Instagram Linkedin-in Facebook-f Youtube
ÁREA DO CLIENTE
Sob Demanda

ISO 27002: Boas práticas de gestão de backup

Tempo de leitura: 17 minutos

Sem tempo para ler? Ouça este post ou baixe para ouvir mais tarde

No contexto atual, a segurança da informação é uma preocupação central em todos os negócios, independentemente do tamanho da empresa ou sua área de atuação. Implementar as melhores práticas de proteção, no entanto, tende a ser um grande desafio – é aí que a norma ISO 27002 entra em cena para auxiliar os gestores nos processos dos trabalhos diários.  

Ao estabelecer diretrizes para lidar com os dados e seu armazenamento (evitando o vazamento de informações críticas e sensíveis), a norma técnica regulamenta as rotinas de backup e descreve os controles e as orientações para consolidar o Sistema de Gestão da Segurança da Informação (SGSI)

Para ajudar você a explorar os benefícios e as medidas da ISO 27002 no seu negócio, abordamos os principais objetivos, pontos contemplados e dúvidas a respeito do regulamento. Acompanhe! 

Entenda a norma: o que é a ISO 27002?

Primeiramente, é importante retomar a série de normas 27000, criada pela International Organization for Standardization (ISO) e a International Electrotechnical Comission (IEC). De maneira abrangente, o conjunto de orientações engloba todas as diretrizes para a implementação da segurança da informação. 

Inserida nesse escopo geral, a ISO 27002 – formalmente conhecida como NBR ISO/IEC 27002:2022 – é um código de boas práticas e controles para auxiliar e apoiar a aplicação do referido Sistema de Gestão da Segurança da Informação (SGSI). Flexível, a norma internacional pode ser empregada por organizações de todos os portes. 

Vale notar que a recomendação é que a ISO 27002 seja aplicada conjuntamente com a ISO 27001 (que abordaremos a seguir). A norma, contudo, pode ser consultada de forma independente para atuar como guia para a implantação de boas práticas. 

Por que a norma técnica é tão importante?

Créditos: vectorjuice

Fundamental para consolidar a SGSI, a ISO 27002 garante a continuidade e a manutenção dos processos de segurança, alinhados aos objetivos estratégicos da organização. Nesse sentido, a norma traz um guia prático completo de implementação e descrição do modo como os controles podem ser aplicados. Para isso, é importante que a empresa defina as prioridades por meio de avaliação dos riscos.

Além de assegurar o prosseguimento dos processos corporativos, o guia minimiza riscos e potencializa o retorno sobre o investimento (ROI) das ações, aumentando também as oportunidades de negócio. 

Quando falamos sobre a importância de um guia de segurança como esse, é necessário ter em mente os grandes prejuízos decorrentes da ausência de proteção adequada. O tempo de inatividade de sistemas e o vazamento de dados, por exemplo, representam perda de produtividade e dinheiro, além de danos à reputação da marca e riscos à própria sobrevivência das empresas. 

Para evitar serem “apanhados desprevenidos”, os gestores não podem manter uma postura passiva, esperando a ocorrência de imprevistos desastrosos para agir e proteger seu negócio. Nessas situações, quase sempre é tarde demais. 

De fato, a correta gestão da segurança da informação (incluindo processos eficientes de backup), deve ser encarada como uma prioridade preventiva

Prevenção efetiva de ataques 

A essa altura, vale destacar que existem quatro modelos de ataques que uma empresa ou instituição pode sofrer: 

  • interceptação
  • modificação
  • fabricação
  • interrupção 

A partir daí, a execução das práticas indicadas na ISO 27002 faz com que as organizações se tornem aptas a evitar tais métodos de ataque, garantindo os pilares da segurança da informação. Esses princípios são: 

  • autenticidade dos dados
  • disponibilidade dos dados
  • confidencialidade dos dados 
  • irretratabilidade dos dados 
  • integridade dos dados 

Você também pode gostar: Guia de Versões do Windows Server

Quais são os objetivos da ISO 27002?

A ISO 27002 objetiva principalmente fornecer as diretrizes necessárias para implementar a segurança da informação nas empresas, visando também mantê-la e melhorá-la ao longo do tempo. 

Para isso, a norma técnica considera os ambientes de risco existentes no negócio, de modo a selecionar, implementar e gerenciar os controles adequados. 

Quais os benefícios de aplicação da norma ISO 27002? 

Reconhecidos mundialmente, os benefícios da correta aplicação dessa norma técnica são extremamente valiosos para as empresas, maximizando a proteção aos dados e colaborando com a parte estratégica do negócio. 

Tome nota das principais vantagens da ISO 27002:

  • redução de custos decorrentes da prevenção dos incidentes de segurança;
  • controle correto dos ativos e dados sensíveis/críticos do negócio;
  • melhoria da conscientização acerca da segurança da informação no ambiente empresarial;
  • fornecimento de uma abordagem para implementar as políticas de controle; 
  • detecção de riscos e possibilidade de corrigir pontos fracos; 
  • mais diferencial competitivo no mercado e, em consequência, maior atração de clientes; 
  • melhor estruturação de processos e mecanismos, além do seu correto gerenciamento. 

Qual a relação com a LGPD?

A implementação da ISO 27002 também é fundamental para a adequação às regras de compliance e legislações vigentes, a exemplo da LGPD (Lei Geral de Proteção de Dados). De maneira geral, ambas possuem objetivos em comum: mitigar o risco de violações de dados e fortalecer a segurança da informação.

A LGPD exige a aplicação de medidas técnicas e organizacionais para garantir um nível adequado de proteção de dados. Para cumprir esse objetivo, a ISO 27002 fornece medidas eficazes para reduzir riscos e garantir a proteção necessária a dados confidenciais

Vale lembrar que a LGPD não é opcional, ou seja, as empresas que não cumprirem suas obrigações estão sujeitas a multas e outras penalidades. Portanto, os princípios da ISO 27002 são uma ótima alternativa para implementar um controle eficaz sobre a segurança da informação nas empresas.

Conheça os principais tópicos da NBR ISO/IEC 27002:2022

Seção 5: Política de Segurança da Informação

Essa seção da norma refere-se à elaboração de um documento para estruturar a segurança da informação, abordando os principais conceitos relativos à área, seus objetivos e métodos para controle na empresa. É necessário, vale ressaltar, que as lideranças e os colaboradores estejam completamente comprometidos com a política. 

Seção 6: Organização da Segurança da Informação

Aborda a estrutura necessária para gerenciar a segurança da informação de forma adequada. A ação inclui a coordenação de atividades por lideranças nas empresas, a definição/atribuição de responsabilidades e a proteção de dados confidenciais. 

Seção 7: Gestão de ativos

É interessante resgatar a definição de “ativo” fornecida pela ISO 27002: trata-se de qualquer item que tenha valor para a empresa e que precisa de proteção. 

Nesse cenário, essa seção da norma indica a necessidade de identificação e classificação de ativos, de forma a elaborar um inventário bem estruturado. É preciso, ainda, estabelecer e seguir regras documentadas acerca dos tipos de uso desses ativos.

Seção 8: Segurança em Recursos Humanos 

Enfatiza a importância de fazer a análise prévia de novos colaboradores, especialmente, se eles adquirirem o acesso a informações sigilosas e/ou sensíveis. Com isso, espera-se evitar roubos, fraudes e usos maliciosos de recursos e dados. 

Seção 9: Segurança física e do ambiente 

A Seção 9 destaca a importância de manter equipamentos e instalações de informações sensíveis em locais seguros, incluindo regras para controle de acesso e níveis hierárquicos de proteção. 

Seção 10: Segurança das operações e comunicações 

Essa etapa trata da definição de responsabilidades e procedimentos da gestão e operação dos recursos de processamento das informações. Isso engloba aspectos como a administração dos serviços terceirizados, a criação dos processos para gerar e recuperar cópias de segurança (backup) e o planejamento de recursos para reduzir os riscos de falhas. 

Seção 11: Controle de acesso 

Visa estabelecer regras para o acesso à informação, garantindo a permissão para usuários autorizados e evitando a mesma para os não autorizados. Dessa forma, é possível prevenir danos a recursos e documentos corporativos. 

Seção 12: Aquisição, desenvolvimento e manutenção de sistemas 

Aborda a identificação e os acordos acerca dos requisitos de segurança dos sistemas de informação, visando protegê-los de modo a manter sua autenticidade, confidencialidade e integridade via criptografia. 

Seção 13: Gestão de incidentes da segurança da informação 

Dispõe sobre a definição de procedimentos formais para a notificação de incidentes da segurança da informação, assegurando que esses eventos sejam rapidamente comunicados e corrigidos em tempo hábil. 

Seção 14: Gestão da continuidade do negócio 

Para impedir a paralisação/interrupção das operações de trabalho, é essencial desenvolver e implantar planos de continuidade do negócio. Dessa forma, é possível garantir que os processos-chave da empresa sejam retomados o quanto antes. 

Seção 15: Conformidade 

Nessa seção, a norma visa impedir a violação de quaisquer legislações criminais ou civis, assegurando o cumprimento de regulamentações e outros requisitos de segurança da informação. Mais uma vez, destaca-se a importância de adequação à vigente LGPD no Brasil. 

Qual é a diferença entre ISO 27002 e ISO 27001?

Essa é uma dúvida frequente quando o assunto são as normas técnicas que regulamentam a segurança da informação – no que a ISO 27002 e a ISO 27001 se diferenciam?

Já mencionamos que, idealmente, ambas as normas devem ser aplicadas em conjunto. Entretanto, cada norma se refere a aspectos diferentes da série de normas internacionais 27000. 

A ISO 27001 tem como objetivo central definir todos os requisitos necessários para implementar um Sistema de Gestão da Segurança da Informação (SGSI) nas organizações. Caso haja o desejo de obter uma certificação em gestão da segurança da informação, essa é a norma mais importante a ser seguida pela empresa em questão. 

Por sua vez, a ISO 27002 é o código de práticas para auxiliar na implementação do SGSI. Como destacamos neste artigo, ela contempla as melhores práticas para o gerenciamento de backup

Nesse cenário, uma vez que uma norma complementa a outra, é recomendado que elas sejam aplicadas conjuntamente. 

Conclusão 

No contexto atual, no qual as ameaças cibernéticas crescem em variedade e sofisticação – e a vigência da LGPD exige atenção extra das organizações acerca da gestão de dados – lançar mão de normas e certificações como a ISO 27002 faz toda a diferença para investir na continuidade do negócio e na segurança da informação.

Esperamos que nosso artigo tenha ajudado a esclarecer melhor suas dúvidas sobre o tema e possa inspirar você a implementar a ISO 27002 no seu negócio. Continue acompanhando o blog para mais atualizações e conte conosco para potencializar a proteção de dados e otimizar as rotinas de backup na sua empresa.
logo-cinza

Nosso objetivo é proporcionar a solução mais eficaz para as demandas de nossos clientes, garantindo o uso das melhores tecnologias para a conquista de resultados expressivos e sustentáveis.

Acesso rápido
Contato
Siga-nos
Instagram Facebook-f Linkedin-in Youtube
Newsletter

cadastre-se na nossa newsletter e receba conteúdos no seu e-mail

Criação de Sites por Vale da Web

Fale Conosco
(47) 98804-9300
Facebook-f Instagram Linkedin-in
ÁREA DO CLIENTE
Sob Demanda