Tempo de leitura: 17 minutos
Sem tempo para ler? Ouça este post ou baixe para ouvir mais tarde!
No contexto atual, a segurança da informação é uma preocupação central em todos os negócios, independentemente do tamanho da empresa ou sua área de atuação. Implementar as melhores práticas de proteção, no entanto, tende a ser um grande desafio – é aí que a norma ISO 27002 entra em cena para auxiliar os gestores nos processos dos trabalhos diários.
Ao estabelecer diretrizes para lidar com os dados e seu armazenamento (evitando o vazamento de informações críticas e sensíveis), a norma técnica regulamenta as rotinas de backup e descreve os controles e as orientações para consolidar o Sistema de Gestão da Segurança da Informação (SGSI).
Para ajudar você a explorar os benefícios e as medidas da ISO 27002 no seu negócio, abordamos os principais objetivos, pontos contemplados e dúvidas a respeito do regulamento. Acompanhe!
Entenda a norma: o que é a ISO 27002?
Primeiramente, é importante retomar a série de normas 27000, criada pela International Organization for Standardization (ISO) e a International Electrotechnical Comission (IEC). De maneira abrangente, o conjunto de orientações engloba todas as diretrizes para a implementação da segurança da informação.
Inserida nesse escopo geral, a ISO 27002 – formalmente conhecida como NBR ISO/IEC 27002:2022 – é um código de boas práticas e controles para auxiliar e apoiar a aplicação do referido Sistema de Gestão da Segurança da Informação (SGSI). Flexível, a norma internacional pode ser empregada por organizações de todos os portes.
Vale notar que a recomendação é que a ISO 27002 seja aplicada conjuntamente com a ISO 27001 (que abordaremos a seguir). A norma, contudo, pode ser consultada de forma independente para atuar como guia para a implantação de boas práticas.
Por que a norma técnica é tão importante?
Créditos: vectorjuice
Fundamental para consolidar a SGSI, a ISO 27002 garante a continuidade e a manutenção dos processos de segurança, alinhados aos objetivos estratégicos da organização. Nesse sentido, a norma traz um guia prático completo de implementação e descrição do modo como os controles podem ser aplicados. Para isso, é importante que a empresa defina as prioridades por meio de avaliação dos riscos.
Além de assegurar o prosseguimento dos processos corporativos, o guia minimiza riscos e potencializa o retorno sobre o investimento (ROI) das ações, aumentando também as oportunidades de negócio.
Quando falamos sobre a importância de um guia de segurança como esse, é necessário ter em mente os grandes prejuízos decorrentes da ausência de proteção adequada. O tempo de inatividade de sistemas e o vazamento de dados, por exemplo, representam perda de produtividade e dinheiro, além de danos à reputação da marca e riscos à própria sobrevivência das empresas.
Para evitar serem “apanhados desprevenidos”, os gestores não podem manter uma postura passiva, esperando a ocorrência de imprevistos desastrosos para agir e proteger seu negócio. Nessas situações, quase sempre é tarde demais.
De fato, a correta gestão da segurança da informação (incluindo processos eficientes de backup), deve ser encarada como uma prioridade preventiva.
Prevenção efetiva de ataques
A essa altura, vale destacar que existem quatro modelos de ataques que uma empresa ou instituição pode sofrer:
- interceptação
- modificação
- fabricação
- interrupção
A partir daí, a execução das práticas indicadas na ISO 27002 faz com que as organizações se tornem aptas a evitar tais métodos de ataque, garantindo os pilares da segurança da informação. Esses princípios são:
- autenticidade dos dados
- disponibilidade dos dados
- confidencialidade dos dados
- irretratabilidade dos dados
- integridade dos dados
Você também pode gostar: Guia de Versões do Windows Server
Quais são os objetivos da ISO 27002?
A ISO 27002 objetiva principalmente fornecer as diretrizes necessárias para implementar a segurança da informação nas empresas, visando também mantê-la e melhorá-la ao longo do tempo.
Para isso, a norma técnica considera os ambientes de risco existentes no negócio, de modo a selecionar, implementar e gerenciar os controles adequados.
Quais os benefícios de aplicação da norma ISO 27002?
Reconhecidos mundialmente, os benefícios da correta aplicação dessa norma técnica são extremamente valiosos para as empresas, maximizando a proteção aos dados e colaborando com a parte estratégica do negócio.
Tome nota das principais vantagens da ISO 27002:
- redução de custos decorrentes da prevenção dos incidentes de segurança;
- controle correto dos ativos e dados sensíveis/críticos do negócio;
- melhoria da conscientização acerca da segurança da informação no ambiente empresarial;
- fornecimento de uma abordagem para implementar as políticas de controle;
- detecção de riscos e possibilidade de corrigir pontos fracos;
- mais diferencial competitivo no mercado e, em consequência, maior atração de clientes;
- melhor estruturação de processos e mecanismos, além do seu correto gerenciamento.
Qual a relação com a LGPD?
A implementação da ISO 27002 também é fundamental para a adequação às regras de compliance e legislações vigentes, a exemplo da LGPD (Lei Geral de Proteção de Dados). De maneira geral, ambas possuem objetivos em comum: mitigar o risco de violações de dados e fortalecer a segurança da informação.
A LGPD exige a aplicação de medidas técnicas e organizacionais para garantir um nível adequado de proteção de dados. Para cumprir esse objetivo, a ISO 27002 fornece medidas eficazes para reduzir riscos e garantir a proteção necessária a dados confidenciais.
Vale lembrar que a LGPD não é opcional, ou seja, as empresas que não cumprirem suas obrigações estão sujeitas a multas e outras penalidades. Portanto, os princípios da ISO 27002 são uma ótima alternativa para implementar um controle eficaz sobre a segurança da informação nas empresas.
Conheça os principais tópicos da NBR ISO/IEC 27002:2022
Seção 5: Política de Segurança da Informação
Essa seção da norma refere-se à elaboração de um documento para estruturar a segurança da informação, abordando os principais conceitos relativos à área, seus objetivos e métodos para controle na empresa. É necessário, vale ressaltar, que as lideranças e os colaboradores estejam completamente comprometidos com a política.
Seção 6: Organização da Segurança da Informação
Aborda a estrutura necessária para gerenciar a segurança da informação de forma adequada. A ação inclui a coordenação de atividades por lideranças nas empresas, a definição/atribuição de responsabilidades e a proteção de dados confidenciais.
Seção 7: Gestão de ativos
É interessante resgatar a definição de “ativo” fornecida pela ISO 27002: trata-se de qualquer item que tenha valor para a empresa e que precisa de proteção.
Nesse cenário, essa seção da norma indica a necessidade de identificação e classificação de ativos, de forma a elaborar um inventário bem estruturado. É preciso, ainda, estabelecer e seguir regras documentadas acerca dos tipos de uso desses ativos.
Seção 8: Segurança em Recursos Humanos
Enfatiza a importância de fazer a análise prévia de novos colaboradores, especialmente, se eles adquirirem o acesso a informações sigilosas e/ou sensíveis. Com isso, espera-se evitar roubos, fraudes e usos maliciosos de recursos e dados.
Seção 9: Segurança física e do ambiente
A Seção 9 destaca a importância de manter equipamentos e instalações de informações sensíveis em locais seguros, incluindo regras para controle de acesso e níveis hierárquicos de proteção.
Seção 10: Segurança das operações e comunicações
Essa etapa trata da definição de responsabilidades e procedimentos da gestão e operação dos recursos de processamento das informações. Isso engloba aspectos como a administração dos serviços terceirizados, a criação dos processos para gerar e recuperar cópias de segurança (backup) e o planejamento de recursos para reduzir os riscos de falhas.
Seção 11: Controle de acesso
Visa estabelecer regras para o acesso à informação, garantindo a permissão para usuários autorizados e evitando a mesma para os não autorizados. Dessa forma, é possível prevenir danos a recursos e documentos corporativos.
Seção 12: Aquisição, desenvolvimento e manutenção de sistemas
Aborda a identificação e os acordos acerca dos requisitos de segurança dos sistemas de informação, visando protegê-los de modo a manter sua autenticidade, confidencialidade e integridade via criptografia.
Seção 13: Gestão de incidentes da segurança da informação
Dispõe sobre a definição de procedimentos formais para a notificação de incidentes da segurança da informação, assegurando que esses eventos sejam rapidamente comunicados e corrigidos em tempo hábil.
Seção 14: Gestão da continuidade do negócio
Para impedir a paralisação/interrupção das operações de trabalho, é essencial desenvolver e implantar planos de continuidade do negócio. Dessa forma, é possível garantir que os processos-chave da empresa sejam retomados o quanto antes.
Seção 15: Conformidade
Nessa seção, a norma visa impedir a violação de quaisquer legislações criminais ou civis, assegurando o cumprimento de regulamentações e outros requisitos de segurança da informação. Mais uma vez, destaca-se a importância de adequação à vigente LGPD no Brasil.
Qual é a diferença entre ISO 27002 e ISO 27001?
Essa é uma dúvida frequente quando o assunto são as normas técnicas que regulamentam a segurança da informação – no que a ISO 27002 e a ISO 27001 se diferenciam?
Já mencionamos que, idealmente, ambas as normas devem ser aplicadas em conjunto. Entretanto, cada norma se refere a aspectos diferentes da série de normas internacionais 27000.
A ISO 27001 tem como objetivo central definir todos os requisitos necessários para implementar um Sistema de Gestão da Segurança da Informação (SGSI) nas organizações. Caso haja o desejo de obter uma certificação em gestão da segurança da informação, essa é a norma mais importante a ser seguida pela empresa em questão.
Por sua vez, a ISO 27002 é o código de práticas para auxiliar na implementação do SGSI. Como destacamos neste artigo, ela contempla as melhores práticas para o gerenciamento de backup.
Nesse cenário, uma vez que uma norma complementa a outra, é recomendado que elas sejam aplicadas conjuntamente.
Conclusão
No contexto atual, no qual as ameaças cibernéticas crescem em variedade e sofisticação – e a vigência da LGPD exige atenção extra das organizações acerca da gestão de dados – lançar mão de normas e certificações como a ISO 27002 faz toda a diferença para investir na continuidade do negócio e na segurança da informação.
Esperamos que nosso artigo tenha ajudado a esclarecer melhor suas dúvidas sobre o tema e possa inspirar você a implementar a ISO 27002 no seu negócio. Continue acompanhando o blog para mais atualizações e conte conosco para potencializar a proteção de dados e otimizar as rotinas de backup na sua empresa.