Autoria: Claudio Yuge

Data:  19 de Outubro de 2022 às 15h40

Os padrões de International Organizatin for Standardization, ou Organização Internacional para Padronização, são mais conhecidos como ISO. São regras que servem para normatizar as condutas e processos em organizações e entidades públicas, em diferentes segmentos do mercado. O principal objetivo é criar uma referência qualitativa para que os consumidores tenham o mínimo requerido para que cada grupo ofereça seus produtos ou serviços.

O conjunto que começa no ISO 27000 trata especificamente da Gestão de Segurança da Informação. Como sabemos, esse é atualmente um tema cada vez mais recorrente em todas as empresas de tecnologia, incluindo gigantes do mercado como Apple, Google, Microsoft, Amazon e Facebook.

“Todas as companhias que entendem a importância dos ativos de informação que possuem, buscarão formas de garantir que eles estejam seguros do ponto de vista dos pilares da segurança da informação, a fim de garantir que eles estejam disponíveis para a tomada de decisões e de forma que sejam confiados apenas a aqueles que têm o direito de acessá-los”, comenta Felix Santos, analista de Segurança da Informação da empresa NovaRed Brasil.

Segurança de dados é um assunto cada vez mais recorrente nos corredores dos grandes grupos, principalmente porque o Brasil tem sido um dos principais alvos de cibercriminosos nos últimos anos. De acordo com dados levantados pela Fortinet, foram encontradas 10.666 assinaturas de ransomware na América Latina no primeiro semestre de 2022. No último semestre de 2021 foram identificadas 5.400: ou seja, em apenas seis meses, o número praticamente dobrou.

Quais as exigências de segurança do ISO 27001?

“Para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro da organização se faz fundamental e é isso que propõe a norma de governança corporativa ISO 27001”, diz Santos.

O ISO 27001 apresenta diversas definições dentro de suas normas, como:

• Ação Corretiva: ação para eliminar a causa da não conformidade e prevenir a reincidência;
• Ameaça: causa potencial de um evento indesejado, que pode causar danos a um sistema ou organização;
• Evento de segurança da informação: indica uma possível violação da política de segurança da informação;
• Incidente de segurança da informação: eventos de segurança da informação indesejados ou inesperados que têm um potencial significativo para interromper as operações.

Tudo isso serve para elevar o nível de maturidade em segurança da informação na empresa e melhorar a organização interna de processos. “Para sua implementação, o ideal é seguir uma trilha e definir as etapas de forma evolutiva, permitindo desenvolver passo a passo um sistema de gestão que seja adequado à realidade da sua empresa”, destaca Santos.

O analista sugere as seguintes etapas para implementação:

• Diagnóstico Inicial
• Análise de Cenários e definições gerais
• Planejamento da Segurança da Informação
• Análise de equipamentos e infraestrutura predial
• Segurança em Redes e utilização de softwares
• Gestão de Pessoas e comunicação
• Análise de Fornecedores
• Gestão de Melhoria e resultados
• Auditoria Interna
• Auditoria de Certificação

“O cuidado com a segurança de dados deve ser um compromisso ético de toda organização e cada vez mais elas serão cobradas para isso, então, seja implementando a certificação ISO 27001 ou utilizando as melhores práticas, softwares e soluções de segurança, o ponto central é que todas as instituições devem ter como objetivo final manter seus dados seguros, tornando isso uma prioridade”, complementa Santos.

Fonte: CanalTech