iso 27002

ISO 27002: boas práticas de gestão de backup

Tempo de leitura: 13 minutos

Sem tempo para ler? Ouça este post ou baixe para ouvir mais tarde


No contexto atual, a segurança da informação é uma preocupação central em todos negócios, independentemente do tamanho da empresa ou da sua área de atuação. Implementar as melhores práticas de proteção na prática, no entanto, tende a ser um grande desafio – é aí que a norma ISO 27002 pode entrar em cena para auxiliar os gestores nos processos de trabalho diários.  

Ao estabelecer diretrizes para lidar com os dados e seu armazenamento (evitando o vazamento de informações críticas e sensíveis), a norma técnica regulamenta as rotinas de backup e descreve os controles e orientações para consolidar o Sistema de Gestão da Segurança da Informação (SGSI)

Para te ajudar a explorar os benefícios e medidas da ISO 27002 no seu negócio, abordamos os principais objetivos, pontos contemplados e dúvidas a respeito do regulamento a seguir. Acompanhe! 

Entenda a norma: o que é a ISO 27002?

Primeiramente, é importante retomar a série de normas 27000, criada pela International Organization for Standardization (ISO) e a International Electrotechnical Comission (IEC). De maneira abrangente, o conjunto de orientações engloba todas as diretrizes para a implementação da segurança da informação. 

Inserida nesse escopo geral, a ISO 27002 – formalmente conhecida como NBR ISO/IEC 27002é um código de boas práticas e controles para auxiliar e apoiar a aplicação do referido Sistema de Gestão da Segurança da Informação (SGSI). Flexível, a norma internacional pode ser empregada por organizações de todos os portes. 

Vale notar que a recomendação é que a ISO 27002 seja aplicada conjuntamente com a ISO 27001 (que abordaremos a seguir). A norma, contudo, pode ser consultada de forma independente para atuar como guia para a implantação de boas práticas. 

Por que a norma técnica é tão importante? 

iso 27002
Créditos: vectorjuice

 

Fundamental para consolidar a SGSI, a ISO 27002 garante a continuidade e a manutenção dos processos de segurança, alinhados aos objetivos estratégicos da organização. Nesse sentido, a norma traz um guia prático completo de implementação e descrição do modo como os controles podem ser aplicados. Para isso, é importante que a empresa defina as prioridades por meio de avaliação dos riscos.

Além de assegurar o prosseguimento dos processos corporativos, o guia minimiza riscos e potencializa o retorno sobre o investimento (ROI) das ações, aumentando também as oportunidades de negócio. 

Quando falamos sobre a importância de um guia de segurança como este, é necessário ter em mente os grandes prejuízos decorrentes da ausência de proteção adequada. O tempo de inatividade de sistemas e o vazamento de dados, por exemplo, representam perda de produtividade e dinheiro, além de danos à reputação da marca e riscos à própria sobrevivência das empresas. 

Para evitar serem “apanhados desprevenidos”, os gestores não podem manter uma postura passiva, esperando a ocorrência de imprevistos desastrosos para só então agir e proteger seu negócio. Nessas situações, quase sempre é tarde demais. 

De fato, a correta gestão da segurança da informação (incluindo processos eficientes de backup) deve ser encarada como uma prioridade preventiva

Prevenção efetiva de ataques 

A essa altura, vale destacar que existem quatro modelos de ataques que uma empresa ou instituição podem sofrer: 

  • interceptação;
  • modificação;
  • fabricação;
  • interrupção. 

A partir daí, a execução das práticas indicadas na ISO 27002 faz com que as organizações se tornem aptas a evitar tais métodos de ataque, garantindo os pilares da segurança da informação. Esses princípios, a saber, são: 

  • autenticidade dos dados;
  • disponibilidade dos dados;
  • confidencialidade dos dados; 
  • irretratabilidade dos dados; 
  • integridade dos dados. 

Você também pode se interessar por este conteúdo ? Governança da Segurança da Informação

Quais são os objetivos da ISO 27002?

A ISO 27002 objetiva principalmente fornecer as diretrizes necessárias para implementar a segurança da informação nas empresas, visando também mantê-la e melhorá-la ao longo do tempo. 

Para isso, a norma técnica considera os ambientes de risco existentes no negócio, de modo a selecionar, implementar e gerenciar os controles adequados. 

ISO 27002: quais os benefícios de aplicação da norma? 

Reconhecidos mundialmente, os benefícios da correta aplicação dessa norma técnica são extremamente valiosos para as empresas, maximizando a proteção aos dados e colaborando com a parte estratégica do negócio. 

Tome nota das principais vantagens da ISO 27002:

  • redução de custos decorrentes da prevenção dos incidentes de segurança; 
  • adequação às regras de compliance e de legislações vigentes, a exemplo da LGPD
  • controle correto dos ativos e dos dados sensíveis/críticos do negócio; 
  • melhoria da conscientização acerca da segurança da informação no ambiente empresarial; 
  • fornecimento de uma abordagem para implementar as políticas de controle; 
  • detecção de riscos e possibilidade de corrigir pontos fracos; 
  • mais diferencial competitivo no mercado e, em consequência, maior atração de clientes; 
  • melhor estruturação de processos e mecanismos, além do seu correto gerenciamento. 

Conheça os principais tópicos da NBR ISO/IEC 27002

Seção 5: Política de Segurança da Informação

Essa seção da norma refere-se à elaboração de um documento para estruturar a segurança da informação, abordando os principais conceitos relativos à área, seus objetivos e métodos para controle na empresa. É necessário, vale ressaltar, que as lideranças e colaboradores estejam completamente comprometidos com a política. 

Seção 6: Organização da Segurança da Informação

Aborda a estrutura necessária para gerenciar a segurança da informação de forma adequada. A ação inclui a coordenação de atividades por lideranças nas empresas, a definição/atribuição de responsabilidades e a proteção de dados confidenciais. 

Confira também ? Investimento em segurança da informação: por onde começar?

Seção 7: Gestão de ativos

É interessante resgatar a definição de “ativo” fornecida pela ISO 27002: trata-se de qualquer item que tenha valor para a empresa e que precisa de proteção. 

Nesse cenário, essa seção da norma indica a necessidade de identificação e classificação dos ativos, de forma a elaborar um inventário bem estruturado. É preciso, ainda, estabelecer e seguir regras documentadas acerca dos tipos de uso desses ativos.

Seção 8: Segurança em Recursos Humanos 

Enfatiza a importância de se fazer a análise prévia de novos colaboradores, especialmente se eles adquirirem o acesso a informações sigilosas e/ou sensíveis. Com isso, espera-se evitar roubos, fraudes e usos maliciosos de recursos e dados. 

Seção 9: Segurança física e do ambiente 

A seção 9 destaca a importância de manter equipamentos e instalações de informações sensíveis em locais seguros, incluindo regras para controle de acesso e níveis hierárquicos de proteção. 

Seção 10: Segurança das operações e comunicações 

Essa etapa trata da definição de responsabilidades e procedimentos da gestão e da operação dos recursos de processamento das informações. Isso engloba aspectos como a administração dos serviços terceirizados, a criação dos processos para gerar e recuperar cópias de segurança (backup) e o planejamento de recursos para reduzir os riscos de falhas. 

Seção 11: Controle de acesso 

Visa estabelecer regras para o acesso à informação, garantindo a permissão para usuários autorizados e evitando a mesma para os não autorizados. Dessa forma, é possível prevenir danos a recursos e documentos corporativos. 

Seção 12: Aquisição, desenvolvimento e manutenção de sistemas 

Aborda a identificação e os acordos acerca dos requisitos de segurança dos sistemas de informação, visando protegê-los de modo a manter sua autenticidade, confidencialidade e integridade via criptografia. 

Seção 13: Gestão de incidentes de segurança da informação 

Dispõe sobre a definição de procedimentos formais para a notificação de incidentes de segurança da informação, assegurando que esses eventos sejam rapidamente comunicados e corrigidos em tempo hábil. 

Seção 14: Gestão da continuidade do negócio 

Para impedir a paralisação/interrupção das operações de trabalho, é essencial desenvolver e implantar planos de continuidade do negócio. Dessa forma, é possível garantir que os processos-chave da empresa sejam retomados o quanto antes. 

Seção 15: Conformidade 

Nesta seção, a norma visa impedir a violação de quaisquer legislações criminais ou civis, assegurando o cumprimento de regulamentações e outros requisitos de segurança da informação. Mais uma vez, destaca-se a importância de adequação à vigente LGPD no Brasil. 

Qual é a diferença entre a ISO 27002 e a ISO 27001?

Essa é uma dúvida frequente quando o assunto são as normas técnicas que regulamentam a segurança da informação – no que a ISO 27002 e a ISO 27001 se diferenciam?

Já mencionamos que, idealmente, ambas as normas devem ser aplicadas em conjunto. Entretanto, cada norma se refere a aspectos diferentes da série de normas internacionais 27000. 

A ISO 27001 tem como objetivo central definir todos os requisitos necessários para implementar um Sistema de Gestão da Segurança da Informação (SGSI) nas organizações. Caso haja o desejo de obter uma certificação em gestão da segurança da informação, essa é a norma mais importante a ser seguida pela empresa em questão. 

Por sua vez, a ISO 27002 é o código de práticas para auxiliar na implementação do SGSI. Como destacamos neste artigo, ela contempla as melhores práticas para o gerenciamento de backup

Nesse cenário, uma vez que uma norma complementa a outra, é recomendado que elas sejam aplicadas conjuntamente. 

Conclusão 

No contexto atual, no qual as ameaças cibernéticas crescem em variedade e sofisticação – e a vigência da LGPD exige atenção extra das organizações acerca da gestão de dados -, lançar mão de normas e certificações como a ISO 24002 faz toda a diferença para investir na continuidade do negócio e na segurança das informações mais críticas e estratégicas para o negócio. 

Esperamos que tenha esclarecido suas dúvidas sobre a norma técnica. Continue a acompanhar o blog para mais atualizações e conte conosco para potencializar a proteção de dados e otimizar as rotinas de backup na sua empresa! 

Nosso objetivo é proporcionar a solução mais eficaz para as demandas de nossos clientes, garantindo o uso das melhores tecnologias para a conquista de resultados expressivos e sustentáveis.

Newsletter

cadastre-se na nossa newsletter e receba conteúdos no seu e-mail