Menu
O objetivo dessa avaliação é identificar e apresentar deficiências em operações de T.I. e derivados que possam apresentar algum tipo de risco ou ameaça ao negócio da organização, a partir de então desenvolver recomendações para melhorias que irão auxiliar nas tomadas de decisões sobre a alocação de recursos, que tenham o objetivo de reduzir riscos e aumentar a resistência organizacional por meio de medidas preventivas estratégicas.
Este serviço de consultoria tem como característica um levantamento a nível de auditoria, baseado no guia de boas práticas da ISO 27001 e 27002. A Athena Security sempre observa a Segurança da Informação de forma Holística, ou seja, qualquer ação, ou investimento implementado de forma isolada está fadado ao descontrole e com o passar do tempo será ineficiente.
A ISO 27001 (ISO/IEC 27001) é uma norma que indica as diretrizes para uma boa gestão da segurança da informação. Seu objetivo é estabelecer um padrão para que as empresas criem suas políticas de segurança com regras claras.
Publicada em 2005 pela International Electrotechnical Commission (ICE) e pelo International Organization for Standardization (ISO), a norma envolve várias etapas relacionados à segurança da informação de uma empresa: implementação das diretrizes, estabelecimento, operação, monitoramento, análise crítica, melhoria dos sistemas etc.
Seu complemento, a ISO 27002, tem como objetivo estabelecer regras e princípios gerais para que seja possível iniciar, implementar, manter e melhorar a gestão da segurança da informação de uma empresa. Esse processo também compreende a seleção, a implementação e o gerenciamento de controles considerando os ambientes de riscos identificados na companhia.
Por se tratar de extensão à ISO 27001, a implementação de um sistema de Gestão de Segurança da Informação é extremamente necessário sendo um pré-requisito para adequação.
Durante o projeto, iremos abordar todos os requisitos da ISO 27701, das quais devem ser definidas diretrizes, processos e procedimentos com objetivo à proteção dos dados e a privacidade.
O serviço de Security Assement tem como objetivo a análise e identificação do nível de maturidade em segurança da informação em 12 aspectos que indicam quais são os principais requisitos e controles de segurança, cada um com seus objetivos e focos específicos.
Primeiramente, deve ser elaborado um documento a respeito da política de segurança da informação da empresa, contendo os conceitos dessa temática, uma estrutura para determinar os objetivos e as formas de controle, o comprometimento da cúpula da direção com a política, entre outros aspectos.
Para a implementação da Segurança da Informação no ambiente corporativo, é preciso estabelecer uma estrutura para administrá-la corretamente. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes específicos da empresa, que serão responsáveis por proteger dados de caráter sigiloso.
Conforme estabelecido no ISO 27002, um ativo é qualquer coisa que represente algum valor para a companhia e que careça de proteção. Isso implica na identificação e classificação dos ativos, de maneira que possam ser estruturados em um inventário e mantidos futuramente. É importante que sigam regras documentadas, que esclareçam qual o tipo de uso destinado para cada item.
Antes de contratar funcionários ou fornecedores é preciso fazer uma análise cuidadosa — principalmente se forem ter acesso a informações sigilosas. O objetivo dessa atitude é eliminar o risco de roubo, mau uso ou fraude dos recursos. Uma vez atuando na organização, o funcionário deve ser conscientizado sobre as ameaças que expõem a segurança da informação, bem como sobre as suas obrigações e responsabilidades.
Essa seção prevê que as ferramentas e instalações de processamento de informações críticas ou sensíveis precisam ser armazenadas em áreas seguras, que tenham níveis e controles de acesso adequados, incluindo proteção contra ameaças ambientais e físicas.
É indispensável realizar a definição dos procedimentos e das responsabilidades da gestão e a operação de todos os recursos ligados ao processamento das informações. Para isso, é preciso gerenciar os serviços terceirizados, o planejamento dos recursos dos sistemas para reduzir riscos de falhas, a criação de processos para gerar cópias de segurança, a recuperação e a administração segura das redes de comunicação.
O acesso à informação, junto com os recursos de processamento dos dados e processos de negócios, deve ser controlado conforme os requisitos da empresa e da segurança da informação.
Somente os usuários autorizados podem acessar o sistema, impedindo que ocorram danos aos documentos e recursos de processamento da informação do ambiente corporativo.
Os requisitos para manter a segurança dos sistemas precisam ser identificados e estabelecidos antes de seu desenvolvimento ou sua implementação. Com isso, eles podem ser protegidos, visando a manutenção de sua autenticidade, confidencialidade e integridade a partir do uso de criptográficos.
Aqui, estipula-se que os procedimentos formais de registro e escalonamento têm que ser estabelecidos e os colaboradores, fornecedores e terceiros deverão ser conscientizados sobre processos para a notificação das situações dos eventos de segurança da informação. Assim, fica garantido que elas sejam comunicadas rapidamente e corrigidas em tempo hábil, quando necessário.
Os planos de continuidade da corporação devem ser criados e implementados com o objetivo de evitar a interrupção das suas tarefas e assegurar que as operações substanciais sejam recuperadas com maior praticidade e em menor tempo.
Por fim, é necessário tomar medidas que impeçam a violação das leis criminais ou civis, garantindo regulamentações, estatutos ou obrigações contratuais e de qualquer requisito de segurança da informação. Se preciso, a organização pode contratar uma consultoria especializada, que fará a verificação de conformidade e aderência às normas regulamentares e legais.
O projeto de adequação à ISO 27701 realizado pela Athena Security tem como objetivo, realizando a extensão dos processos e compliance ISO 27001 em um Sistema de Gerenciamento de Informações de Privacidade. Esta adequação irá tratar e orientar a documentação que deve ser definida em conjunto aos processos que tratam dados pessoais na organização.
A Athena Security é uma empresa de consultoria especializada em segurança da informação, onde apoiamos nossos clientes na gestão de infraestrutura e segurança dos dados para segurança de dados.