Safetica > Resources > ISO/IEC 27001: o âmbito, o propósito e como cumprir

ISO/IEC 27001: o âmbito, o propósito e como cumprir

fev 14, 2023

Seguir a norma internacional ISO 27001 significa dotar a sua organização de um sistema eficaz de gestão da segurança da informação (ISMS). Numa perspetiva prática, se quer estabelecer e operar o melhor ISMS para a sua organização, pode recorrer às especificações da ISO 27001 para o orientar nesse processo.


O que é a ISO 27001?

A ISO 27001 é uma metodologia que visa criar e implementar um ISMS eficaz numa organização. Em termos simples, um ISMS sólido é o principal produto da implementação da ISO 27001. Se o ISMS é o “quê”, a ISO 27001 é o “como”.

A ISO 27001 baseia-se no risco, ou seja, é construída principalmente sobre a identificação e avaliação dos riscos dentro de uma organização e do seu sistema de proteção de dados. O passo seguinte é a implementação de medidas com base nessas avaliações, seguidas de monitorização e melhorias contínuas.

 

Qual é o propósito da ISO 27001?

O propósito da ISO 27001 é fornecer orientações para “estabelecer, implementar, operar, monitorizar, rever, manter e melhorar um sistema de gestão da segurança da informação”.

O objetivo de criar um ISMS baseado na ISO 27001 é proteger a confidencialidade, integridade e disponibilidade dos dados de uma organização.

  • Confidencialidade: a informação só é acessível por pessoas autorizadas
  • Integridade: as alterações à informação só podem ser feitas por pessoas autorizadas
  • Disponibilidade: as pessoas autorizadas têm acesso atempado e ininterrupto à informação

 

O que é um ISMS?

Um ISMS é importante para a cibersegurança de uma empresa. É um conjunto de políticas concretas cujo principal objetivo é proteger os dados da empresa (e dos seus clientes), reduzir o risco de violações de dados e ciberataques e prescrever controlos que possam mitigar danos caso estes ocorram.

Quando tiver o seu ISMS implementado, terá feito uma análise aprofundada das políticas, procedimentos, medidas técnicas e formação de pessoal necessárias para gerir os riscos associados às ameaças de segurança de dados.

 

Qual é o âmbito da ISO 27001?

Qualquer organização que lide com qualquer tipo de informação sensível é candidata à conformidade com a ISO 27001.

As indústrias de TI, finanças, farmacêutica e da saúde são candidatos óbvios. Mas, em última análise, qualquer organização, independentemente da sua dimensão ou tipo, pode beneficiar bastante do cumprimento da ISO 27001. Privadas, públicas, com ou sem fins lucrativos, todas estão sujeitas a violações de dados.

Além disso, a ISO 27001 é uma norma internacional, o que significa que é facilmente reconhecida onde quer que esteja a fazer negócios.

 

safetica-iso-27001-article-5


Como implementar a ISO 27001

Pode encarar a ISO 27001 como uma visão geral das melhores práticas em segurança de dados. Não é prescritiva. Não são instruções passo a passo que segue ao montar o seu ISMS. É um guia que permite a cada organização alcançar um ISMS feito à medida, com base na sua avaliação de risco individual.

A organização decide depois, sem perder de vista as suas circunstâncias únicas, quais as salvaguardas sugeridas pela ISO 27001 que fazem mais sentido para cada risco identificado. E essas são implementadas no ISMS da organização.

 

Uma abordagem holística à proteção de dados

A ISO 27001 parte de uma abordagem holística que olha para a segurança de dados de três ângulos principais: pessoas, tecnologia e processos. Deve, portanto, esperar que o ISMS que monta seja visível em todas as áreas da sua organização e processos de negócio.

Isto porque utilizar tecnologia por si só não vai chegar para proteger os dados. Na maioria das vezes, há um fator humano envolvido em qualquer violação de dados. Pense em todos os aspetos sobre os quais o departamento de TI não tem governação, como informação sensível divulgada acidentalmente num e-mail, colaboradores remotos a utilizar os seus próprios computadores ou redes não seguras, ou quando o telemóvel de um gestor é roubado.

É por isto que um ISMS baseado na ISO 27001 deve ser cumprido em toda a organização ou empresa, utilizando uma abordagem de cima para baixo em vez de baixo para cima.

Envolver a gestão é um dos pré-requisitos chave para implementar a ISO 27001. Pode ter o melhor ISMS no papel, mas se a sua gestão não estiver por detrás dele, nunca ganhará tração na sua organização.

Uma coisa é ter tecnologia e software atualizados, mas as pessoas, a sua formação e a aplicação das políticas são igualmente importantes. A ISO 27001 tem isto em consideração e ajuda a garantir que estes pontos sejam abordados tanto quanto a própria tecnologia.

Os principais passos da implementação da ISO 27001

Os componentes básicos na implementação da ISO 27001 são:

  1. Identificar as partes interessadas
  2. As partes interessadas definem as suas expectativas em termos de segurança da informação
  3. Avaliar riscos. Analisar lacunas.
  4. Definir controlos e outros métodos de mitigação para lidar com os riscos de uma forma que cumpra as expectativas definidas
  5. Implementar os controlos e outros métodos de tratamento de risco
  6. Medir continuamente se os controlos atuam como esperado
  7. Fazer melhorias contínuas para garantir que o sistema está sempre no seu melhor


Avaliação de risco

Para realizar a análise formal de risco exigida pela ISO 27001, terá primeiro de decidir se contratará um consultor para o ajudar ou se vai fazê-lo sozinho.

As grandes empresas podem ter colaboradores ou equipas inteiras dedicadas a tarefas como esta, pelo que podem decidir fazer a avaliação por conta própria. Por outro lado, contratar um consultor experiente pode tornar o processo mais rápido e fluido, sem ocupar o tempo precioso de toda uma equipa numa tarefa bastante complexa.

Uma pequena organização pode decidir que é suficientemente pequena para gerir a sua própria avaliação de risco. Por outro lado, pode preferir um especialista, porque pode não se sentir preparada para o desafio.

Independentemente do que escolha fazer, terá primeiro de compilar uma lista de ativos (isto inclui coisas como ficheiros eletrónicos, hardware e propriedade intelectual) e de quem os possui, ou seja, quem é responsável por cada risco.

Depois de a lista de ativos estar reunida, é altura de pensar nas ameaças e vulnerabilidades que lhes estão associadas, seguidas de uma avaliação de cada risco. Vai pontuar cada risco para conseguir identificar quais são mais prováveis e quais teriam as piores consequências, sendo, por isso, prioritários em relação aos outros.

Quando uma avaliação de risco da ISO 27001 está concluída, está pronto para passar à definição de métodos de mitigação e controlos.

 

Os 14 conjuntos de controlos da ISO 27001

Falámos de como o ISMS de uma organização deve afetar todos os aspetos do negócio. Para perceber melhor o que isto implica, o Anexo A da ISO 27001 abrange 14 domínios do sistema de segurança da informação de uma empresa e descreve controlos que podem ser utilizados em cada domínio.

Estes são os 14 conjuntos de controlos da ISO 27001 e o seu (muito breve) conteúdo:

Domínio

Conteúdo
Políticas de segurança da informação
2 controlos		 Alinhamento das políticas com a direção geral de segurança da organização. Execução de políticas.
Organização da segurança da informação
7 controlos		 Gestão das práticas de segurança da informação dentro da organização. Aborda dispositivos móveis e força de trabalho remota.
Segurança dos recursos humanos
6 controlos		 Responsabilidades dos indivíduos antes, durante e depois do vínculo laboral à organização
Gestão de ativos
10 controlos		 Proteger e identificar ativos de dados, armazenamento e proteção de dados.
Controlo de acessos
14 controlos		 Garantir que os colaboradores apenas conseguem visualizar a informação que lhes é relevante.
Criptografia
2 controlos		 Encriptação de dados, proteção da confidencialidade dos dados.
Segurança física e ambiental
15 controlos		 Prevenir o acesso físico não autorizado ou danos às instalações da organização. Prevenir a perda ou roubo de hardware ou equipamento de armazenamento de ficheiros.
Segurança operacional
14 controlos		 Garantir que as instalações que lidam com a recolha e armazenamento de dados são seguras. Gestão de vulnerabilidades.
Segurança das comunicações
7 controlos		 Proteger a informação nas redes, dentro da organização ou quando transmitida a um 3 terceiro.
Aquisição, desenvolvimento e manutenção de sistemas
13 controlos		 Manter os requisitos de segurança ao longo de todo o ciclo de vida.
Relações com fornecedores
5 controlos		 Que informação está disponível às partes contratuais e como é gerida a segurança da informação?
Gestão de incidentes de segurança da informação
7 controlos		 Identificar quem é responsável por tratar e reportar problemas de segurança e os passos do processo.
Gestão de continuidade de negócio
4 controlos		 Criar um sistema para manter o processo de segurança da informação durante interrupções de negócio.
Conformidade
8 controlos		 Identificar e cumprir leis e regulamentos relevantes para a organização.

 

Conclusão

Como explicámos, uma organização não é obrigada a implementar todos os controlos mencionados na ISO 27001. Estes só devem ser considerados se fizerem sentido com base na avaliação de risco e nas expectativas da organização.

Uma parte integrante de ter um bom ISMS não é apenas a implementação das melhores práticas da ISO 27001, mas a manutenção e melhoria contínuas do sistema. É a única forma de garantir que o sistema de segurança de dados da sua organização se mantém atualizado.

 

Fale connosco

 

Como a Safetica ajuda a cumprir a ISO 27001


Visão geral de dados sensíveis

A Safetica fornece uma visão geral dos fluxos de informação e do armazenamento de dados sensíveis e ajuda-o a monitorizar as operações dos utilizadores, fornecendo-lhe relatórios sobre como os dados são processados.


Classificação de dados e políticas de segurança

Com a Safetica pode classificar facilmente os dados e, com base nisso, aplicar políticas de DLP e impor os comportamentos desejados quando os utilizadores interagem com informação sensível.


Encriptação de dados

A Safetica ajuda-o a encriptar os seus dados. A encriptação é gerida centralmente na consola de gestão da Safetica.


Notificação de fuga de dados

Em caso de incidente de segurança, o sistema de alerta por e-mail em tempo real da Safetica notifica o pessoal apropriado. Fornece detalhes para que possa tomar ações de seguimento e minimizar o impacto da fuga de dados.


Conformidade regulamentar

Com a Safetica e as suas políticas de DLP pode garantir que está em conformidade não só com a ISO 27001, mas também com outros regulamentos, como o RGPD, o PCI DSS, a HIPAA, o CMMC e muitos mais.

Similar posts