Conformidade com o ISO 27001. Dicas e insights essenciais

A norma ISO 27001 foi projetada para funcionar como uma estrutura para o sistema de gerenciamento de segurança da informação (ISMS) de uma empresa. Isso inclui todas as políticas e processos relevantes para como os dados são controlados e usados. A ISO 27001 funciona como uma lista de verificação de conformidade que agrega valor à empresa. 

Introdução 

O objetivo da ISO 27001 é fornecer uma estrutura de padrões sobre como uma organização moderna deve gerenciar suas informações e dados. O gerenciamento de riscos é parte essencial da ISO 27001, garantindo que uma empresa entenda quais seus pontos fortes e fracos. A maturidade ISO é um sinal de segurança e confiabilidade,

Ao buscar a certificação ISO 27001, o Sistema de Gerenciamento de Segurança da Informação  (ISMS) é a principal referência para determinar o nível de conformidade de uma empresa. Um ISMS é uma ferramenta crítica, especialmente para grupos espalhados por várias localidades, pois abrange todos os processos relacionados à segurança de ponta a ponta.  

Como se tornar certificado 

A certificação é, geralmente, um processo plurianual, que requer envolvimento de todos os stakeholders e normalmente é dividida em três fases:

  1. A empresa contrata uma instituição de certificação que, em seguida, realiza uma revisão básica do ISMS para procurar as principais formas de documentação 
  1. A instituição realiza uma auditoria mais aprofundada, na qual componentes individuais da ISO 27001 são comparados com o ISMS da empresa. Devem ser demonstradas evidências de que políticas e procedimentos estão segundo seguidos adequadamente.  
  1. As auditorias de acompanhamento estão agendadas entre a empresa e a instituição de certificação para garantir que a conformidade seja mantida 

Quais são as normas ISO 27001 

Antes de iniciar uma certificação, todos os interessados devem estar familiarizados com a forma como o padrão é organizado e usado: 

  • Introdução – descreve o que é segurança da informação e por que uma organização deve gerenciar riscos 
  • Escopo – abrange requisitos de alto nível para que um ISMS se aplique a todos os tipos ou organizações 
  • Referências normativas – explica a relação entre os padrões ISO 27000 e 27001 
  • Termos e Definições – abrange a terminologia complexa usada dentro do padrão 
  • Contexto da organização – explica quais stakeholders devem estar envolvidos na criação e manutenção do ISMS 
  • Liderança – descreve como os líderes da organização devem se comprometer com as políticas e procedimentos do ISMS 
  • Planejamento – abrange um esboço de como o gerenciamento de riscos deve ser planejado em toda a organização 
  • Suporte – descreve como aumentar a conscientização sobre segurança da informação e atribuir responsabilidades 
  • Operação – cobre como os riscos devem ser gerenciados e como a documentação deve ser executada para atender aos padrões de auditoria 
  • Avaliação de desempenho – fornece diretrizes sobre como monitorar e medir o desempenho do ISMS 
  • Melhoria – explica como o ISMS deve ser continuamente atualizado e aprimorado, principalmente após as auditorias 
  • Objetivos e controles de controle de referência – fornece um anexo detalhando os elementos individuais de uma auditoria. 

O que são os controles de auditoria ISO 27001 

As auditorias cobrem os 14 controles de cada prática durante as verificações de conformidade:

  • Políticas de segurança da informação – abrange como as políticas devem ser escritas no ISMS e analisadas quanto à conformidade. 
  • Organização de segurança da informação – descreve quais partes de uma organização devem ser responsáveis ​​por quais tarefas e ações. 
  • Segurança de recursos humanos – cobre como os funcionários devem ser informados sobre segurança cibernética ao iniciar, sair ou mudar de posição. 
  • Gerenciamento de ativos – descreve os processos envolvidos no gerenciamento de ativos de dados e como eles devem ser protegidos. 
  • Controle de acesso – fornece orientações sobre como o acesso dos funcionários deve ser limitado a diferentes tipos de dados. 
  • Criptografia – abrange as melhores práticas de criptografia. 
  • Segurança física e ambiental – descreve os processos para proteger edifícios e equipamentos internos. 
  • Segurança de operações – fornece orientações sobre como coletar e armazenar dados com segurança, um processo que ganhou nova urgência graças à aprovação da GDPR em 2018. 
  • Segurança das comunicações – abrange a segurança de todas as transmissões na rede de uma organização. 
  • Aquisição, desenvolvimento e manutenção de sistemas – detalha os processos para gerenciar sistemas em um ambiente seguro. 
  • Relacionamentos com fornecedores – abrange como uma organização deve interagir com terceiros e garantir a segurança. 
  • Gerenciamento de incidentes de segurança da informação – descreve as melhores práticas para responder a problemas de segurança. 
  • Aspectos de segurança da informação do gerenciamento de continuidade de negócios – aborda como as interrupções nos negócios e as principais mudanças devem ser tratadas. 
  • Conformidade – identifica quais regulamentos governamentais ou do setor são relevantes para a organização. 

Um erro muito comum é a empresa colocar todas as responsabilidades pela certificação na equipe de TI. Embora a tecnologia da informação esteja no centro da ISO 27001, os processos e procedimentos devem ser compartilhados por todas as áreas da empresa. 

A Varonis obteve a certificação ISO 27001 completa e pode ajudar os candidatos a preparar as evidências necessárias para as auditorias. 

Dicas para manter a conformidade com a ISO 27001 

Especialistas recomendam  às empresa fazerem suas próprias auditorias anualmente a fim de reforçar as práticas de gerenciamento de riscos e procurar por lacunas ou deficiências. O DatAdvantage da Varonis ajuda a otimizar o processo de auditoria da perspectiva dos dados.

Uma força-tarefa deve ser formada por integrantes de toda a empresa e uma lista de verificação de conformidade pode ser criada: 

  • Obtenha suporte de gerenciamento para todas as atividades da ISO 27001 
  • Trate a conformidade com a ISO 27001 como um projeto em andamento 
  • Defina o escopo de como a ISO 27001 se aplicará a diferentes partes da sua organização 
  • Escreva e atualize a política do ISMS, que descreve sua estratégia de cibersegurança em alto nível 
  • Defina a metodologia de avaliação de riscos para capturar como os problemas serão identificados e tratados 
  • Realize avaliação e tratamento de riscos regularmente, quando os problemas forem descobertos 
  • Escreva uma declaração de aplicabilidade para determinar quais controles ISO 27001 são aplicáveis 
  • Escreva um plano de tratamento de riscos para que todas os stakeholders saibam como as ameaças estão sendo mitigadas. O uso da modelagem de ameaças pode ajudar a realizar essa tarefa 
  • Defina a medição dos controles para entender o desempenho das melhores práticas da ISO 27001 
  • Implemente todos os controles e procedimentos obrigatórios, conforme descrito na norma ISO 27001 
  • Implemente programas de treinamento e conscientização para todas as pessoas em sua organização que tenham acesso a ativos físicos ou digitais 
  • Opere o ISMS como parte da rotina diária da sua organização 
  • Monitore o ISMS para entender se ele está sendo usado com eficiência 
  • Execute auditorias internas para avaliar sua conformidade contínua 
  • Analise os resultados da auditoria com a gerência 
  • Defina ações corretivas ou preventivas quando necessário. 

Não importa o tamanho da sua empresa, ou o setor de atuação, obter a certificação ISO 27001 é uma grande vitória.Com as ferramentas da Varonis, é possível evitar ou interromper ataques antes que eles afetem sua rede, além de ajudar a emprea a manter conformidade com a ISO 27001. Solicite uma demonstração