Num mercado como o atual, as organizações procuram demonstrar confiança aos seus clientes e compromisso com a segurança da informação que gerem. Para isso, o facto de possuir uma certificação de algum padrão ou norma ISO referente à Segurança representa uma vantagem competitiva, já que é consequência de uma correta gestão dos requisitos de segurança nos processos de tratamento da informação.
A cibersegurança e as normas ISO
A cibersegurança é algo que está muito em voga hoje em dia, mas a que se deve? A crescente quantidade de incidentes e ataques de segurança relacionados com a informação e sistemas informáticos que as organizações sofrem atualmente faz com que a necessidade de ter controlos para garantir a segurança de dispositivos, redes de comunicação e ativos de informação seja indiscutível. É desta necessidade que nasce o conceito de cibersegurança.
Este tipo de ataques tem como objetivo aceder, modificar ou destruir informações sensíveis das empresas.
A implementação de medidas eficazes de cibersegurança não é algo simples, já que, devido à grande quantidade de equipamentos e tecnologias utilizadas, os cibercriminosos sempre encontram novas opções de realizar os seus ataques. No entanto, existe uma forma de implementar medidas de proteção de dados e informações que faz com que o procedimento de implementação de tais medidas de segurança informática seja algo mais padronizado e natural.
Trata-se dos padrões e normas ISO relacionadas com a cibersegurança e segurança da informação. As normas ISO são padrões desenvolvidos e publicados pela Organização Internacional de Normalização (ISO). Tanto a ISO como a IEC (Comissão Eletrotécnica Internacional) são a referência especializada para a normalização a nível mundial. Através de comités técnicos formados pelos organismos membros tanto da ISO como da IEC, são elaboradas normas internacionais redigidas com o objetivo de regularizar processos específicos sobre âmbitos como a segurança da Informação.
Estas normas constituem, hoje em dia, um elemento indispensável no sistema de cumprimento das organizações, outorgando prestígio e reconhecimento internacional às mesmas. O valor diferencial que as implementações das normas ISO aportam às organizações face aos seus concorrentes deve-se ao facto de que tais padrões certificados são revistos e auditados periodicamente para garantir o seu cumprimento, fazendo com que a apreciação por parte de partes interessadas como clientes ou acionistas melhore consideravelmente.
As normas ISO são numeradas de forma incremental em função do seu propósito e são divididas em famílias para agrupar aquelas que tratam de aspetos da mesma índole. O objetivo destes padrões e normas é identificar técnicas, políticas, guias, capacitação, etc. em referência ao seu propósito (segurança, continuidade, qualidade, entre outros).
Família ISO 27000
Entre as já mencionadas normas ISO, destaca-se a família ISO 27000. Esta é uma série composta por várias normas de segurança da informação que detalham as diretrizes e requisitos para implementar um Sistema de Gestão de Segurança da Informação (SGSI) com o objetivo de gerir a segurança da informação das organizações.
Dentro deste conjunto de normas, a principal é a ISO 27001, a referência certificável de toda a série. Esta norma proporciona requisitos para o estabelecimento, implementação, manutenção e melhoria contínua de um SGSI. O processo de melhoria contínua baseia-se no conhecido Ciclo Deming ou PDCA (das siglas das palavras em inglês Plan-Do-Check-Act) que consta das 4 fases de Planear, Fazer, Verificar e Atuar.
As demais normas da família servem de guia e ajuda para a implementação do SGSI. Outra norma bastante notável é, por exemplo, a ISO 27002. Trata-se de um guia de boas práticas que descreve os objetivos de controlo e controlos exigíveis no que se refere à segurança da informação.
Da mesma família e com um propósito mais específico é a ISO 27031. Este é um padrão não certificável que serve de guia e proporciona um conjunto de métodos e procedimentos para estabelecer aspetos que levem a uma melhoria na preparação das TIC de uma organização para garantir e consolidar a continuidade de negócio. Ou seja, o objetivo principal deste padrão é proporcionar a continuidade dos serviços e garantir que a organização poderá recuperar-se perante uma situação de desastre, restabelecendo um estado de funcionamento acordado anteriormente.
Semelhante ao caso anterior, podemos falar da norma ISO 27701, também da família ISO 27000. Nela, são estabelecidos requisitos para administrar, gerir e proteger a privacidade dos dados pessoais da empresa em função de regulamentos e leis como o RGPD (Regulamento Geral de Proteção de Dados). Baseada nos requisitos, controlos e objetivos da norma ISO 27001 de segurança, inclui indicações para proteger a privacidade e confidencialidade dos dados de caráter pessoal tratados numa empresa. É importante destacar que a certificação desta nova norma é alcançável somente de forma conjunta à certificação da ISO 27001.
Outras normas e padrões
Além das normas ISO comentadas anteriormente, existem muitos outros padrões relacionados com o mundo da cibersegurança.
Um exemplo claro disso são os padrões do NIST, o Instituto Nacional de Padrões e Tecnologias, uma agência de Administração de Tecnologia do Departamento de Comércio dos Estados Unidos. Entre os padrões que desenvolve, destaca-se, por exemplo, a SP 800-53. A SP 800-53 oferece uma lista de controlos que apoiam o desenvolvimento de sistemas de informação federal seguros e resilientes. Estes controlos são guias e padrões tanto operacionais como técnicos utilizados pelos sistemas de informação para manter a segurança de tal informação.
Por outro lado, estão os chamados Controlos de Serviço e Organização 2 (SOC 2). Este trata-se de um padrão internacional de relatórios sobre os sistemas de gestão dos riscos de cibersegurança das organizações realizado pelo Instituto Americano de Contabilistas Públicos Certificados (AICPA). Estes relatórios são desenvolvidos sobre os controlos que uma organização implementa nos seus sistemas e que têm a ver com a segurança.
Dentro do relatório SOC 2, podem ser diferenciados 2 tipos. O SOC tipo 1 consiste numa avaliação pontual. Ou seja, é realizada uma avaliação num momento concreto com o objetivo de determinar se os controlos implementados pela organização foram devidamente concebidos e são apropriados tendo em conta os requisitos que devem cumprir.
Quanto ao SOC 2 tipo 2, compreende uma avaliação mais duradoura, que geralmente abrange cerca de um ano. Neste tipo de relatórios, os controlos da organização são avaliados durante o período de tempo acordado para determinar se foram concebidos corretamente e funcionam de maneira adequada durante todo o período de avaliação.
No panorama nacional, existem guias, normas e instruções de segurança desenvolvidas pelo CCN (Centro Criptológico Nacional) que procuram proteger a segurança das organizações e aumentar o seu grau de cibersegurança. As séries desenvolvidas estão principalmente focadas nas Administrações Públicas.
É importante destacar neste artigo a série 800. Esta série está relacionada com o Esquema Nacional de Segurança (ENS), já que proporciona procedimentos para a correta implementação das medidas e requisitos que ali são recolhidos.
Por outro lado, é notável comentar a existência tanto do modelo COSO como do padrão COBIT. COSO (Committee of Sponsoring Organizations of the Tradeway Commission) é uma organização composta por organismos privados, estabelecida nos EUA, que se dedica a proporcionar um modelo comum de orientação às entidades sobre aspetos fundamentais de gestão executiva e de governo, ética empresarial, controlo interno, gestão do risco empresarial, controlo de fraude e prestação de relatórios financeiros. Quanto ao padrão COBIT (Control Objectives for Information and related Technology), este trata-se de um conjunto de boas práticas para a gestão dos sistemas de informação das empresas.
Na GlobalSuite Solutions, oferecemos ajuda e assessoria a todo o tipo de organizações e setores na implementação dos Sistemas de Gestão requeridos por estas normas. Além disso, contamos com o software GlobalSUITE®, que, desenvolvido pela nossa equipa, é uma ferramenta que permite a implementação, gestão e manutenção dos requisitos exigidos pelas diferentes normas ISO.
