ISO 27002: Referência de boas práticas de segurança da informação

ISO 27002: Referência de boas práticas de segurança da informação

Muito se fala sobre segurança de informação, e é sabido que as empresas precisam se adequar constantemente, haja vista os inúmeros incidentes com vazamento de dados, prejudicando não somente o cidadão como também a empresa, os negócios e acarretando danos e perdas financeiras, como processos e multas.

Assim como a área de tecnologia da informação cresce, cresce também o número de incidentes com dados pessoais, sensíveis e segurança. Diariamente e mundialmente há ocorrência de vazamento de dados, novos tipos de ataques cibernéticos entre outros, que afetam usuários, parceiros e empresas, por isso a importância e valorização na segurança da informação para garantir proteção.

Diante de todos esses incidentes, temos a norma internacional NBR ISO/IEC 27002. Tem termos gerais, a norma foca nas boas práticas de segurança da informação.

No artigo abaixo veremos a importância das boas práticas.

O que é a ISO 27002?

Representada pela série numérica 27000, um grupo de normas consolidam as diretrizes de segurança da informação, criadas pelas organizações internacionais ISO e IEC.

A ISO/IEC 27002 é uma normal internacional que estabelece as melhores práticas na implantação de um Sistema de Gestão de Segurança da Informação. Este guia auxilia na implementação e descreve os controles que precisam ser estabelecidos conforma a avaliação de riscos dos ativos da empresa, sendo organização pública ou privada, independente do porte, não somente para empresas de TI.

O objetivo da norma é estabelecer princípios e diretrizes gerais para que se possa iniciar a gestão da segurança da informação, implementar, manter e melhorar os processos e mapeamentos, deixando sua empresa o mais segura possível e longe de riscos.

Quais os benefícios ao implantar a ISO 27002 na sua empresa?

Ser uma empresa certificada pela ISO 27002 podem trazer benefícios como representatividade, já que é reconhecida mundialmente.

A aplicação da norma beneficia como:

  • Melhora na conscientização na segurança da informação;
  • Melhora no controle dos ativos e das informações sensíveis;
  • Implementação de novas políticas internas de controle;
  • Identificar os riscos e pontos fracos;
  • Reduzir o risco pela não implementação ou determinação de políticas e procedimentos com o sistema de gestão de segurança da informação;
  • Ter potencial diferencial na conquista de clientes;
  • Organização dos processos;
  • Redução de riscos e custos com incidentes;
  • Estar em conformidade.

Portanto, ao analisar os benefícios, vemos que não somente evitar incidentes, mas é importante de diversas formas estar em dia e sua empresa certificada.

Também é possível investir em conhecimento, com profissionais que podem investir em certificações pessoais.

Os princípios sugeridos na norma são fundamentais para a garantia da segurança da informação, bem como ter profissionais certificados.

O que compõem a ISO 27002?

Já vimos do que se trata e a importância da norma ISO 27002, agora vamos entender o que a compõem para controle de segurança da informação, para que sua empresa utilize as diretrizes, tais como:

Política de Segurança da Informação

Deverá ser criado a política de segurança da informação com seus conceitos, a fim de estabelecer objetivos e formas para controle.

Organização da Segurança da Informação

Não somente implementar, mas é importante ter a estrutura de gerenciamento de forma adequada, com as atividades de segurança da informação coordenadas e seus representantes, cada um com responsabilidades definidas.

Gestão de ativos

Qualquer coisa que tenha valor e precisa ser protegido é considerado um ativo, que devem ser identificados e classificados em um inventario estruturado para que se possa manter, com regras documentadas.

Segurança em recursos humanos

Qualquer novo funcionário ou fornecedor deve ser analisado sempre que em sua tratativa for lidar com dados sigilosos, a fim de evitar roubo de dados, fraude ou mau uso de recursos. Ao funcionário que já trabalha na empresa, deve ser comunicado e deixá-lo ciente das ameaças e suas responsabilidades.

Segurança física e do ambiente

Equipamentos e processamento de informações sensíveis devem ser estarem mantidas seguras, inclusive com níveis e controles de acesso apropriados, sempre protegidas contra ameaças não somente físicas, mas ambientais.

Segurança das operações e comunicações

Os procedimentos e responsabilidades na gestão e operação dos recursos, inclusive terceiros, é de extrema importância para minimizar risco de falhas na segurança, recuperação e administração de redes.

Controle de acesso

O acesso a todo tipo de informações, seja do processamento ou dos processos de negócios deve ser controlado, assegurando o acesso de somente usuários autorizados.

Aquisição, desenvolvimento e manutenção de sistemas

Antes de adquirir ou desenvolver qualquer sistema, deve identificar e acordar os requisitos de segurança, visando a proteção da confidencialidade, autenticidade e integridade dos dados criptográficos.

Gestão de incidentes de segurança da informação

Estabelecer os procedimentos formais de registro e escalonamento, além de realizar a conscientização de todos, a fim de que entendam a gravidade, responsabilidade e procedimentos de notificação dos eventos. Ao ocorrer qualquer incidente, deve ser notificado o mais breve possível, para que se possa tomar as medidas o quanto antes.

Gestão da continuidade do negócio

Desenvolver planos de continuidade a fim de que se interrompa as atividades e assegurar operações essenciais para recuperação em caráter de urgência.

Conformidade

Deve-se evitar a violação das leis criminal ou civil, garantir estatutos, regulamentações ou obrigações contratuais, onde a empresa pode contratar consultoria especializada para analisar a conformidade e aderência.

Todos devem estar cientes da proteção das informações e o que acarretará caso haja incidente.

Proteja sua empresa, capacite e conscientize seus profissionais para minimizar ao máximo os riscos e danos não somente pessoais, mas para sua empresa.