É quase impossível prever um ataque com efeitos potencialmente incapacitantes para as nossas organizações, mas podemos sempre antecipá-lo com a adoção de procedimentos e mecanismos de maior proteção e resposta. O alinhamento com as boas práticas da norma ISO 27001 é um excelente passo nessa direção.
A nova realidade vivida pela maioria das nossas organizações tornou evidente a importância da segurança da informação e da conformidade regulatória para a proteção e continuidade dos nossos negócios. É, por isso, indispensável conhecer bem as obrigações e os riscos que uma organização enfrenta, de modo a assegurar uma postura defensiva reforçada e eficaz - estratégica e operacionalmente.
Não podemos influenciar a probabilidade de ocorrer um determinado acontecimento disruptivo, nem tão-pouco o momento em que tal vai acontecer; mas está ao nosso alcance preparar uma boa resposta e, assim, conseguir reduzir substancialmente o impacto desse cenário nas nossas operações e na nossa imagem e reputação.
A utilização de um referencial robusto e reconhecido mundialmente, como é o caso da ISO27001, constitui uma base excelente e um bom acelerador para esse efeito.
A família das normas ISO/IEC 27001, também conhecida como série ISO 27000, publicada pela International Organization for Standardization (ISO) e pela International Electrotechnical Commission (IEC), preconiza um conjunto de requisitos e boas práticas tendo em vista apoiar as organizações na melhoraria da sua segurança. Está focada em três pilares muito importantes - pessoas, processos e tecnologia -, através da implementação de diversos controlos dirigidos a pontos-chave (como a gestão de acessos, segurança física, gestão de incidentes de segurança, entre outros).
É também importante destacar o papel das ISO 27008, ISO 27017, ISO 27018 e ISO 27701, que reforçam as vertentes técnica, de segurança na Cloud e da privacidade de dados pessoais, de resto, em alinhamento com os requisitos preconizados pelo RGPD.
Das ameaças às oportunidades
A certificação ISO/IEC 27001 representa o reconhecimento externo de que uma organização criou um sistema de gestão dedicado à segurança da informação, que está de acordo com esse referencial e que fez prova disso perante uma entidade externa certificadora. Contudo, mesmo que não exista uma pressão significativa que coloque a certificação como primeira prioridade, as organizações podem adotar os controlos que considerem mais relevantes e adequados, de acordo com os resultados obtidos numa primeira avaliação de risco.
Na prática, o alinhamento com a norma ISO garante melhorias operacionais consideráveis, maior proteção e capacidade de resposta e reforço da confiança dos diversos stakeholders, sejam eles parceiros, fornecedores ou entidades de controlo, por exemplo.
Os primeiros passos serão sempre confirmar as motivações para a implementação de um sistema de gestão de segurança da informação (com certificação ou não), definir o âmbito desse sistema e realizar uma primeira avaliação de alinhamento com a norma. As conclusões dessa primeira avaliação permitirão entender com rigor o estado atual e planear, nessa sequência, as iniciativas que terão de ser realizadas progressivamente, para que a organização melhore a sua proteção e resiliência.
Proteção à medida
O contexto pandémico surgido no final de 2019 mostrou que os cenários mais improváveis podem mesmo acontecer. Para prevenir tais situações e ter a melhor resposta a esses momentos disruptivos, torna-se indispensável identificar e classificar os riscos nas nossas organizações, aplicando e revendo os controlos de segurança e de continuidade implementados. Só dessa forma será possível garantir uma melhor proteção dos ativos de negócio.
De realçar também outro ponto neste contexto: nem sempre um ciberataque, um roubo de dados ou um ato de sabotagem resultam de um ataque direto à nossa organização. Por vezes tal pode ocorrer com outras entidades, mas o efeito de contágio por toda a cadeia de fornecimento acaba por afetar a imagem e reputação de todos. É assim essencial garantir que os processos de controlo contemplam também esse ângulo, ao mesmo tempo que todas as obrigações e requisitos de serviço estão definidos e devidamente formalizados.
A Claranet Portugal, através dos seus serviços de consultoria, possui metodologias especificas para apoiar as empresas nesta jornada, quer através de assessments preliminares, quer através da implementação total ou parcial da ISO27001.
No caso da implementação parcial, o setup de uma baseline inicial de conformidade já permite o atingimento rápido dos requisitos fundacionais e indispensáveis a uma primeira fase de proteção.
Assim, independentemente da extensão e da escala do projeto de conformidade a implementar, as organizações têm na norma ISO 27001 um excelente ponto de partida para a proteção efetiva da sua informação. E num mercado cada vez mais à mercê de contextos desafiantes a nível global, este tipo de preparação e proteção pode fazer toda a diferença!
