12i Certifficação baseada 27002 Norma ABNT

Certificação baseado na ABNT 27002 ISO/IEC!

Atualizado em 27/09/2017
Por Pedro Henriques

Certificação baseado na ABNT 27002 ISO/IEC!

Atualizado em 27/09/2017
Por Pedro Henriques

O que fazemos para estar mais seguros? Trabalhamos a Certificação baseada ABNT 27002. Como transformar a Equipe de TI em uma gestora com cultura de segurança da informação? Leia 12 valores que qualificam sua rede! Baseado na 27002 ABNT NBR ISO/IEC!

Certificação baseada ABNT 27002 em 12 camadas da informação!

Assim a cultura pode ser a questão. De fato a Equipe de TI precisa ter autoridade. Sobretudo precisa estar alinhada com a direção da empresa, que é na verdade, quem determina a cultura. Portanto os  primeiros a serem engajados na Segurança da Informação, são os diretores. Desta forma a autoridade e transformação das ações em cultura de segurança, é uma atribuição de diretoria. Por fim a Equipe de TI precisa ser facilitadora, e é parte fundamental para a execução.

Portanto este processo, que impõe transformação da cultura, tem que vir de cima, da diretoria. Principalmente  com respaldo e autoridade. Então a resistência dos usuários às regras e boas práticas, só serão minimizadas, se esta transformação, for atitude firme de gestão.

Idealizamos as condições:

  1. Verde (Acima de 95% das conformidades OK)
  2. Amarelo (Entre 60% e 95% das conformidades OK)
  3. Vermelho (Abaixo de 60% com as conformidades OK)

O relatório, além de gerar o SELO DE QUALIFICAÇÃO, também registra o que será preciso fazer para se adequar, criando um Compromisso de Ajustamento de Conduta. Embora seja um parecer VOLUNTÁRIO da empresa ou da direção, adequar-se as condições de boas práticas da segurança da informação, é uma questão de prevenção e de sobrevivência.

Quer saber como está a sua empresa, responda o questionário, não tem custo!

Também não haverá custo para emissão do Relatório de Qualificação 12i!

Selo 12i - Segurança da Informação Indicca - LGPD

12 valores que qualificam sua rede! Baseado na Certificação baseada ABNT 27002!

1 – Políticas existentes

2 – Ações e Atitudes implementadas (Segurança da Informação)

3 – Gestão de ativos (Controle de Patrimônio; Monitoramento; )

4 – RH

5 – Segurança física – Gestão de Ambiente 

6 – Mapeamento, Gestão de Contingência e segurança por aplicativos

7 – Controle e Gestão de Acesso 

8 – Aplicação (Processo + Continuado)

9 – i.Cipa – Gestão de Incidente

10 – Gestão de Continuidade

11 – Conformidades

12 – INDICCA.COM (Equipe  com conhecimento para Segurança da Informação)

1 – Políticas existentes

As políticas precisam estar descritas, qualificando o que se pode, o que não se pode fazer; 

As políticas definem as questões relacionadas a interação dos usuários com as informações da empresa e suas condições de privacidade

As políticas também definem a gestão de contingência, garantindo a sobrevivência do negócio diante de um desastre

2 – Ações e Atitudes implementadas (Segurança da Informação)

Uma vez que a política tenha definido o que se precisa fazer, resta executar

As ações e atitudes que forem implementadas precisam ser acompanhadas e monitoradas

3 – Gestão de ativos (Controle de Patrimônio; Monitoramento; )

O monitoramento é a parte mais crítica do processo, a rotina de gestão, precisa estar alinhada a visualização do status funcional dos equipamentos de rede

A gestão significa monitoramento

O monitoramento é a ação de prevenção que vai disparar protocolos de correção e até edições das políticas

A gestão é uma questão de gerar cultura de Segurança da Informação

Tenha cultura de Segurança da Informação Indicca

4 – RH

O setor que gerencia pessoas também precisa estar alinhado e entendendo das políticas e cultura da Segurança da Informação

O usuário que inicia na empresa ou que é desligado, no processo de aquisição ou de demissão tem ações para ser cumprida e customizada

O perfil do usuário define que tipo de direitos e restrição terá, sua assinatura (Login), as conformidades de Segurança da Informação que precisará aceitar e conviver; O setor de RH neste momento é um braço de apoio da TI

Este protocolo de alinhamento precisa estar alinhado com a diretoria e também com todas as áreas que vão estar tratando da Segurança da Informação, ou seja toda a empresa.

5 – Gestão de Ambiente (Segurança física)

Se definimos o perfil do usuário, seus direitos e suas restrições, controle de acesso é algo natural, precisa de existir;

Catracas interligadas a rede e gerando LOGs de movimentação, acesso, com tempo, data e tudo que for relacionado para que um processo de auditoria seja eficiente 

A segurança da informação será eficiente se a empresa tiver controle e gestão monitorada e assistida. Se jundo com está assistência houver tomada de decisão diante de falha no processo;

6 – Gestão de Contingência e segurança por aplicativos

Na segurança da Informação haverá proteção quanto ao acesso, quanto ao uso e monitoramento do que acontece. Haverá possibilidade de auditar e garantir responsabilidade para quem fizer ou deixar de fazer. 

É preciso ter cópias de segurança, plano de recuperação para desastre, evitando que seja improvisada a solução de recuperação; As cópias deverão estar formatadas de acordo com necessidade de tempo de recuperação. Algumas que tenham maior demanda de tempo para garantir a informação, deverão ser usadas no caso de haver dúvida da integridade das cópias de recuperação rápida.

Também é preciso ter proteção via aplicativos, automatizando a segurança contra Vírus e Ataques Cibernéticos ou não; 

Todo processo de gestão da contingência precisa ser transparente para os diretores e responsáveis pela informação, resguardado as condições de privilégios definida no perfil do usuário.

7 – Gestão de Acesso (Ampliado)

Uma vez que já temos alinhamento com o RH, gestão física de acesso, até mesmo a assinatura com dimensionamento de privilégios via login, agora podemos trabalhar a questão de Gestão de uso e acesso, criar um protocolo que além de monitorar, gere relatórios e avalie vulnerabilidades e/ou falhas de condutas;

A segurança da informação só será eficiente se minimizarmos as vulnerabilidades, se a cultura de segurança estiver ativa e operacional, se houver tomada de decisão de acordo com as políticas e sua interação com os usuários

8 – Aplicação (Processo + Continuado)

A aplicação, no seu processo de construção e customização, mesmo nas atualizações, precisará seguir os  protocolos e políticas de Segurança da Informação. As conformidades precisam estar alinhadas não apenas para os usuários, mas também com o código que garante a segurança dos dados e informações;

Como estar CERTO, dentro das Boas Práticas da Informática, e não ter correção dos Sistemas Operacionais, porque os mesmo não estão legais com os fabricantes? As licenças de Software precisam estar legais dentro das condições informadas pelo fabricante. Somente esta condição permitirá manter os aplicativos atualizados e corrigidos, e as falhas identificadas e publicadas, reduzindo assim, as condições de vulnerabilidade. 

A TI precisa ter a gestão das licenças, das versões e até das atualizações necessárias que precisam ser feitas no dia a dia, estando sempre alinhada com os fornecedores e suporte de suas aplicações. Sejam estas de tecnologia aberta ou não.

Como pedir aos usuários para fazer o certo, se está conduta não é seguida pela empresa diante dos fornecedores da mesma?

Tenha cultura de Segurança da Informação Indicca CIPA

9 – Gestão de Incidente

Fazendo uma similaridade com a CIPA, Comissão Interna de Proteção de Acidentes, a gestão de incidentes relacionadas a TI, precisam ser precisas. O controle pode servir para ações corretivas mais rápidas e implementação de atitudes preventivas que evitem reincidência de falhas conhecidas;

Uma vez aue se permita entender a estatística dos incidentes, poderá haver, não apenas implementações nas Políticas de prevenção, mas treinamento de uso, melhoria nos processos e até nas funcionalidades e/ou controles automáticos de proteção a falhas.

10 – Gestão de Continuidade

Com todas as conformidades alinhadas até agora, a continuidade é uma recorrência aplicada a sobrevivência. 

O valor da informação da empresa, pode garantir diferencial de valor no mercado. A confiança e confidencialidade, precisam estar garantidas e monitoradas;

As informações que garantem a operação funcionando, não podem se perder numa falha. A falta das informações que não forem recuperadas, poderá comprometer a condição financeira não tendo como cobrar, ou gerando perda de créditos, não tendo como efetuar pagamentos.

De fato muitos negócios dependem de prazos para apresentação de conformidades. Similarmente, como por exemplo, advogados, meio ambiente, processos com responsabilidade civil. De fato a perda de dados, pode justificar a interrupção de uma operação e até de uma empresa. 

Assim a continuidade depende da capacidade de recuperar os dados e informações da empresa, diante de uma falha. 

11 – Conformidades

Então o critério de conformidade resume um pouco de tudo. Certamente considerando a gestão. Também monitoramento desta condição de Segurança da Informação. 

Enfim o acompanhamento de regras que são impostas, como Conformidades Trabalhistas, ou Ambientais e ou de Segurança do Trabalho. Pois precisam estar alinhadas com as regras e conformidades da Segurança da Informação. Igualmente com as Boas Práticas impostas por estas conformidades.

Posto que o Selo 12i – Certificação de Conformidade baseado na 27002 ABNT NBR ISO/IEC é uma estudo, baseada nas respostas de um usuário. Sem dúvida que tenha conhecimento da empresa e das regras que existem para que ele funcione.

Desta forma o resultado, busca melhorar a condição da Segurança da Informação. Assim criar um diferencial na garantia de continuidade do negócio, minimizando riscos. Por fim valendo que o conhecimento pode justificar tomada de atitude. De fato uma mudança na cultura. Ou seja provocando a transformação na direção criando cultura de adaptação a LGPD.

Um conteúdo que também pode interessar – ==>> Mapa de Risco! <<==

27002 ABNT NBR ISO/IEC

#12i #12iMapadeRisco #12iCompliance #12iCertificadoSegurançadaInformação #12iLGPDCertificado #LGPD #Compliance

Pedro Henriques, aqui no Blog.
Empreendedor da área de tecnologia de segurança da informação. Atendo empresa de pequeno, médio e grande porte.

O que você achou deste conteúdo?
Conte nos comentários sua opinião sobre: Certificação baseado na ABNT 27002 ISO/IEC!.


Conheça nossas soluções nas áreas de segurança, rede de computadores e comunicação.
Share This