Como as normas da família ISO 27000 podem ajudar nessa questão.
Frequentemente nos deparamos com noticias na mídia sobre empresas que tiveram seus sistemas invadidos, seus dados vazados ou “sequestrados”, quando as informações são criptografadas por um vírus como o ramsonware, tornando-se ilegíveis e mediante o pagamento de um resgate seriam descriptografadas, porém sem garantias de que isso possa ocorrer.
Casos envolvendo segurança da informação estão se tornando cada vez mais frequentes, na medida que cada vez mais digitalizamos nossas informações, preferencias e comportamentos, tornando-se um ativo essencial e valioso para as empresas e alvo de crimes cibernéticos.
Assim, torna-se cada vez mais necessário que organizações empresariais de quaisquer naturezas econômica quer empresas comerciais, agências governamentais, fundações ou empresas sem fim lucrativo, certifiquem suas instalações para que atendam a padrões de boas práticas internacionais de governança em TI.
Para isso, existem normas criadas pela ISO (International Organization for Standardization), que é uma federação mundial que reúne comitês técnicos para a criação de normas, procedimentos e padronizações que incorporam as características sobre as quais os especialistas da área chegaram a um consenso como sendo o estado da arte internacional em diversas áreas.
No caso de segurança da informação, as normas da “família ISO 27000” fornecem diretrizes para a criação de um Sistema de Gestão de Segurança da Informação (SGSI), que possua uma abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação de uma organização para atingir os objetivos de negócios.
A certificação ISO 27000 comprova que a organização segue os padrões internacionais de segurança da informação. Ela é emitida por uma empresa de auditoria externa que necessariamente precisa seguir a norma a referida ISO , bem como deve ser renovada periodicamente.
A família ISO 27000 é composta de 45 normas, porém abordaremos apenas alguns princípios de segurança da informação que um sistema deve possuir:
• Confidencialidade: quando a informação é confidencial, ela não pode estar disponível ou não pode ser revelada para entidades ou processos não autorizados. O controle de acesso é administrado pelo proprietário da informação e pode ser definido por meio (através) de uma lista de controle de acessos (acl), autorização de acesso específico para um usuário ou por exclusão através de uma lista de negação de acesso;
• Privacidade: é o conceito de confidencialidade aplicado a informações pessoais e da vida privada, onde o proprietário da informação é o próprio usuário. Esse tipo de informação só deve ser solicitado e utilizado dentro do próprio sistema; para qualquer outro fim, deve ser solicitado a autorização do usuário;
• Disponibilidade: propriedade de um sistema/informação ser acessível e utilizável sob demanda por uma entidade autorizada. Mede a taxa que um sistema/informação foi acessado com sucesso em relação ao total de tentativas de acesso;
• Confiabilidade: é a probabilidade de um sistema estar operacional a qualquer tempo dado que está operacional agora. Difere da disponibilidade, pois esta relacionada ao tempo que o sistema esta operacional;
• Integridade: propriedade da informação que é exata e completa durante o seu ciclo de vida. Só quem é autorizado é que pode alterar aquela informação. Eventos externos como incêndio, falta de energia, inundação, entre outros, também são considerados quebra de integridade, sendo oportuno lembrar de cópia de segurança – back-ups rotineiros ( diário/semanal/mensal) armazenados em local diferente, objetivando garantir a integridade das informações;
• Autenticidade: propriedade de uma entidade ou processo comprovar sua identidade. Por meio de um login, o usuário informa ao sistema que ele é; a comprovação de quem ele é pode ser através de alguma coisa que só o usuário sabe (senha), através de alguma coisa que só o usuário tem (certificado digital) ou por características físicas como digital, íris, reconhecimento facial , etc.;
• Rastreabilidade: propriedade de um sistema capaz de verificar o histórico de uma informação com base em registros. O sistema deve ser capaz de identificar o usuário responsável pela criação, alteração ou remoção de uma informação;
• Irretratabilidade: propriedade que um sistema tem de provar a ocorrência de um evento ou ação e quais entidades as originaram. O sistema deve ser capaz de ligar a ação praticada pelo usuário à informação. É um conceito que vai além da rastreabilidade, pois requer a autenticação do registro da ação pelo usuário, caso contrario o usuário poderia alegar que a ação foi praticada por um hacker.
Esses são apenas alguns dos princípios de segurança da informação que são abordados nas normas da família ISO 27000, porém existem outros.
Segurança da informação vai além da área técnica, envolvendo procedimentos para todas as áreas das organizações, porque nem sempre a ameaça é externa e o vazamento de informações pode ser causado por um funcionário, seja proposital, acidental ou ainda pela ausência de um procedimento que evite tal problema.
Portanto procedimentos como segregação de funções e limitação de acesso, onde a informação só é acessada por usuários autorizados e mediante uma solicitação registrada, fazem parte do
princípio de rastreabilidade, aumentando a responsabilidade dos usuários, mitigando o risco de vazamento de dados por acesso indevido.
Além disso, a administração do banco de dados também deve ser segregada entre um administrador de auditoria, responsável por logs e detectar problemas no cumprimento dos procedimentos, e um administrador operacional que pode fazer tudo menos as funções relacionadas ao a auditoria.
Uma organização com as certificações da família ISO 27000 sinaliza para o mercado e para os clientes o comprometimento com os padrões internacionais de segurança da informação e a adequação aos princípios da LGPD (Lei Geral de Proteção de Dados).
Esperamos que este artigo possa ajudá-los na melhoria da segurança das informações da sua organização e de partes interessadas.
Marco Antonio Sola
Consultor Empresarial
MPECCIN Auditoria e Consultoria Ltda.
Comentários