O blog da segurança de dentro para fora Blog

Conformidade com o ISO 27001. Dicas e insights essenciais

Conformidade com o ISO 27001. Dicas e insights essenciais

A norma ISO 27001 foi projetada para funcionar como uma estrutura para o sistema de gerenciamento de segurança da informação (ISMS) de uma empresa. Isso inclui todas as políticas e processos relevantes para como os dados são controlados e usados. A ISO 27001 funciona como uma lista de verificação de conformidade que agrega valor à empresa.

Introdução

O objetivo da ISO 27001 é fornecer uma estrutura de padrões sobre como uma organização moderna deve gerenciar suas informações e dados. O gerenciamento de riscos é parte essencial da ISO 27001, garantindo que uma empresa entenda quais seus pontos fortes e fracos. A maturidade ISO é um sinal de segurança e confiabilidade,

Ao buscar a certificação ISO 27001, o Sistema de Gerenciamento de Segurança da Informação (ISMS) é a principal referência para determinar o nível de conformidade de uma empresa. Um ISMS é uma ferramenta crítica, especialmente para grupos espalhados por várias localidades, pois abrange todos os processos relacionados à segurança de ponta a ponta.

Como se tornar certificado

A certificação é, geralmente, um processo plurianual, que requer envolvimento de todos os stakeholders e normalmente é dividida em três fases:

  1. A empresa contrata uma instituição de certificação que, em seguida, realiza uma revisão básica do ISMS para procurar as principais formas de documentação
  1. A instituição realiza uma auditoria mais aprofundada, na qual componentes individuais da ISO 27001 são comparados com o ISMS da empresa. Devem ser demonstradas evidências de que políticas e procedimentos estão segundo seguidos adequadamente.
  1. As auditorias de acompanhamento estão agendadas entre a empresa e a instituição de certificação para garantir que a conformidade seja mantida

Quais são as normas ISO 27001

Antes de iniciar uma certificação, todos os interessados devem estar familiarizados com a forma como o padrão é organizado e usado:

  • Introdução – descreve o que é segurança da informação e por que uma organização deve gerenciar riscos
  • Escopo – abrange requisitos de alto nível para que um ISMS se aplique a todos os tipos ou organizações
  • Referências normativas – explica a relação entre os padrões ISO 27000 e 27001
  • Termos e Definições – abrange a terminologia complexa usada dentro do padrão
  • Contexto da organização – explica quais stakeholders devem estar envolvidos na criação e manutenção do ISMS
  • Liderança – descreve como os líderes da organização devem se comprometer com as políticas e procedimentos do ISMS
  • Planejamento – abrange um esboço de como o gerenciamento de riscos deve ser planejado em toda a organização
  • Suporte – descreve como aumentar a conscientização sobre segurança da informação e atribuir responsabilidades
  • Operação – cobre como os riscos devem ser gerenciados e como a documentação deve ser executada para atender aos padrões de auditoria
  • Avaliação de desempenho – fornece diretrizes sobre como monitorar e medir o desempenho do ISMS
  • Melhoria – explica como o ISMS deve ser continuamente atualizado e aprimorado, principalmente após as auditorias
  • Objetivos e controles de controle de referência – fornece um anexo detalhando os elementos individuais de uma auditoria.

O que são os controles de auditoria ISO 27001

As auditorias cobrem os 14 controles de cada prática durante as verificações de conformidade:

  • Políticas de segurança da informação – abrange como as políticas devem ser escritas no ISMS e analisadas quanto à conformidade.
  • Organização de segurança da informação – descreve quais partes de uma organização devem ser responsáveis ​​por quais tarefas e ações.
  • Segurança de recursos humanos – cobre como os funcionários devem ser informados sobre segurança cibernética ao iniciar, sair ou mudar de posição.
  • Gerenciamento de ativos – descreve os processos envolvidos no gerenciamento de ativos de dados e como eles devem ser protegidos.
  • Controle de acesso – fornece orientações sobre como o acesso dos funcionários deve ser limitado a diferentes tipos de dados.
  • Criptografia – abrange as melhores práticas de criptografia.
  • Segurança física e ambiental – descreve os processos para proteger edifícios e equipamentos internos.
  • Segurança de operações – fornece orientações sobre como coletar e armazenar dados com segurança, um processo que ganhou nova urgência graças à aprovação da GDPR em 2018.
  • Segurança das comunicações – abrange a segurança de todas as transmissões na rede de uma organização.
  • Aquisição, desenvolvimento e manutenção de sistemas – detalha os processos para gerenciar sistemas em um ambiente seguro.
  • Relacionamentos com fornecedores – abrange como uma organização deve interagir com terceiros e garantir a segurança.
  • Gerenciamento de incidentes de segurança da informação – descreve as melhores práticas para responder a problemas de segurança.
  • Aspectos de segurança da informação do gerenciamento de continuidade de negócios – aborda como as interrupções nos negócios e as principais mudanças devem ser tratadas.
  • Conformidade – identifica quais regulamentos governamentais ou do setor são relevantes para a organização.

Um erro muito comum é a empresa colocar todas as responsabilidades pela certificação na equipe de TI. Embora a tecnologia da informação esteja no centro da ISO 27001, os processos e procedimentos devem ser compartilhados por todas as áreas da empresa.

A Varonis obteve a certificação ISO 27001 completa e pode ajudar os candidatos a preparar as evidências necessárias para as auditorias.

Dicas para manter a conformidade com a ISO 27001

Especialistas recomendam às empresa fazerem suas próprias auditorias anualmente a fim de reforçar as práticas de gerenciamento de riscos e procurar por lacunas ou deficiências. O DatAdvantage da Varonis ajuda a otimizar o processo de auditoria da perspectiva dos dados.

Uma força-tarefa deve ser formada por integrantes de toda a empresa e uma lista de verificação de conformidade pode ser criada:

  • Obtenha suporte de gerenciamento para todas as atividades da ISO 27001
  • Trate a conformidade com a ISO 27001 como um projeto em andamento
  • Defina o escopo de como a ISO 27001 se aplicará a diferentes partes da sua organização
  • Escreva e atualize a política do ISMS, que descreve sua estratégia de cibersegurança em alto nível
  • Defina a metodologia de avaliação de riscos para capturar como os problemas serão identificados e tratados
  • Realize avaliação e tratamento de riscos regularmente, quando os problemas forem descobertos
  • Escreva uma declaração de aplicabilidade para determinar quais controles ISO 27001 são aplicáveis
  • Escreva um plano de tratamento de riscos para que todas os stakeholders saibam como as ameaças estão sendo mitigadas. O uso da modelagem de ameaças pode ajudar a realizar essa tarefa
  • Defina a medição dos controles para entender o desempenho das melhores práticas da ISO 27001
  • Implemente todos os controles e procedimentos obrigatórios, conforme descrito na norma ISO 27001
  • Implemente programas de treinamento e conscientização para todas as pessoas em sua organização que tenham acesso a ativos físicos ou digitais
  • Opere o ISMS como parte da rotina diária da sua organização
  • Monitore o ISMS para entender se ele está sendo usado com eficiência
  • Execute auditorias internas para avaliar sua conformidade contínua
  • Analise os resultados da auditoria com a gerência
  • Defina ações corretivas ou preventivas quando necessário.

Não importa o tamanho da sua empresa, ou o setor de atuação, obter a certificação ISO 27001 é uma grande vitória.Com as ferramentas da Varonis, é possível evitar ou interromper ataques antes que eles afetem sua rede, além de ajudar a emprea a manter conformidade com a ISO 27001. Solicite uma demonstração.

We're Varonis.

We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

How it works