Conformidade com o ISO 27001. Dicas e insights essenciais

A norma ISO 27001 foi projetada para funcionar como uma estrutura para o sistema de gerenciamento de segurança da informação (ISMS) de uma empresa. Isso inclui todas as políticas e processos relevantes para como os dados são controlados e usados. A ISO 27001 funciona como uma lista de verificação de conformidade que agrega valor à empresa.

Introdução

O objetivo da ISO 27001 é fornecer uma estrutura de padrões sobre como uma organização moderna deve gerenciar suas informações e dados. O gerenciamento de riscos é parte essencial da ISO 27001, garantindo que uma empresa entenda quais seus pontos fortes e fracos. A maturidade ISO é um sinal de segurança e confiabilidade,

Ao buscar a certificação ISO 27001, o Sistema de Gerenciamento de Segurança da Informação (ISMS) é a principal referência para determinar o nível de conformidade de uma empresa. Um ISMS é uma ferramenta crítica, especialmente para grupos espalhados por várias localidades, pois abrange todos os processos relacionados à segurança de ponta a ponta.

Como se tornar certificado

A certificação é, geralmente, um processo plurianual, que requer envolvimento de todos os stakeholders e normalmente é dividida em três fases:

1. A empresa contrata uma instituição de certificação que, em seguida, realiza uma revisão básica do ISMS para procurar as principais formas de documentação

1. A instituição realiza uma auditoria mais aprofundada, na qual componentes individuais da ISO 27001 são comparados com o ISMS da empresa. Devem ser demonstradas evidências de que políticas e procedimentos estão segundo seguidos adequadamente.

1. As auditorias de acompanhamento estão agendadas entre a empresa e a instituição de certificação para garantir que a conformidade seja mantida

Quais são as normas ISO 27001

Antes de iniciar uma certificação, todos os interessados devem estar familiarizados com a forma como o padrão é organizado e usado:

• Introdução – descreve o que é segurança da informação e por que uma organização deve gerenciar riscos

• Escopo – abrange requisitos de alto nível para que um ISMS se aplique a todos os tipos ou organizações
• Referências normativas – explica a relação entre os padrões ISO 27000 e 27001
• Termos e Definições – abrange a terminologia complexa usada dentro do padrão
• Contexto da organização – explica quais stakeholders devem estar envolvidos na criação e manutenção do ISMS
• Liderança – descreve como os líderes da organização devem se comprometer com as políticas e procedimentos do ISMS

• Planejamento – abrange um esboço de como o gerenciamento de riscos deve ser planejado em toda a organização
• Suporte – descreve como aumentar a conscientização sobre segurança da informação e atribuir responsabilidades
• Operação – cobre como os riscos devem ser gerenciados e como a documentação deve ser executada para atender aos padrões de auditoria
• Avaliação de desempenho – fornece diretrizes sobre como monitorar e medir o desempenho do ISMS
• Melhoria – explica como o ISMS deve ser continuamente atualizado e aprimorado, principalmente após as auditorias

• Objetivos e controles de controle de referência – fornece um anexo detalhando os elementos individuais de uma auditoria.

O que são os controles de auditoria ISO 27001

As auditorias cobrem os 14 controles de cada prática durante as verificações de conformidade:

• Políticas de segurança da informação – abrange como as políticas devem ser escritas no ISMS e analisadas quanto à conformidade.
• Organização de segurança da informação – descreve quais partes de uma organização devem ser responsáveis ​​por quais tarefas e ações.
• Segurança de recursos humanos – cobre como os funcionários devem ser informados sobre segurança cibernética ao iniciar, sair ou mudar de posição.

• Gerenciamento de ativos – descreve os processos envolvidos no gerenciamento de ativos de dados e como eles devem ser protegidos.
• Controle de acesso – fornece orientações sobre como o acesso dos funcionários deve ser limitado a diferentes tipos de dados.
• Criptografia – abrange as melhores práticas de criptografia.
• Segurança física e ambiental – descreve os processos para proteger edifícios e equipamentos internos.
• Segurança de operações – fornece orientações sobre como coletar e armazenar dados com segurança, um processo que ganhou nova urgência graças à aprovação da GDPR em 2018.

• Segurança das comunicações – abrange a segurança de todas as transmissões na rede de uma organização.
• Aquisição, desenvolvimento e manutenção de sistemas – detalha os processos para gerenciar sistemas em um ambiente seguro.
• Relacionamentos com fornecedores – abrange como uma organização deve interagir com terceiros e garantir a segurança.
• Gerenciamento de incidentes de segurança da informação – descreve as melhores práticas para responder a problemas de segurança.
• Aspectos de segurança da informação do gerenciamento de continuidade de negócios – aborda como as interrupções nos negócios e as principais mudanças devem ser tratadas.

• Conformidade – identifica quais regulamentos governamentais ou do setor são relevantes para a organização.

Um erro muito comum é a empresa colocar todas as responsabilidades pela certificação na equipe de TI. Embora a tecnologia da informação esteja no centro da ISO 27001, os processos e procedimentos devem ser compartilhados por todas as áreas da empresa.

A Varonis obteve a certificação ISO 27001 completa e pode ajudar os candidatos a preparar as evidências necessárias para as auditorias.

Dicas para manter a conformidade com a ISO 27001

Especialistas recomendam às empresa fazerem suas próprias auditorias anualmente a fim de reforçar as práticas de gerenciamento de riscos e procurar por lacunas ou deficiências. O DatAdvantage da Varonis ajuda a otimizar o processo de auditoria da perspectiva dos dados.

Uma força-tarefa deve ser formada por integrantes de toda a empresa e uma lista de verificação de conformidade pode ser criada:

• Obtenha suporte de gerenciamento para todas as atividades da ISO 27001
• Trate a conformidade com a ISO 27001 como um projeto em andamento
• Defina o escopo de como a ISO 27001 se aplicará a diferentes partes da sua organização
• Escreva e atualize a política do ISMS, que descreve sua estratégia de cibersegurança em alto nível
• Defina a metodologia de avaliação de riscos para capturar como os problemas serão identificados e tratados

• Realize avaliação e tratamento de riscos regularmente, quando os problemas forem descobertos
• Escreva uma declaração de aplicabilidade para determinar quais controles ISO 27001 são aplicáveis
• Escreva um plano de tratamento de riscos para que todas os stakeholders saibam como as ameaças estão sendo mitigadas. O uso da modelagem de ameaças pode ajudar a realizar essa tarefa
• Defina a medição dos controles para entender o desempenho das melhores práticas da ISO 27001
• Implemente todos os controles e procedimentos obrigatórios, conforme descrito na norma ISO 27001

• Implemente programas de treinamento e conscientização para todas as pessoas em sua organização que tenham acesso a ativos físicos ou digitais
• Opere o ISMS como parte da rotina diária da sua organização
• Monitore o ISMS para entender se ele está sendo usado com eficiência
• Execute auditorias internas para avaliar sua conformidade contínua
• Analise os resultados da auditoria com a gerência

• Defina ações corretivas ou preventivas quando necessário.

Não importa o tamanho da sua empresa, ou o setor de atuação, obter a certificação ISO 27001 é uma grande vitória.Com as ferramentas da Varonis, é possível evitar ou interromper ataques antes que eles afetem sua rede, além de ajudar a emprea a manter conformidade com a ISO 27001. Solicite uma demonstração.