As práticas de segurança de informação é algo que vem sendo discutido nas empresas e mídia de forma geral, tornando-se até mesmo uma “commodity” em empreendimentos de diferentes segmentos e portes.
No entanto, vale ressaltar que a popularização do assunto de SI (Segurança de Informação) teve como motivação o crescimento dos incidentes de segurança, em todo o mundo. Tais incidentes causam transtornos variados, como vazamentos de informações sigilosas, danos de imagem da empresa, entre outros, que podem causar em perdas financeiras consideráveis.
O aumento das ocorrências afeta os assuntos relacionados a investimentos em segurança de informação, pois motivam empresas a buscar mais estruturação de processos e assegurar que seus negócios fiquem protegidos contra qualquer riscos e ameaças virtuais.
Por isso, se você quer saber melhor como as práticas de segurança de informação funcionam, nesse post reunimos as informações mais importantes para tirar todas as suas dúvidas sobre este assunto. Confira!
Práticas de segurança: O que é a ISO 27002?
Na década de 90, a International Electrotechnical Commission (IEC) e The International Organization for Standardization (ISO), ambas organizações internacionais, criaram um conjunto de normas para consolidar as diretrizes associadas à Segurança de Informação, o que foi representado pela série 27000.
Também no mesmo grupo, está a ISO/IEC 27002, norma internacional que consolida as melhores práticas de apoio da implementação do SGSI (Sistema de Gestão de Segurança da Informação) nas organizações.
Qual o foco principal da ISSO 27002?
O objetivo principal da ISO 27002 é consolidar princípios e diretrizes para implementar e melhorar a gestão das práticas de segurança de informação (SI) de alguma organização, incluindo também a implementação, gerenciamento de controles e seleção, considerando os possíveis riscos que a empresa pode encontrar.
Benefícios e vantagens que as empresas podem ter ao adotar boas práticas de segurança
Adotar boas práticas de segurança pode proporcionar muitas vantagens para as empresas. As principais são:
- Maior conscientização sobre SI;
- Mais controle de informações sensíveis e ativos;
- Ajuda a identificar e corrigir pontos negativos;
- Ajuda a implementar as políticas de controle;
- Ajuda a reduzir custos e previne incidentes de SI;
- Oferece um diferencial entre os concorrentes e ajuda a conquistar os clientes que prezam pela certificação;
Além dos benefícios citados acima, ao adotar boas práticas de segurança, as empresas também melhoram a organização dos mecanismos e processos que são executados em seu interior, sem contar que essas práticas contribuem para que as empresas sempre sigam as regulamentações e legislação vigente.
Quais os principais itens que compõem o ISO 27002?
Os principais itens se encontram distribuídos em seções correspondentes ao controle da segurança de informação. É possível que a organização se baseie nas diretrizes para desenvolver o SGSI. As seções são:
- Seção 5 – Política de Segurança da Informação
A empresa precisa criar um documento sobre a política de segurança de informação, contendo todos os conceitos de SI, comprometimento da direção com a política, estrutura para determinar as formas de controle e os objetivos e outros fatores.
- Seção 6 – Organização da Segurança da Informação
É essencial determinar uma estrutura para gerenciar a Segurança de Informação de forma adequada, antes de implementá-la.
- Seção 7 – Gestão de ativos
De acordo com a norma, o ativo é qualquer item que seja valorizado pela organização e por causa disso deve ser protegido. Dessa forma, é preciso identificar e classificar os ativos, para então estruturar e manter um inventário. Ademais, os ativos devem seguir as regras, que vão definir como eles poderão ser usados.
- Seção 8 – Segurança em recursos humanos
Antes de contratar um fornecedor ou funcionário, é necessário analisá-lo devidamente, sobretudo se a pessoa em questão for lidar com dados sigilosos.
O objetivo principal dessa seção é reduzir o risco de mau uso de recursos, fraudes e até mesmo roubo. Quando o funcionário já estiver trabalhando, é preciso que ele esteja ciente das ameaças relacionadas à segurança de informação, assim como suas obrigações e responsabilidades.
- Seção 9 – Segurança física e do ambiente
É preciso que as instalações de processamento dos dados sensíveis ou críticos, juntamente com os equipamentos sejam mantidos em segurança, com o devido controle de acesso, incluindo a proteção contra ameaças ambientes e físicas.
- Seção 10 – Segurança das operações e comunicações
É essencial que as responsabilidades e procedimentos da operação e gestão de todos os recursos sejam bem definidos. Isso abrange o planejamento dos recursos para reduzir o risco de falhas, gerenciamento dos serviços terceirizados, administração das redes de comunicações e criação de processos para gerar cópias de segurança.
- Seção 11 – Controle de acesso
Assim como os processos de negócios e processamento das informações, o acesso à informação precisa ser controlado baseado na segurança da informação e requisitos de negócio. É necessário garantir a prevenção do acesso não autorizado aos sistemas de informação, para assim evitar qualquer risco e dano aos recursos da informação e documentos.
- Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas
Antes de desenvolver ou implementar os requisitos de segurança dos sistemas de informação, é preciso identificá-los, com o objetivo de protegê-los e manter a confidencialidade, integridade e autenticidade através de meios criptográficos.
- Seção 13 – Gestão de incidentes de segurança da informação
É necessário estabelecer todos os procedimentos formais de registro, sendo que os funcionários (assim como os terceiros e fornecedores) devem estar conscientes sobre tais processos, para conseguirem notificar a tempo e garantir que os eventos de segurança de informação sejam corrigidos o mais rápido possível.
- Seção 14 – Gestão da continuidade do negócio
É preciso implementar e desenvolver os planos de continuidade do negócio, com o objetivo de impedir qualquer interrupção das atividades e garantir que caso aconteça algo, as operações fundamentais serão recuperadas rapidamente.
- Seção 15 – Conformidade
É fundamental garantir obrigações contratuais, estatutos, regulamentações ou qualquer outro requisito de SI, para assim evitar a violação de alguma lei civil ou criminal. Caso preferir, é possível contratar alguma consultoria especializada para verificar a aderência e conformidade da regulamentação e requisitos legais.
É de suma importância seguir as normas da certificação ISO 27002, pois isso garante a segurança da informação de qualquer negócio, independente do segmento ou porte.
Dessa forma, é fundamental que as empresas tenham profissionais certificados e competentes em sua equipe de segurança, proporcionando um respaldo maior para o processo de implementação da norma, fazendo assim com que seja possível conseguir a certificação ISO 27001.
E então, gostou do artigo sobre as práticas de segurança conforme a ISO 27002? Deixe o seu comentário e nos diga o que achou desse assunto!