Apesar de ter inúmeras opções de proteção, a segurança da informação ainda é uma das áreas mais vulneráveis do ambiente corporativo. Qualquer desvio nesse setor pode interferir no bom andamento das tarefas rotineiras e, consequentemente, nos resultados planejados. Nesse contexto, a adoção das práticas da norma ISO 27002 é imprescindível para blindar a sua empresa contra ataques cibernéticos e demais ameaças.
Em 1995, as organizações International Electrotechnical Commission (IEC) e The International Organization for Standardization (ISO) criaram um grupo de normas com o objetivo de consolidar as diretrizes referentes ao escopo de Segurança da Informação, que passou a ser representado pela série 27000.
Assim, o ISO 27002 tem como objetivo estabelecer regras e princípios gerais para que seja possível iniciar, implementar, manter e melhorar a gestão da segurança da informação de uma empresa. Esse processo também compreende a seleção, a implementação e o gerenciamento de controles considerando os ambientes de riscos identificados na companhia.
Quer aumentar a segurança dos dados da sua corporação? Confira abaixo quais as principais práticas do ISO 27002!
1. Política de segurança da informação
Primeiramente, deve ser elaborado um documento a respeito da política de segurança da informação da empresa, contendo os conceitos dessa temática, uma estrutura para determinar os objetivos e as formas de controle, o comprometimento da cúpula da direção com a política, entre outros aspectos.
2. Organização da segurança da informação
Para a implementação da Segurança da Informação no ambiente corporativo, é preciso estabelecer uma estrutura para administrá-la corretamente. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes específicos da empresa, que serão responsáveis por proteger dados de caráter sigiloso.
3. Gestão de ativos
Conforme estabelecido no ISO 27002, um ativo é qualquer coisa que represente algum valor para a companhia e que careça de proteção. Isso implica na identificação e classificação dos ativos, de maneira que possam ser estruturados em um inventário e mantidos futuramente. É importante que sigam regras documentadas, que esclareçam qual o tipo de uso destinado para cada item.
4. Segurança em Recursos Humanos
Antes de contratar funcionários ou fornecedores é preciso fazer uma análise cuidadosa — principalmente se forem ter acesso a informações sigilosas. O objetivo dessa atitude é eliminar o risco de roubo, mau uso ou fraude dos recursos. Uma vez atuando na organização, o funcionário deve ser conscientizado sobre as ameaças que expõem a segurança da informação, bem como sobre as suas obrigações e responsabilidades.
5. Segurança física e do ambiente
Essa seção prevê que as ferramentas e instalações de processamento de informações críticas ou sensíveis precisam ser armazenadas em áreas seguras, que tenham níveis e controles de acesso adequados, incluindo proteção contra ameaças ambientais e físicas.
6. Gerenciamento de operações e comunicações
É indispensável realizar a definição dos procedimentos e das responsabilidades da gestão e a operação de todos os recursos ligados ao processamento das informações. Para isso, é preciso gerenciar os serviços terceirizados, o planejamento dos recursos dos sistemas para reduzir riscos de falhas, a criação de processos para gerar cópias de segurança, a recuperação e a administração segura das redes de comunicação.
7. Controle de acesso
O acesso à informação, junto com os recursos de processamento dos dados e processos de negócios, deve ser controlado conforme os requisitos da empresa e da segurança da informação.
Somente os usuários autorizados podem acessar o sistema, impedindo que ocorram danos aos documentos e recursos de processamento da informação do ambiente corporativo.
8. Aquisição, desenvolvimento e manutenção de sistemas
Os requisitos para manter a segurança dos sistemas precisam ser identificados e estabelecidos antes de seu desenvolvimento ou sua implementação. Com isso, eles podem ser protegidos, visando a manutenção de sua autenticidade, confidencialidade e integridade a partir do uso de criptográficos.
9. Gestão de incidentes de segurança da informação
Aqui, estipula-se que os procedimentos formais de registro e escalonamento têm que ser estabelecidos e os colaboradores, fornecedores e terceiros deverão ser conscientizados sobre processos para a notificação das situações dos eventos de segurança da informação. Assim, fica garantido que elas sejam comunicadas rapidamente e corrigidas em tempo hábil, quando necessário.
10. Gestão da continuidade do negócio
Os planos de continuidade da corporação devem ser criados e implementados com o objetivo de evitar a interrupção das suas tarefas e assegurar que as operações substanciais sejam recuperadas com maior praticidade e em menor tempo.
11. Conformidade
Por fim, é necessário tomar medidas que impeçam a violação das leis criminais ou civis, garantindo regulamentações, estatutos ou obrigações contratuais e de qualquer requisito de segurança da informação. Se preciso, a organização pode contratar uma consultoria especializada, que fará a verificação de conformidade e aderência às normas regulamentares e legais.
Ao seguir os princípios do ISO 27002, a sua empresa dá um passo importantíssimo para garantir a segurança das suas informações. Mas, para que o processo seja bem-sucedido, é crucial contar com profissionais certificados em suas equipes de segurança, o que dá maior suporte para a implementação das boas práticas referentes à norma.
Gostou desse post? Então assine a nossa newsletter e receba conteúdos exclusivos diretamente no seu e-mail!
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.
