Certificado Segurança da Informação compliance LGPD

Certificação baseada ABNT 27002 Segurança da Informação

Atualizado em 13/07/2020
Por Pedro Henriques

Certificação baseada ABNT 27002 Segurança da Informação

Atualizado em 13/07/2020
Por Pedro Henriques

O que fazemos para estar mais seguros? Certificação baseada ABNT 27002. Assim como transformar a Equipe de TI em uma gestora com cultura de segurança da informação? Leia 12 valores que qualificam sua rede! Baseado na 27002 ABNT NBR ISO/IEC!

Desta forma um primeiro passo para buscar as conformidades e requisitos para Lei Geral de Proteção de Dados #LGPD

De fato a cultura pode ser a questão. Tanto quanto definir o Mapa de Risco. Por fim implementar a Gestão de Crise são o início do processo da Segurança da Informação. Seja como for a Equipe de TI precisa ter autoridade. Por consequência precisa estar alinhada com a direção da empresa, que é na verdade, quem determina a cultura. Desta forma os  primeiros a serem engajados na Segurança da Informação, são os diretores. Posto que a autoridade e transformação das ações em cultura de segurança, é uma atribuição de diretoria. Entretanto a Equipe de TI precisa ser consultora. Desta forma será parte fundamental para a execução.

Certificação baseada ABNT 27002

Este processo, que impõe transformação da cultura, tem que vir de cima, da diretoria, com respaldo e autoridade. A resistência dos usuários às regras e boas práticas, só serão minimizadas, se esta transformação, for atitude firme de gestão.

Idealizamos as condições do selo de qualificação para Certificação Segurança da Informação 12i:

  1. Verde (Acima de 95% das conformidades OK)
  2. Amarelo (Entre 60% e 95% das conformidades OK)
  3. Vermelho (Abaixo de 60% com as conformidades OK)

Posto que o relatório, além de gerar o SELO DE QUALIFICAÇÃO, também registra o que será preciso fazer para se adequar, criando um Compromisso de Ajustamento de Conduta. Embora seja um parecer VOLUNTÁRIO da empresa ou da direção, adequar-se as condições de boas práticas da segurança da informação, é uma questão de prevenção e de sobrevivência.

Quer saber como está a sua empresa, responda o questionário, não tem custo!

Também não haverá custo para emissão do Relatório de Qualificação 12i!

12 valores que qualificam sua rede! Baseado na 27002 ABNT NBR ISO/IEC!

1 – Políticas existentes

2 – Ações e Atitudes implementadas (Segurança da Informação)

3 – Gestão de ativos (Controle de Patrimônio; Monitoramento; )

4 – RH

5 – Gestão de Ambiente (Segurança física)

6 – Gestão de Contingência e segurança por aplicativos

7 – Gestão de Acesso (Ampliado)

8 – Aplicação (Processo + Continuado)

9 – Gestão de Incidente

10 – Gestão de Continuidade

11 – Conformidades

12 – INDICCA.COM (Equipe  com conhecimento para Segurança da Informação)

Detalhamento destes valores da Segurança da Informação

1 – Políticas existentes (Conformidade e Compliance são definidos aqui)

Seja como for as políticas existentes precisam estar descritas, qualificando o que se pode, o que não se pode fazer; 

Assim definir é uma questão relacionadas a interação dos usuários com as informações da empresa e suas condições de privacidade

Tanto quanto definem a gestão de contingência, garantindo a sobrevivência do negócio diante de um desastre

2 – Ações e Atitudes implementadas (Segurança da Informação – como fazer)

Uma vez que a política tenha definido o que se precisa fazer, resta executar

Desta forma as ações e atitudes que forem implementadas precisam ser acompanhadas e monitoradas

3 – Gestão de ativos (Controle de Patrimônio; Monitoramento, controle On Line em Tempo Real)

Por isso o monitoramento é a parte mais crítica do processo, a rotina de gestão, precisa estar alinhada a visualização do status funcional dos equipamentos de rede

De fato a gestão significa monitoramento

Assim o monitoramento é a ação de prevenção que vai disparar protocolos de correção e até edições das políticas

Ou seja a gestão é uma questão de gerar cultura de Segurança da Informação

4 – RH (Ponto de conexão com os colaboradores – Usuários internos)

O setor que gerencia pessoas também precisa estar alinhado e entendendo das políticas e cultura da Segurança da Informação

Um ponto relevante: O usuário que inicia na empresa ou que é desligado; Desta forma no processo de aquisição ou de demissão tem ações para ser cumprida e customizada na TI e gestão de acesso.

O perfil do usuário define que tipo de direitos e restrição terá, sua assinatura (Login), as conformidades de Segurança da Informação que precisará aceitar e conviver; O setor de RH neste momento é um braço de apoio da TI

Este protocolo de alinhamento precisa estar alinhado com a diretoria. De mesma forma com todos os setores. Em virtude de estar tratando da Segurança da Informação. De fato de toda operação.

5 – Gestão de Ambiente (Segurança física – Controle de Acesso)

Se definimos o perfil do usuário, seus direitos e suas restrições, controle de acesso é algo natural, precisa de existir;

Catracas interligadas a rede e gerando LOGs de movimentação, acesso, com tempo, data e tudo que for relacionado para que um processo de auditoria seja eficiente 

A segurança da informação será eficiente se a empresa tiver controle e gestão monitorada e assistida. Se jundo com está assistência houver tomada de decisão diante de falha no processo;

6 – Gestão de Contingência e segurança por aplicativos (Backups e automação)

Na segurança da Informação haverá proteção quanto ao acesso, quanto ao uso e monitoramento do que acontece. Haverá possibilidade de auditar e garantir responsabilidade para quem fizer ou deixar de fazer. 

É preciso ter cópias de segurança, plano de recuperação para desastre, evitando que seja improvisada a solução de recuperação; As cópias deverão estar formatadas de acordo com necessidade de tempo de recuperação. Algumas que tenham maior demanda de tempo para garantir a informação, deverão ser usadas no caso de haver dúvida da integridade das cópias de recuperação rápida.

Também é preciso ter proteção via aplicativos, automatizando a segurança contra Vírus e Ataques Cibernéticos ou não; 

Todo processo de gestão da contingência precisa ser transparente para os diretores e responsáveis pela informação, resguardado as condições de privilégios definida no perfil do usuário.

7 – Gestão de Acesso (Ampliado para o sistema)

Uma vez que já temos alinhamento com o RH, gestão física de acesso, até mesmo a assinatura com dimensionamento de privilégios via login, agora podemos trabalhar a questão de Gestão de uso e acesso, criar um protocolo que além de monitorar, gere relatórios e avalie vulnerabilidades e/ou falhas de condutas;

A segurança da informação só será eficiente se minimizarmos as vulnerabilidades. Desta forma a cultura de segurança deverá estar ativa e operacional. Por consequência a tomada de decisão de acordo com as políticas. Assim também sua interação com os usuários

8 – Aplicação (Processo + Continuado, como garantir a continuidade do negócio?)

A aplicação, no seu processo de construção e customização, mesmo nas atualizações, precisará seguir os  protocolos e políticas de Segurança da Informação. Desta forma as conformidades precisam estar alinhadas para os usuários. Assim, também, com o código que garante a segurança dos dados e informações;

As licenças de Software precisam estar legais dentro das condições informadas pelo fabricante. Somente com esta condição permitirá manter os aplicativos atualizados e corrigidos. Em resumo sem as falhas identificadas e publicadas, reduzindo assim, as condições de vulnerabilidade. 

A TI precisa ter a gestão das licenças, das versões e até das atualizações necessárias que precisam ser feitas no dia a dia, estando sempre alinhada com os fornecedores e suporte de suas aplicações. Sejam estas de tecnologia aberta ou não.

Como pedir aos usuários para fazer o certo, se está conduta não é seguida pela empresa diante dos fornecedores da mesma?

9 – Gestão de Incidente (Gestão do Mapa de Risco, causa, efeito, atitude)

Fazendo uma similaridade com a CIPA, Comissão Interna de Proteção de Acidentes, a gestão de incidentes relacionadas a TI, precisam ser precisas. O controle pode servir para ações corretivas mais rápidas e implementação de atitudes preventivas que evitem reincidência de falhas conhecidas;

Uma vez aue se permita entender a estatística dos incidentes. Assim poderá haver implementações na prevenção. De certo treinamento de uso, melhoria nos processos e até nas funcionalidades e/ou controles automáticos de proteção a falhas.

10 – Gestão de Continuidade

Com todas as conformidades alinhadas até agora, a continuidade é uma recorrência aplicada a sobrevivência. 

O valor da informação da empresa, pode garantir diferencial de valor no mercado. A confiança e confidencialidade, precisam estar garantidas e monitoradas;

As informações que garantem a operação funcionando, não podem se perder numa falha. A falta das informações que não forem recuperadas, poderá comprometer a condição financeira não tendo como cobrar, ou gerando perda de créditos, não tendo como efetuar pagamentos.

Muitos negócios dependem de prazos. Desta forma falha no processo, podem comprometer a operação. Por exemplo, advogados, meio ambiente, processos com responsabilidade civil e prazos a cumprir. De certo a perda de dados, pode justificar a interrupção de uma operação e até de uma empresa. 

A continuidade depende da capacidade de recuperar os dados e informações da empresa, diante de uma falha. 

11 – Conformidades (Conceitos da Segurança e cultura)

O critério de conformidade resume um pouco de tudo, considerando a gestão, monitoramento desta condição de Segurança da Informação. 

Desta forma o acompanhamento de regras impostas são pontos críticos no processo. Exemplo de regras são as Conformidades Trabalhistas. Ou Ambientais e ou de Segurança do Trabalho. Não só precisam estar alinhadas com as regras e conformidades da Segurança da Informação. Como também com as Boas Práticas impostas por estas conformidades.

O Selo 12i Certificação de Conformidade baseado na 27002 ABNT NBR ISO/IEC é uma qualificação na Segurança da Informação. Baseada nas respostas do usuário. Em virtude deste ter conhecimento da empresa. Também das regras que existem.

Esta reflexão, busca melhorar a condição e criar um diferencial na garantia de continuidade do negócio, minimizando riscos. Valendo que o conhecimento pode justificar tomada de atitude, mudança na cultura e transformação robusta na direção da eficiência e qualidade de operação.

Certificação baseada ABNT 27002 Segurança da Informação

Certificação baseada ABNT 27002

27002 ABNT NBR ISO/IEC

#12i #12iMapadeRisco #12iCompliance #12iCertificadoSegurançadaInformação #12iLGPDCertificado

Pedro Henriques, aqui no Blog.

O que você achou deste conteúdo?
Conte nos comentários sua opinião sobre: Certificação baseada ABNT 27002 Segurança da Informação.


Conheça nossas soluções nas áreas de segurança, rede de computadores e comunicação.
Share This