internacional do compromisso da organização com a segurança da informação.
Isso pode aumentar a confiança dos clientes, parceiros e outras partes interessadas na organização.

5. Aumentando a confiança dos clientes e parceiros:
A certificação ISO 27001 demonstra que a organização toma a segurança da informação a sério.
Isso pode aumentar a confiança dos clientes e parceiros na organização, o que pode levar a um aumento das vendas e dos negócios.

6. Reduzindo o risco de incidentes de segurança da informação:
A implementação da ISO 27001 pode ajudar a organização a reduzir o risco de incidentes de segurança da informação.
Isso pode ajudar a evitar perdas financeiras, danos à reputação e outros impactos negativos.

7. Atendendo aos requisitos legais e regulatórios:
A ISO 27001 pode ajudar a organização a atender aos requisitos legais e regulatórios aplicáveis à segurança da informação. Isso pode ajudar a evitar multas e sanções.

Abrac – Quais são os principais dados sensíveis de uma organização e como eles são identificados e protegidos?

Paulo Bertolini – Os principais dados sensíveis de uma organização podem ser categorizados em três tipos:

Dados pessoais:

- Dados de identificação: nome completo, endereço, número de telefone, data de nascimento, número de identificação civil, número de passaporte.
- Dados de contato: e-mail, telefone celular, endereço residencial.
- Dados sensíveis: informações sobre saúde, histórico médico, filiação religiosa, orientação sexual, dados biométricos.
- Dados financeiros: informações bancárias, número de cartão de crédito, histórico de transações.

Dados proprietários:

- Segredos comerciais: fórmulas, designs, processos, estratégias de marketing, planos de negócios.
- Informações confidenciais: propriedade intelectual, patentes, marcas registadas, dados de pesquisa e desenvolvimento.
- Dados de clientes: informações de contato, histórico de compras, preferências, dados de cartão de crédito.

Dados de segurança:

- Senhas: credenciais de acesso a sistemas, redes, aplicativos.
- Informações de segurança da rede: configurações de firewall, endereços IP, vulnerabilidades de segurança.
- Dados de auditoria: login de acesso, registos de atividades, relatórios de incidentes.
- A identificação dos dados sensíveis é um processo crítico para a segurança da informação da organização. As seguintes etapas podem ser realizadas para identificar os dados sensíveis, entre outras:
- Classificação de dados: Criar uma política de classificação de dados que defina os diferentes tipos de dados sensíveis e seus respetivos níveis de confidencialidade.
- Mapeamento de dados: Identificar os locais onde os dados sensíveis são armazenados, processados e transmitidos.
- Análise de dados: Utilizar ferramentas de análise de dados para identificar dados que podem ser considerados sensíveis.
- Após a identificação dos dados sensíveis, a organização deve implementar medidas de proteção para garantir sua confidencialidade, integridade e disponibilidade. As seguintes medidas podem ser utilizadas para proteger os dados:
- Controle de acesso: Restringir o acesso aos dados sensíveis a apenas aqueles que precisam deles para realizar suas funções.
- Criptografia: Criptografar os dados sensíveis para que eles sejam ilegíveis se forem interceptados.
- Segurança da rede: Implementar medidas de segurança da rede para proteger os dados sensíveis contra acessos não autorizados.
- Treinamento de conscientização: Treinar os colaboradores da organização sobre a importância da segurança da informação e como proteger os dados sensíveis.
- Monitoramento e auditoria: Monitorar e auditar os acessos aos dados sensíveis para detectar e prevenir atividades suspeitas

Abrac – Como são identificados e avaliados os riscos de segurança da informação na organização?

Paulo Bertolini – A identificação e avaliação dos riscos de segurança da informação na organização são etapas cruciais para garantir a proteção dos seus ativos de informação. Diversos métodos podem ser utilizados para identificar e avaliar os riscos de segurança de informação, e a escolha do método mais adequado dependerá do tamanho, da maturidade e da natureza da organização.

Através de um processo permanente e contínuo de identificação, quantificação, diagnóstico e resposta aos riscos, é possível, as organizações identificarem possíveis ameaças que possam explorar as vulnerabilidades dos ativos, bem como quais os níveis do risco associados, avaliando-se, assim, a probabilidade de ocorrência e possíveis impactos.

A gestão do risco, quando efetuada de forma sistematizada e numa lógica de melhoria continua, é uma prática que permite às organizações identificarem, quantificarem e estabelecerem as prioridades face a critérios de aceitação do risco e objetivos relevantes para a organização. A implementação processual orientada à gestão dos riscos permite às organizações a tomada de decisões de forma priorizada e informada. Estas decisões devem estar sempre igualmente orientadas à garantia da confidencialidade, disponibilidade e integridade no fornecimento de bens e/ou prestação de serviços.

A ISO/IEC 31000 disponibiliza um conjunto de princípios e de orientações genéricas sobre gestão dos riscos para as organizações. Por outro lado, a ISO/IEC 27005 especifica orientações e processos para gestão dos riscos de segurança dos sistemas de informação de uma organização, suportando-se, em particular, nos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), implementado de acordo com a norma ISO/IEC 27001.

A ISO/IEC 27005 não fornece uma metodologia específica para a gestão dos riscos de segurança da informação, cabendo às organizações definirem qual a sua abordagem para a gestão dos riscos.

Um processo de gestão dos riscos habitualmente é composto pelas seguintes fases: estabelecer contexto; levantamento dos riscos (que inclui a identificação, análise e avaliação do risco); tratamento do risco e aceitação do risco.

Abrac – Como a organização assegura que seus funcionários estão cientes de suas responsabilidades em relação à segurança da informação?

Paulo Bertolini – Assegurar que os funcionários estejam cientes de suas responsabilidades em relação à segurança da informação é crucial para a proteção dos dados e sistemas da organização. Diversas medidas podem ser tomadas para alcançar esse objetivo, nomeadamente um foco na consciencialização e no treinamento, estabelecendo a realização de planos de treinamento contínuos sobre segurança da informação para todos os colaboradores, abrangendo temas como políticas de segurança, uso seguro de internet, e reconhecimento de phishing, entre outros.

Outra boa prática é estabelecer políticas e procedimentos, nomeadamente uma política de segurança da informação, que estabeleça as responsabilidades de todos os colaboradores em relação à segurança da informação, bem como procedimentos de segurança, que sejam específicos para as diferentes atividades, como acesso a dados confidenciais, uso de dispositivos móveis e reporte de incidentes de segurança, por exemplo.

Será também importante que a organização efetue o monitoramento e controle das atividades efetuadas pelos seus colaboradores, de forma a identificar comportamentos que podem representar riscos à segurança da informação, e realizar auditorias internas para verificar o cumprimento das políticas e procedimentos de segurança da informação.

Uma maneira de os líderes incorporarem a cultura de segurança na sua organização é através da colaboração com os líderes de TI, na implementação das melhores práticas e partilhá-las internamente. É fundamental existir um reforço da formação contínua na área da segurança dos funcionários, e manter canais dedicados para respostas a perguntas, fomentando assim uma cultura de segurança.

Abrac – Como são tratadas as não conformidades e as ações corretivas/preventivas identificadas durante o monitoramento e revisão do SGSI?

Paulo Bertolini – As não conformidades podem ser identificadas durante o monitoramento e análise crítica do SGSI, através de auditorias internas e externas, análises de indicadores de desempenho, ou mesmo por meio de reports de colaboradores.

É essencial a descrição da não conformidade e a análise da Causa Raiz e a definição de Ações Corretivas/Preventivas. Com base na causa raiz identificada, devem ser definidas ações corretivas para eliminar a não conformidade e ações preventivas para evitar que o problema se repita no futuro. As ações corretivas/preventivas definidas devem ser implementadas e monitoradas de perto para garantir sua efetividade. É importante registar o progresso das ações e realizar medições para verificar se elas estão alcançando os resultados esperados.

O processo de tratamento de não conformidades deve ser revisado periodicamente para garantir sua eficácia e identificar oportunidades de melhoria. É importante verificar se as ações corretivas/preventivas estão sendo eficazes na prevenção de novas não conformidades e se o sistema de gestão está sendo aprimorado continuamente.

O tratamento de não conformidades e ações corretivas/preventivas é um processo essencial para a manutenção de um SGSI eficaz e para a proteção dos ativos de informação da organização.

Abrac – Há quanto tempo a APCER é associada à Abrac?

Paulo Bertolini – A APCER é associada à Abrac desde 2011.

Abrac – Gostaria de acrescentar mais alguma informação?

Paulo Bertolini – A APCER dispõe de uma unidade de negócio especializada na área das tecnologias de informação, IT Security, que centra a sua atividade na proteção da informação e do conhecimento do negócio dos nossos clientes, acompanhando a tendência digital, definindo boas práticas de controle e gestão dos riscos associados, prestando serviços na área da certificação e formação, nomeadamente nas áreas de segurança de informação e cibersegurança. A adoção de um sistema de gestão de segurança da informação é uma decisão estratégica para uma organização, permitindo que a mesma se torne mais resiliente face a ameaças cibernéticas.

Fonte: Assessoria de imprensa da Abrac