Certificações minimizam riscos da segurança da informação
por Mayara Zunckeller, Gerente de Operações na TÜV Rheinland
Praticamente todas as organizações, independentemente do seu porte ou segmento, trabalham com dados pessoais e corporativos, como número de cartão de crédito, identidade, endereço, registros médicos, passaporte, lista de clientes, orçamento, planos de negócios e de marketing etc. E os hackers estão de olho nessas informações.
Estudo realizado em 2022 pela FortiGuard Labs aponta que o Brasil foi o segundo país mais atingido da América Latina, com 103,16 bilhões de tentativas de ataques cibernéticos, um aumento de 16% com relação a 2021 (com 88,5 bilhões).
O país ficou atrás do México (com 187 bilhões), seguido pela Colômbia (20 bilhões) e Peru (15,4 bilhões). O total registrado na América Latina e Caribe foi de mais de 360 bilhões de tentativas de ciberataques em 2022.
Já a pesquisa Industrial Internet Security Trend Report indica que as ameaças de ataques cibernéticos contra o setor industrial na América Latina devem ter um crescimento de 57%, principalmente nas áreas de energia elétrica, aeroespacial, petroquímica, saúde e governo.
Como a certificação evita riscos de violação
Normas reconhecidas mundialmente, como a ISO 27001, são padrão e referência internacional para a gestão da segurança da informação, assim como a ISO 9001 é a utilizada para assegurar a gestão em qualidade.
A adoção da norma ISO 27001 serve para que as organizações adotem um modelo adequado de implementação, operação, monitoramento, revisão e gestão de um sistema de segurança da informação.
Um de seus princípios é a adoção de um modelo holístico de abordagem à segurança, e independente de marcas e fabricantes, com uma abordagem 360º da segurança da informação, tratando de múltiplos temas tais como as redes, segurança das aplicações, proteção do meio físico, recursos humanos, continuidade de negócio, licenciamento etc.
Ameaça constante
Ataques cibernéticos são uma ameaça constante para empresas, governos e sociedade. O sistema de gestão da segurança da informação preserva a confidencialidade, integridade e disponibilidade das informações através da aplicação de um processo de gestão de risco e oferece segurança aos stakeholders de que o problema é gerenciado de forma adequada.
É importante que o sistema de gestão da segurança da informação faça parte e esteja integrado aos processos da organização e estrutura geral de gerenciamento. A sua implementação deve estar alinhada e dimensionada segundo as necessidades da organização.
O foco da ISO 27001 é proteger a confidencialidade, integridade e disponibilidade das informações em uma empresa. Isso é feito descobrindo quais incidentes em potencial podem acontecer com as informações (ou seja, avaliação de risco) e, em seguida, definindo o que precisa ser feito para evitar que tais incidentes aconteçam (ou seja, mitigação de risco ou tratamento de risco).
Portanto, a principal filosofia da ISO 27001 é baseada em um processo de gerenciamento de riscos: descobrir onde estão e tratá-los sistematicamente, por meio da implementação de controles de segurança (ou salvaguardas).
Definindo papéis na segurança da informação
A estrutura da ISO 27001 estabelece requisitos para a implementação, operação e melhoria contínua de um sistema de gerenciamento de segurança da informação, cujo objetivo é estabelecer processos e responsabilidades dentro de uma organização. É antes de tudo uma estrutura de governança que determina quem é responsável pela implementação, revisão e melhoria das medidas de segurança específicas incluídas no padrão.
Muitas empresas cometem o erro de tratar a segurança da informação apenas como uma questão da área de Tecnologia da Informação, quando na verdade ela afeta todas as partes de uma organização. Além da questão de infraestrutura, a ISO 27001 também aborda aspectos organizacionais, como o papel da gestão. Entre outras coisas, a administração é responsável por nomear indivíduos responsáveis pelo controle de acesso aos ativos e por monitorá-los.
Ao final, a adoção da ISO 270001 demonstra um compromisso dos executivos da organização com a segurança da informação e garante a realização de investimentos mais eficientes e orientados ao risco, ao invés da alocação de recursos apenas baseados em tendências. E, claro, aumenta a confiança e satisfação dos clientes e parceiros, propiciando uma vantagem competitiva.