Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Conformidade com o ISO 27001. Dicas e insights essenciais

Conformidade com o ISO 27001. Dicas e insights essenciais
Emilia Bertolli
4 minuto de leitura
Ultima atualização 11 de Fevereiro de 2022

Conteúdo

    A norma ISO 27001 foi projetada para funcionar como uma estrutura para o sistema de gerenciamento de segurança da informação (ISMS) de uma empresa. Isso inclui todas as políticas e processos relevantes para como os dados são controlados e usados. A ISO 27001 funciona como uma lista de verificação de conformidade que agrega valor à empresa.

    Introdução

    O objetivo da ISO 27001 é fornecer uma estrutura de padrões sobre como uma organização moderna deve gerenciar suas informações e dados. O gerenciamento de riscos é parte essencial da ISO 27001, garantindo que uma empresa entenda quais seus pontos fortes e fracos. A maturidade ISO é um sinal de segurança e confiabilidade,

    Ao buscar a certificação ISO 27001, o Sistema de Gerenciamento de Segurança da Informação (ISMS) é a principal referência para determinar o nível de conformidade de uma empresa. Um ISMS é uma ferramenta crítica, especialmente para grupos espalhados por várias localidades, pois abrange todos os processos relacionados à segurança de ponta a ponta.

    Como se tornar certificado

    A certificação é, geralmente, um processo plurianual, que requer envolvimento de todos os stakeholders e normalmente é dividida em três fases:

    1. A empresa contrata uma instituição de certificação que, em seguida, realiza uma revisão básica do ISMS para procurar as principais formas de documentação
    1. A instituição realiza uma auditoria mais aprofundada, na qual componentes individuais da ISO 27001 são comparados com o ISMS da empresa. Devem ser demonstradas evidências de que políticas e procedimentos estão segundo seguidos adequadamente.
    1. As auditorias de acompanhamento estão agendadas entre a empresa e a instituição de certificação para garantir que a conformidade seja mantida

    Quais são as normas ISO 27001

    Antes de iniciar uma certificação, todos os interessados devem estar familiarizados com a forma como o padrão é organizado e usado:

    • Introdução – descreve o que é segurança da informação e por que uma organização deve gerenciar riscos
    • Escopo – abrange requisitos de alto nível para que um ISMS se aplique a todos os tipos ou organizações
    • Referências normativas – explica a relação entre os padrões ISO 27000 e 27001
    • Termos e Definições – abrange a terminologia complexa usada dentro do padrão
    • Contexto da organização – explica quais stakeholders devem estar envolvidos na criação e manutenção do ISMS
    • Liderança – descreve como os líderes da organização devem se comprometer com as políticas e procedimentos do ISMS
    • Planejamento – abrange um esboço de como o gerenciamento de riscos deve ser planejado em toda a organização
    • Suporte – descreve como aumentar a conscientização sobre segurança da informação e atribuir responsabilidades
    • Operação – cobre como os riscos devem ser gerenciados e como a documentação deve ser executada para atender aos padrões de auditoria
    • Avaliação de desempenho – fornece diretrizes sobre como monitorar e medir o desempenho do ISMS
    • Melhoria – explica como o ISMS deve ser continuamente atualizado e aprimorado, principalmente após as auditorias
    • Objetivos e controles de controle de referência – fornece um anexo detalhando os elementos individuais de uma auditoria.

    O que são os controles de auditoria ISO 27001

    As auditorias cobrem os 14 controles de cada prática durante as verificações de conformidade:

    • Políticas de segurança da informação – abrange como as políticas devem ser escritas no ISMS e analisadas quanto à conformidade.
    • Organização de segurança da informação – descreve quais partes de uma organização devem ser responsáveis ​​por quais tarefas e ações.
    • Segurança de recursos humanos – cobre como os funcionários devem ser informados sobre segurança cibernética ao iniciar, sair ou mudar de posição.
    • Gerenciamento de ativos – descreve os processos envolvidos no gerenciamento de ativos de dados e como eles devem ser protegidos.
    • Controle de acesso – fornece orientações sobre como o acesso dos funcionários deve ser limitado a diferentes tipos de dados.
    • Criptografia – abrange as melhores práticas de criptografia.
    • Segurança física e ambiental – descreve os processos para proteger edifícios e equipamentos internos.
    • Segurança de operações – fornece orientações sobre como coletar e armazenar dados com segurança, um processo que ganhou nova urgência graças à aprovação da GDPR em 2018.
    • Segurança das comunicações – abrange a segurança de todas as transmissões na rede de uma organização.
    • Aquisição, desenvolvimento e manutenção de sistemas – detalha os processos para gerenciar sistemas em um ambiente seguro.
    • Relacionamentos com fornecedores – abrange como uma organização deve interagir com terceiros e garantir a segurança.
    • Gerenciamento de incidentes de segurança da informação – descreve as melhores práticas para responder a problemas de segurança.
    • Aspectos de segurança da informação do gerenciamento de continuidade de negócios – aborda como as interrupções nos negócios e as principais mudanças devem ser tratadas.
    • Conformidade – identifica quais regulamentos governamentais ou do setor são relevantes para a organização.

    Um erro muito comum é a empresa colocar todas as responsabilidades pela certificação na equipe de TI. Embora a tecnologia da informação esteja no centro da ISO 27001, os processos e procedimentos devem ser compartilhados por todas as áreas da empresa.

    A Varonis obteve a certificação ISO 27001 completa e pode ajudar os candidatos a preparar as evidências necessárias para as auditorias.

    Dicas para manter a conformidade com a ISO 27001

    Especialistas recomendam às empresa fazerem suas próprias auditorias anualmente a fim de reforçar as práticas de gerenciamento de riscos e procurar por lacunas ou deficiências. O DatAdvantage da Varonis ajuda a otimizar o processo de auditoria da perspectiva dos dados.

    Uma força-tarefa deve ser formada por integrantes de toda a empresa e uma lista de verificação de conformidade pode ser criada:

    • Obtenha suporte de gerenciamento para todas as atividades da ISO 27001
    • Trate a conformidade com a ISO 27001 como um projeto em andamento
    • Defina o escopo de como a ISO 27001 se aplicará a diferentes partes da sua organização
    • Escreva e atualize a política do ISMS, que descreve sua estratégia de cibersegurança em alto nível
    • Defina a metodologia de avaliação de riscos para capturar como os problemas serão identificados e tratados
    • Realize avaliação e tratamento de riscos regularmente, quando os problemas forem descobertos
    • Escreva uma declaração de aplicabilidade para determinar quais controles ISO 27001 são aplicáveis
    • Escreva um plano de tratamento de riscos para que todas os stakeholders saibam como as ameaças estão sendo mitigadas. O uso da modelagem de ameaças pode ajudar a realizar essa tarefa
    • Defina a medição dos controles para entender o desempenho das melhores práticas da ISO 27001
    • Implemente todos os controles e procedimentos obrigatórios, conforme descrito na norma ISO 27001
    • Implemente programas de treinamento e conscientização para todas as pessoas em sua organização que tenham acesso a ativos físicos ou digitais
    • Opere o ISMS como parte da rotina diária da sua organização
    • Monitore o ISMS para entender se ele está sendo usado com eficiência
    • Execute auditorias internas para avaliar sua conformidade contínua
    • Analise os resultados da auditoria com a gerência
    • Defina ações corretivas ou preventivas quando necessário.

    Não importa o tamanho da sua empresa, ou o setor de atuação, obter a certificação ISO 27001 é uma grande vitória.Com as ferramentas da Varonis, é possível evitar ou interromper ataques antes que eles afetem sua rede, além de ajudar a emprea a manter conformidade com a ISO 27001. Solicite uma demonstração.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading