Hoje, a questão da segurança da informação (a seguir denominada IS) das empresas é uma das mais relevantes do mundo. E isso não é surpreendente, porque em muitos países há um rigoroso requisito para as organizações que armazenam e processam dados pessoais. Atualmente, a legislação russa exige a manutenção de uma parcela significativa da papelada. Ao mesmo tempo, a tendência da digitalização é perceptível: muitas empresas já armazenam uma grande quantidade de informações confidenciais, tanto no formato digital quanto na forma de documentos em papel.
De acordo com uma
pesquisa do Centro Analítico Anti-Malware, 86% dos entrevistados disseram que precisavam resolver incidentes após ataques cibernéticos ou como resultado de usuários violarem regras estabelecidas pelo menos uma vez por ano. Nesse sentido, a atenção prioritária nos negócios à segurança da informação tornou-se uma necessidade.
Atualmente, a segurança das informações corporativas não é apenas um complexo de meios técnicos, como antivírus ou firewalls, é uma abordagem integrada ao gerenciamento dos ativos da empresa em geral e das informações em particular. As empresas têm abordagens diferentes para resolver esses problemas. Hoje, gostaríamos de falar sobre a implementação da norma internacional ISO 27001 como solução para esse problema. Para empresas no mercado russo, a presença de um certificado desse tipo simplifica a interação com clientes e parceiros estrangeiros que possuem altos requisitos nesse assunto. A ISO 27001 é amplamente usada no Ocidente e cobre os requisitos no campo da segurança da informação, que devem ser cobertos pelas soluções técnicas utilizadas, além de ajudar a construir processos de negócios. Assim, esse padrão pode se tornar sua vantagem competitiva e um ponto de contato com empresas estrangeiras.
Essa certificação do Sistema de Gerenciamento de Segurança da Informação (doravante - ISMS) reuniu as melhores práticas de criação de ISMS e, principalmente, proporcionou a possibilidade de escolher ferramentas de gerenciamento para garantir o funcionamento do sistema, os requisitos de segurança tecnológica e até o processo de gerenciamento de pessoas na empresa. Afinal, você precisa entender que falhas técnicas são apenas parte do problema. Em questões de segurança da informação, o fator humano desempenha um papel enorme, que é muito mais difícil de eliminar ou minimizar.
Se sua empresa for certificada de acordo com a ISO 27001, talvez você já tenha tentado encontrar uma maneira fácil de fazer isso. Teremos que decepcioná-lo: não há maneiras fáceis. No entanto, existem certas etapas que ajudarão a preparar a organização para os requisitos internacionais de segurança da informação:
1. Obtenha suporte de gerenciamentoVocê pode considerar isso óbvio, mas, na prática, esse ponto é frequentemente esquecido. Além disso, essa é uma das principais razões pelas quais os projetos que implementam a ISO 27001 frequentemente falham. Sem entender a importância do projeto de implementação padrão, a gerência não fornecerá recursos humanos suficientes ou um orçamento suficiente para a certificação.
2. Desenvolver um plano de preparação da certificaçãoA preparação para a certificação de acordo com a ISO 27001 é uma tarefa complexa que inclui vários tipos de trabalho, requer o envolvimento de um grande número de pessoas e pode durar muitos meses (ou até anos). Portanto, é muito importante elaborar um plano detalhado do projeto: alocar recursos, tempo e pessoas para tarefas estritamente definidas e monitorar o cumprimento dos prazos - caso contrário, você nunca poderá terminar o trabalho.
3. Defina o perímetro da certificaçãoSe você tem uma organização grande com atividades diversificadas, provavelmente faz sentido certificar, de acordo com a ISO 27001, apenas parte dos negócios da empresa, o que reduzirá significativamente os riscos do seu projeto, assim como o tempo e o custo.
4. Desenvolva uma política de segurança da informaçãoUm dos documentos mais importantes é a Política de Segurança da Informação da empresa. Ele deve refletir os objetivos da sua empresa no campo da segurança da informação e os princípios básicos do gerenciamento da segurança da informação, que devem ser observados por todos os funcionários. O objetivo deste documento é determinar o que a gerência da empresa deseja alcançar no campo da segurança da informação, bem como como ela será implementada e controlada.
5. Defina uma metodologia de avaliação de riscoUma das tarefas mais difíceis é determinar as regras para avaliar e gerenciar riscos. É importante entender quais riscos a empresa pode considerar aceitáveis por si mesma e quais exigem ações imediatas para reduzi-los. Sem essas regras, o SGSI não funcionará.
Ao mesmo tempo, vale lembrar a adequação das medidas adotadas para reduzir riscos. Mas não se empolgue demais com o processo de otimização, porque eles implicam, entre outras coisas, grandes custos financeiros ou de tempo ou podem ser simplesmente inviáveis. Recomendamos que você use o princípio de “suficiência mínima” ao desenvolver medidas de redução de risco.
6. Gerenciar riscos de acordo com uma metodologia aprovadaO próximo estágio é a aplicação consistente da metodologia de gerenciamento de riscos, ou seja, sua avaliação e processamento. Este processo deve ser realizado regularmente com muito cuidado. Mantendo o registro de riscos de SI atualizado, você pode distribuir com eficiência os recursos da empresa e evitar incidentes graves.
7. Planeje o tratamento de riscosRiscos que excedem o nível aceitável para sua empresa devem ser incluídos no plano de tratamento de riscos. Deve conter ações destinadas a reduzir riscos, bem como responsáveis por eles e termos.
8. Preencha o regulamento de aplicabilidadeEste é um documento importante que será estudado por especialistas do organismo de certificação durante a auditoria. Ele deve descrever quais mecanismos de controle no campo da segurança da informação são aplicáveis às atividades da sua empresa.
9. Determine como a eficácia dos controles de SI será medida.Qualquer ação deve ter um resultado que leve ao alcance das metas estabelecidas. Portanto, é importante determinar claramente por quais parâmetros o alcance das metas será medido para todo o sistema de gerenciamento de SI e para cada mecanismo de controle selecionado do Apêndice de Aplicabilidade.
10. Implementar ferramentas de gerenciamento de SIE somente após a implementação de todas as etapas anteriores, é necessário iniciar a implementação das ferramentas de gerenciamento de SI aplicáveis no Apêndice de Aplicabilidade. A maior dificuldade aqui, é claro, será a introdução de um curso de ação completamente novo em muitos processos da sua organização. As pessoas geralmente resistem a novas políticas e procedimentos; portanto, preste atenção no próximo parágrafo.
11. Introduzir programas de treinamento de funcionáriosTodos os pontos descritos acima não terão sentido se seus funcionários não entenderem a importância do projeto e não agirem de acordo com as políticas de SI. Se você deseja que sua equipe cumpra todas as novas regras, primeiro explique às pessoas por que elas são necessárias e, em seguida, realize o treinamento do SGSI, destacando todas as políticas importantes que os funcionários devem considerar em seu trabalho diário. A falta de treinamento da equipe é uma causa comum de falha do projeto, de acordo com a ISO 27001.
12. Suporte aos processos do ISMSNesse ponto, a ISO 27001 se torna sua rotina diária. Para confirmar a implementação das ferramentas de gerenciamento de SI de acordo com a norma, os auditores precisarão fornecer registros - evidência do trabalho real dos mecanismos de controle. Mas, acima de tudo, os registros devem ajudá-lo a acompanhar se seus funcionários (e fornecedores) executam suas tarefas de acordo com as regras aprovadas.
13. Monitore o ISMSO que acontece com o seu SGSI? Quantos incidentes você tem, que tipo de incidentes são eles? Todos os procedimentos são executados corretamente? Com essas perguntas, você deve verificar se a empresa está atingindo suas metas de segurança da informação. Caso contrário, você deve desenvolver um plano corretivo.
14. Realize uma auditoria interna do SGSIO objetivo da auditoria interna é identificar inconsistências entre processos reais na empresa e políticas de SI aprovadas. Na maioria das vezes, esse é um teste de como seus funcionários cumprem as regras. Este é um ponto muito importante, porque se você não controlar o trabalho de sua equipe, a organização poderá sofrer danos (intencionais ou não intencionais). Mas a tarefa aqui não é encontrar os autores e impor sanções disciplinares por não conformidade com as políticas, mas corrigir a situação e evitar problemas futuros.
15. Organizar análises críticas da gerênciaO gerenciamento não deve configurar seu firewall, mas deve saber o que está acontecendo no SGSI: por exemplo, se eles estão cumprindo todas as suas responsabilidades e se o SGSI atinge os resultados desejados. Com base nisso, a gerência deve tomar decisões importantes para melhorar o SGSI e os processos de negócios internos.
16. Introduzir um sistema de ações corretivas e preventivasComo qualquer norma, a ISO 27001 exige “melhoria contínua”: correção sistemática e prevenção de inconsistências no sistema de gerenciamento de segurança da informação. Com a ajuda de ações corretivas e preventivas, é possível corrigir a discrepância e impedir seu reaparecimento no futuro.
Concluindo, quero dizer que, de fato, a certificação é muito mais difícil do que a descrita em várias fontes. A confirmação é o fato de que atualmente na Rússia apenas
78 empresas passaram na certificação de conformidade. Ao mesmo tempo, no exterior, é um dos padrões mais populares que atendem às crescentes demandas dos negócios no campo da segurança da informação. Essa demanda de implementação se deve não apenas ao crescimento e complicação de tipos de ameaças, mas também aos requisitos da lei, bem como aos clientes que precisam manter total confidencialidade de seus dados.
Apesar de a certificação do SGSI não ser uma tarefa fácil, o fato de atender aos requisitos da norma internacional ISO / IEC 27001 pode proporcionar uma séria vantagem competitiva no mercado global. Esperamos que nosso artigo tenha entendido as etapas principais na preparação de uma empresa para certificação.