Todos sabemos a importância da padronização para assegurar a qualidade de produtos e serviços. Para isso, existe a ISO (International Organization for Standardization) que é uma organização internacional reconhecida e renomada que fornece padrões e critérios de qualidade para itens dos mais variados campos. A ISO 27001, especificamente, fornece padrões para a implementação, operação e gestão de um Sistema de Gestão de Segurança da Informação (SGSI) que tem como objetivo garantir que riscos de segurança sejam mitigados e devidamente geridos.
O que a ISO 27001 inclui?
A ISO 27001 é uma abordagem 360º à Segurança da Informação, ou seja, trata de temas extremamente diversos – telecomunicação, licenciamento, proteção ao meio físico, recursos humanos etc. Para isso, possui mais de 100 controles que se dividem em 14 seções. São elas:
- Políticas de segurança da informação
- Organização da segurança da informação
- Segurança em recursos humanos
- Gestão de ativos
- Controle de acesso
- Criptografia
- Segurança física e do ambiente
- Segurança nas operações
- Segurança nas comunicações
- Aquisição, desenvolvimento e manutenção de sistemas
- Relacionamento na cadeia de suprimento
- Gestão de incidentes de segurança da informação
- Aspectos da segurança da informação na gestão da continuidade do negócio
- Conformidade
É importante mencionar que não há uma obrigatoriedade na implementação da lista completa de controles, visto que não são todos os controles que estarão alinhados com as especificidades de cada ambiente tecnológico e organizacional de empresas.
Vantagens da certificação ISO 27001
Vale destacar que adequar-se à esta ISO não é uma obrigatoriedade legal, mas a certificação ISO 27001 também auxilia na conformidade da LGPD, item obrigatório para empresas em território brasileiro e em muitos casos é requerido por clientes e parceiros.
Mesmo não sendo obrigatório, existem diversos benefícios atrelados à adequação à ISO 27001. Além de oferecer garantia da qualidade de segurança para clientes e parceiros, a ISO 27001 é de extrema importância para realizar negócios com empresas fora do seu país de origem, por se tratar de um padrão internacional, reconhecido em qualquer lugar.
E claro, não podemos esquecer do motivo pelo qual o ISO 27001 foi criado: garantir a segurança de dados de empresas contra riscos de vazamentos e ataques internos e externos
Aplique as melhores práticas da ISO 27001 na nuvem
Os provedores de nuvem, como AWS, Google Cloud e Microsoft Azure, possuem a certificação de ISO 27001 para os aspectos dos quais são responsáveis, de acordo com o Modelo de Responsabilidade Compartilhada. Assim, cabe ao usuário garantir a conformidade pela qual é responsável e realizar a configuração correta dos serviços utilizados.
Algumas práticas da regulamentação que ficam por responsabilidade do usuário são:
- Ativar a criptografia – A criptografia é uma das melhores medidas de proteção de dados por evitar o acesso à dados mesmo em caso de vazamento.
- Controle de acessos – Cabe ao usuário implementar medidas de controle de acesso ao ambiente de nuvem. Por exemplo, autenticação de dois fatores e controle de quais ações um sujeito poderá realizar naquele ambiente.
- Segurança nas operações – É responsabilidade do usuário garantir a segurança nas operações do ambiente de nuvem. Por exemplo, a separação dos ambientes de desenvolvimento, teste e produção, a documentação dos procedimentos de operação e realização de backups das informações armazenadas.
Se adeque à ISO 27001 com o CleanCloud Score
A princípio, o primeiro passo na adequação do ambiente de nuvem a ISO 27001 é descobrir o status no qual o ambiente se encontra e identificar os aspectos que devem ser corrigidos. Para isso, é importante contar com um produto de cloud security como o CleanCloud Score.
O CleanCloud Score oferece melhorias de configuração para manter o ambiente de nuvem seguro e em conformidade com os principais frameworks e regulações do mercado, não só ISO 27001 – que lançamos recentemente para Google Cloud –, como também LGPD e Bacen.
Saiba mais sobre o CleanCloud Score.