ACerT – Academia Brasileira de Certificações e Treinamentos

A ISO 27001 e a Segurança da Informação
18 de julho de 2022
por Webmaster ACerT 0

A segurança da informação e a ISO 27001 é um tema que até recentemente estava restrito às rodas das empresas de TI. Porém com a transformação digital, com a indústria 4.0 e com a LGPD esse assunto virou prioridade nas mesas de reunião de C-Levels.

Nesse artigo vamos explicar em detalhes o motivo desse assunto ser tão relevante para a continuidade de negócios das empresas que querem que manter competitivas no mercado. Confira o que você aprender:

  • A ISO 27001 e a Segurança da Informação
  • A Segurança da Informação
  • Quais empresas devem investir em Segurança da Informação?
  • Por que investir em Segurança da Informação?
  • Principais falhas de segurança já conhecidas
  • Segurança da Informação x LGPD
  • Segurança da Informação e Segurança de TI é a mesma coisa?
  • A Segurança da Informação e a ISO 27001
  • A ISO 27001
  • O Anexo A
  • A ISO 27002
  • Quais são os requisitos de gestão da ISO 27001?
  • Quais são as etapas de implementação da ISO 27001?
  • Quais são as principais dificuldades na implementação da ISO 27001?
  • Principais dúvidas na implementação da ISO 27001
  • Mitos da ISO 27001

A Segurança da Informação

O que é informação?

Antes de começarmos a falar de segurança de informação ou ISO 27001, é importante que fique muito claro o que significa informação no contexto de negócios.

Para compreender melhor o significado de uma palavra é importante recorrer ao estudo da etimologia, pois isso nos traz uma clareza sobre significado original e sua evolução para os tempos atuais. Sendo assim, a palavra “Informação” tem a sua origem no latim “INFORMARE”, que significa ‘dar forma, modelar’.

O vocábulo latino, por sua vez, é formado pelo prefixo “in” mais o radical “formare”, de ‘formar’. Daí têm-se a acepção de ‘formar uma ideia de alguma coisa’, que mais tarde passou a ser ‘descrever’ e depois generalizou-se o uso de ‘contar algo a alguém sobre determinada coisa’.

Essa definição é especial porque em termos práticos a informação é justamente isso, um conjunto de dados e conhecimentos organizados, que nos contam algo, permitindo que possamos tomar decisões a partir de tal informação.

É por isso que informação se tornou o bem mais valioso em nossa era, conhecida como a era da informação.

As gigantes do mercado Apple, Google, Microsoft, Amazon e Facebook (as Top 5 em valor de mercado) há tempos veem percebendo isso, e trabalham incansavelmente no desenvolvimento de ferramentas de inteligência artificial, capazes de observar o comportamento de compras dos consumidores e realizar sugestões como base nesse perfil, dentre muitas outras estratégias.

Mas não é só na galáxia dessas grandes empresas que a informação é um bem precioso. A utilização de ferramentas de Inteligência Artificial tem se tornado cada vez mais comum em empresas de pequeno e médio porte por uma questão de estratégia empresarial.

Podemos assegurar isso com uma pequena busca de vagas no Linkedin para Analista de Dados ou Cientista de Dadose afins. Isso porque as empresas estão percebendo como é valioso extrair informações dos dados que elas geram ou coletar dados de maneira inteligente para que possam extrair as informações estratégicas para o negócio.

E nessa era que vivemos o que se espera de uma empresa competitiva é: que seus dados sejam capazes de retroalimentar o seu planejamento estratégico, que contem uma história e que ajude a empresa a decidir os próximos passos.

Se você não utiliza os dados para essa finalidade, você está tomando decisões sem estar informado e deixando de utilizar o bem mais precioso dessa nova era.

O que é Segurança da Informação?

Sendo a informação reconhecida como o bem mais precioso dessa era, sendo inclusive chamado de o ‘novo petróleo’, é evidente que precisamos protegê-la, certo? Mas protegê-la de quem, ou do quê?

Antes de avançarmos com os conceitos de segurança da informação vamos fazer algumas reflexões:

“Imagine que organizou os dados de anos de atendimento da sua empresa para extrair informações que foram essenciais para determinar o desenvolvimento de um novo produto, que será o novo carro chefe da empresa, e para qual farão grandes investimentos”.

Qual seria o controle que entenderia como sendo fundamental para evitar que essas informações sejam vazadas para um concorrente?

Certamente, essa é uma informação que deveria estar restrita somente aos envolvidos no projeto. Estamos falando aqui de confidencialidade. Então, se eventualmente essa informação vazar o primeiro pilar da segurança da informação estaria derrubado.

“Agora imagine que estas mesmas informações foram extraídas de um banco de dados inválido, fazendo com que as decisões estratégicas não estivessem alinhadas a necessidade real do mercado, seja porque, os dados não eram atualizados, ou porque foram incorretamente manipulados de maneira não intencional”.

Nesse caso estamos falando sobre a integridade, que é o segundo pilar da segurança da informação. Ou seja, as decisões foram tomadas com base em informações não íntegras.

“E por fim, vamos pensar que a empresa sequer foi capaz de lançar o produto antes do concorrente, pois uma pessoa chave na empresa, que detinha conhecimento e informações cruciais para a finalização do projeto se desligou, fazendo com que a empresa levasse tempo para reorganizar as informações e dar continuidade no projeto”.

Aqui, estamos falando sobre disponibilidade, ou o terceiro pilar da segurança da informação.

Com essas abordagens práticas fica mais fácil compreender que garantir a segurança da informação, em termos genéricos, é protegê-la de vazamentos e divulgações não autorizados, protegê-la de forma que permaneça sempre íntegra para que as informações possam ser confiáveis e protegê-la para que esteja sempre disponível quando necessário.

Jason Andress, em seu livro, The basics of information security, define segurança da informação como “metodologias e práticas que visam proteção das informações e dos sistemas de informações visando todos esses pilares, confidencialidade, integridade e disponibilidade”.

Quais empresas devem investir em Segurança da Informação?

Com a criação da LGPD (Lei Geral de Proteção de Dados), todas as empresas precisarão disponibilizar ou direcionar recursos para a implantação de práticas e controles que visam a garantir a segurança da informação.

Mas, muito além do atendimento de questões legais, todas as empresas que compreendem a importância dos ativos de informações que possuem, irão buscar formas de garantir que estas informações estejam seguras sobre a ótica dos pilares da segurança de informação, garantido que as informações estejam disponíveis para a tomada de decisão, que estejam íntegras para assegurar decisões assertivas ao negócio, e que estejam confidenciadas somente a quem é de direito.

Por que investir em Segurança da Informação?

Não foram apenas as empresas que perceberam a informação como um ativo valioso. O número crescente de ataques cibernéticos, que teve ainda um aumento drástico durante a pandemia, demonstra o interesse de criminosos por esse tipo de crime.

De acordo com o relatório da Multinacional Trend Micro, empresa especializada em desenvolvimento de softwares de segurança corporativa para servidores, aponta o Brasil como o segundo país com mais ataques de ransomwares (aqueles em que os criminosos cobram valor para o resgate das informações) em 2020 em todo o mundo.

Com isso, vemos que as ameaças existem e estão cada vez mais sofisticadas, por isso a empresas precisam buscar formas de mitigar ao máximo o risco de se tornarem a próxima vítima desses criminosos.

Principais falhas de segurança já conhecidas

As ameaças de segurança de informação existem e sempre irão existir. Por definição, as ameaças não são algo que as empresas tenham controle. Já as vulnerabilidades, sim. Estas, se conhecidas e bem gerenciadas, podem mitigar e ou eliminar os riscos de segurança da informação.

É como uma bela casa. O proprietário não pode assegurar que não haja pessoas mal-intencionadas que queiram roubá-la. Mas, pode avaliar todas as vulnerabilidades que aumentam o risco que isso aconteça e estabelecer controles para minimizar ou diminuir esse risco, como a instalação de câmeras de segurança, cerca elétrica, muros altos, janelas e portas gradeadas e etc. Essas sim são ações que estão sob o seu controle.

Com a segurança da informação é a mesma lógica. Todos os ataques de segurança acontecem por meio de vulnerabilidades não conhecidas ou não gerenciadas.

A empresa pode não estar ciente da sua própria vulnerabilidade, mas há criminosos ou funcionários desatentos ou mal-intencionados, podem tornar públicas informações sigilosas da organização.

Em de novembro de 2020, o Hospital Albert Einstein foi notificado pelo o Procon-SP para explicar sobre o vazamento de lista que dava acesso a informações pessoais e médicas de pacientes testados, diagnosticados e internados por covid-19 e que ficaram expostos na internet durante um mês.

O vazamento ocorreu após um cientista de dados do Hospital Albert Einstein, em São Paulo, divulgar em um fórum uma lista de usuários e senhas que permitiam acessar dados de pessoas testadas. O hospital tinha acesso às informações por trabalhar em um projeto com o ministério.

Após a denúncia, a pasta disse que as chaves de acesso foram trocadas, e o hospital abriu investigação para apurar o caso.

Outro caso mais antigo, de 2001, revela que os vazamentos de informação não acontecem somente online. A empresa Procter & Gamble, para evitar processos judiciais, pagou à concorrente Unilever cerca de 10 milhões de dólares depois que teve um detetive contratado descoberto revirando o lixo da Unilever em buscar de informações.

Assim, vemos que as ameaças e vulnerabilidades podem estar para todo lado. Abaixo, listamos principais falhas de segurança de informação que precisam ser observadas pelas empresas.

  • Falhas de segurança em sistema: As falhas de segurança em sistemas podem não ser conhecidas de imediato pelos próprios desenvolvedores, por isso é sempre importante garantir que as atualizações de softwares estejam em dia e que vulnerabilidades sejam investigadas periodicamente;
  • Brechas na gestão de acessos: Não fazer o correto gerenciamento dos acessos aos sistemas de informações, a entradas de pessoas ao estabelecimento da empresa, ou até mesmo, a áreas importantes da empresa, permitindo que informações estejam disponíveis a mais pessoas do que o necessário, é aumentar o risco de segurança de informação;
  • Falhas na gestão de backup das informações: Não realizar o backup das informações ou realizar com a periodicidade inadequada, frente a necessidade do negócio. Outro erro primário na gestão de backups é a proteção inadequada, mantendo o backup no mesmo local da informação original;
  • Ausência de procedimentos relacionados a segurança da informação: Não documentar as práticas e controles necessário para a segurança da informação. É muito pouco provável que a empresa conseguirá perpetuar a adoção de controles, sem que isto esteja documentado e sirva como uma guia para quem quer que seja que adentre a organização.
  • Falhas em treinamentos e conscientização: Por último, mas não menos importante a falta de treinamento e conscientização é uma das vulnerabilidades mais exploradas pelos hackers. Se as pessoas não estiverem conscientes das formas de ataque e dos procedimentos de controle, serão presas fáceis dos criminosos.”

 

 

 

Fonte: Templum

Categorias: Artigos
Tags: , ,

Adicione o seu Comentário

Comentários

    Responder
    Precisa de ajuda?
    Secretaria no Whatsapp
    Olá, como posso lhe ajudar? :)