A norma ISO 27001 foi projetada para funcionar como uma estrutura para o sistema de gerenciamento de segurança da informação (ISMS) de uma empresa. Isso inclui todas as políticas e processos relevantes para como os dados são controlados e usados. A ISO 27001 funciona como uma lista de verificação de conformidade que agrega valor à empresa.
Introdução
O objetivo da ISO 27001 é fornecer uma estrutura de padrões sobre como uma organização moderna deve gerenciar suas informações e dados. O gerenciamento de riscos é parte essencial da ISO 27001, garantindo que uma empresa entenda quais seus pontos fortes e fracos. A maturidade ISO é um sinal de segurança e confiabilidade,
Ao buscar a certificação ISO 27001, o Sistema de Gerenciamento de Segurança da Informação (ISMS) é a principal referência para determinar o nível de conformidade de uma empresa. Um ISMS é uma ferramenta crítica, especialmente para grupos espalhados por várias localidades, pois abrange todos os processos relacionados à segurança de ponta a ponta.
Como se tornar certificado
A certificação é, geralmente, um processo plurianual, que requer envolvimento de todos os stakeholders e normalmente é dividida em três fases:
- A empresa contrata uma instituição de certificação que, em seguida, realiza uma revisão básica do ISMS para procurar as principais formas de documentação
- A instituição realiza uma auditoria mais aprofundada, na qual componentes individuais da ISO 27001 são comparados com o ISMS da empresa. Devem ser demonstradas evidências de que políticas e procedimentos estão segundo seguidos adequadamente.
- As auditorias de acompanhamento estão agendadas entre a empresa e a instituição de certificação para garantir que a conformidade seja mantida
Quais são as normas ISO 27001
Antes de iniciar uma certificação, todos os interessados devem estar familiarizados com a forma como o padrão é organizado e usado:
- Introdução – descreve o que é segurança da informação e por que uma organização deve gerenciar riscos
- Escopo – abrange requisitos de alto nível para que um ISMS se aplique a todos os tipos ou organizações
- Referências normativas – explica a relação entre os padrões ISO 27000 e 27001
- Termos e Definições – abrange a terminologia complexa usada dentro do padrão
- Contexto da organização – explica quais stakeholders devem estar envolvidos na criação e manutenção do ISMS
- Liderança – descreve como os líderes da organização devem se comprometer com as políticas e procedimentos do ISMS
- Planejamento – abrange um esboço de como o gerenciamento de riscos deve ser planejado em toda a organização
- Suporte – descreve como aumentar a conscientização sobre segurança da informação e atribuir responsabilidades
- Operação – cobre como os riscos devem ser gerenciados e como a documentação deve ser executada para atender aos padrões de auditoria
- Avaliação de desempenho – fornece diretrizes sobre como monitorar e medir o desempenho do ISMS
- Melhoria – explica como o ISMS deve ser continuamente atualizado e aprimorado, principalmente após as auditorias
- Objetivos e controles de controle de referência – fornece um anexo detalhando os elementos individuais de uma auditoria.
O que são os controles de auditoria ISO 27001
As auditorias cobrem os 14 controles de cada prática durante as verificações de conformidade:
- Políticas de segurança da informação – abrange como as políticas devem ser escritas no ISMS e analisadas quanto à conformidade.
- Organização de segurança da informação – descreve quais partes de uma organização devem ser responsáveis por quais tarefas e ações.
- Segurança de recursos humanos – cobre como os funcionários devem ser informados sobre segurança cibernética ao iniciar, sair ou mudar de posição.
- Gerenciamento de ativos – descreve os processos envolvidos no gerenciamento de ativos de dados e como eles devem ser protegidos.
- Controle de acesso – fornece orientações sobre como o acesso dos funcionários deve ser limitado a diferentes tipos de dados.
- Criptografia – abrange as melhores práticas de criptografia.
- Segurança física e ambiental – descreve os processos para proteger edifícios e equipamentos internos.
- Segurança de operações – fornece orientações sobre como coletar e armazenar dados com segurança, um processo que ganhou nova urgência graças à aprovação da GDPR em 2018.
- Segurança das comunicações – abrange a segurança de todas as transmissões na rede de uma organização.
- Aquisição, desenvolvimento e manutenção de sistemas – detalha os processos para gerenciar sistemas em um ambiente seguro.
- Relacionamentos com fornecedores – abrange como uma organização deve interagir com terceiros e garantir a segurança.
- Gerenciamento de incidentes de segurança da informação – descreve as melhores práticas para responder a problemas de segurança.
- Aspectos de segurança da informação do gerenciamento de continuidade de negócios – aborda como as interrupções nos negócios e as principais mudanças devem ser tratadas.
- Conformidade – identifica quais regulamentos governamentais ou do setor são relevantes para a organização.
Um erro muito comum é a empresa colocar todas as responsabilidades pela certificação na equipe de TI. Embora a tecnologia da informação esteja no centro da ISO 27001, os processos e procedimentos devem ser compartilhados por todas as áreas da empresa.
A Varonis obteve a certificação ISO 27001 completa e pode ajudar os candidatos a preparar as evidências necessárias para as auditorias.
Dicas para manter a conformidade com a ISO 27001
Especialistas recomendam às empresa fazerem suas próprias auditorias anualmente a fim de reforçar as práticas de gerenciamento de riscos e procurar por lacunas ou deficiências. O DatAdvantage da Varonis ajuda a otimizar o processo de auditoria da perspectiva dos dados.
Uma força-tarefa deve ser formada por integrantes de toda a empresa e uma lista de verificação de conformidade pode ser criada:
- Obtenha suporte de gerenciamento para todas as atividades da ISO 27001
- Trate a conformidade com a ISO 27001 como um projeto em andamento
- Defina o escopo de como a ISO 27001 se aplicará a diferentes partes da sua organização
- Escreva e atualize a política do ISMS, que descreve sua estratégia de cibersegurança em alto nível
- Defina a metodologia de avaliação de riscos para capturar como os problemas serão identificados e tratados
- Realize avaliação e tratamento de riscos regularmente, quando os problemas forem descobertos
- Escreva uma declaração de aplicabilidade para determinar quais controles ISO 27001 são aplicáveis
- Escreva um plano de tratamento de riscos para que todas os stakeholders saibam como as ameaças estão sendo mitigadas. O uso da modelagem de ameaças pode ajudar a realizar essa tarefa
- Defina a medição dos controles para entender o desempenho das melhores práticas da ISO 27001
- Implemente todos os controles e procedimentos obrigatórios, conforme descrito na norma ISO 27001
- Implemente programas de treinamento e conscientização para todas as pessoas em sua organização que tenham acesso a ativos físicos ou digitais
- Opere o ISMS como parte da rotina diária da sua organização
- Monitore o ISMS para entender se ele está sendo usado com eficiência
- Execute auditorias internas para avaliar sua conformidade contínua
- Analise os resultados da auditoria com a gerência
- Defina ações corretivas ou preventivas quando necessário.
Não importa o tamanho da sua empresa, ou o setor de atuação, obter a certificação ISO 27001 é uma grande vitória.Com as ferramentas da Varonis, é possível evitar ou interromper ataques antes que eles afetem sua rede, além de ajudar a emprea a manter conformidade com a ISO 27001. Solicite uma demonstração.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.