A sua organização garante a segurança dos dados conforme os padrões internacionais?

by WeSecurein Noticias, Serviçoson Posted on

A segurança dos dados é uma preocupação crítica para as organizações de todos os tamanhos e setores. Garantir a conformidade com os padrões internacionais de segurança dos dados, como a ISO 27001, tornou-se não apenas uma prioridade, mas uma necessidade fundamental. 

A capacidade da sua organização de manter esses padrões é um fator determinante para a confiança dos clientes, parceiros e stakeholders. Assim, disponibilizámos um guia para que consiga verificar se a sua organização cumpre integralmente com os padrões da ISO 27001 ou se há necessidade de implementar precauções adicionais.

Guia 27001

1. Contexto

  • As questões internas e externas que são relevantes para o Sistema de Gestão de Segurança da Informação (SGSI) e que impactam na obtenção do resultado esperado foram determinadas?

2. Necessidades e expectativas das partes interessadas

  • A organização determinou os grupos interessados ​​que são relevantes para o SGSI?
  • Os requisitos destes grupos interessados ​​foram identificados, incluindo requisitos legais, regulamentares e contratuais?

3. Âmbito do SGSI

  • Os limites e a aplicabilidade do SGSI foram estabelecidos para determinar o seu alcance, em linha com as questões internas e externas, as necessidades dos grupos interessados e as interfaces e dependências com outras empresas ou organizações?
  • O âmbito do SGSI está documentado?

4. Liderança de Compromisso e Gestão

O compromisso da liderança da organização com o SGSI é demonstrado por:

  • Estabelecer a política e os objetivos de segurança da informação, tendo em consideração a direção estratégica da organização e na promoção da melhoria contínua?
  • Garantir que os recursos estejam disponíveis para o SGSI e orientar e ajudar os indivíduos, incluindo a gestão, que apoiam a sua eficácia?
  • Estabelecer a importância da segurança eficaz da informação e da conformidade com os requisitos do SGSI?

5. Política de segurança da informação

  • Existe uma política de segurança da informação estabelecida que seja relevante, que forneça uma estrutura para a definição de objetivos e comprove o compromisso com o cumprimento dos requisitos de segurança da informação e com a melhoria contínua?
  • A política é documentada e comunicada aos funcionários e grupos relevantes?

6. Funções e responsabilidades

  • As funções dentro do SGSI estão claramente especificadas e divulgadas dentro da organização?
  • As responsabilidades e autoridades para conformidade e relatórios sobre o desempenho do SGSI estão atribuídas?

7. Riscos e oportunidades de implementação do SGSI

  • As questões internas e externas e as necessidades dos grupos interessados foram consideradas para determinar os riscos e oportunidades que precisam ser abordados para garantir que o SGSI atinja o seu resultado, que os efeitos indesejados sejam interrompidos ou reduzidos e que a melhoria contínua seja alcançada?
  • As ações para abordar riscos e oportunidades foram planeadas e integradas aos processos do SGSI e são avaliadas quanto à eficácia?

8. Avaliação de riscos de segurança da informação

  • Foi estabelecido um processo de avaliação de riscos de segurança da informação que estabeleça os critérios para a realização de avaliações de riscos de segurança da informação, incluindo critérios de aceitação de riscos?
  • O procedimento de avaliação de riscos da segurança da informação determina os riscos associados à perda de confidencialidade, integridade e disponibilidade de informações no âmbito do SGSI, e os proprietários dos riscos estão estabelecidos?
  • Os riscos para a segurança da informação são analisados para avaliar a probabilidade prática e as possíveis consequências que resultariam, caso ocorressem, e os níveis de risco foram estabelecidos?
  • Os riscos para a segurança da informação estão correlacionados com os critérios de risco estabelecidos e priorizados conforme necessário?
  • As informações sobre o processo de avaliação de riscos de segurança da informação estão estão disponíveis em formato documentado?

9. Tratamento de riscos da segurança da informação

  • Existe um processo de tratamento de riscos de segurança da informação para selecionar opções de tratamento de riscos relevantes para os resultados da avaliação de riscos de segurança da informação, e são estabelecidos controlos para implementar a opção de tratamento de riscos escolhida?
  • Os controlos estabelecidos foram comparados com o Anexo A da ISO/IEC 27001:2013 para verificar se nenhum controlo essencial foi esquecido?
  • Um plano de tratamento de riscos da segurança da informação foi formulado e aprovado pelos responsáveis dos riscos, e os riscos residuais da segurança da informação foram permitidos pelos proprietários dos riscos?
  • As informações sobre o processo de tratamento de riscos de segurança da informação estão disponíveis em formato documentado?

10. Objetivos da segurança da informação e definição de plano

  • Os objetivos e metas mensuráveis do SGSI foram determinados, documentados e divulgados para toda a organização?
  • Ao definir os seus objetivos, a organização estabeleceu o que precisa ser feito, quando e por quem?

11. Recursos e competências do SGSI

  • O SGSI dispõe de recursos adequados?
  • Existe um procedimento definido e documentado para determinar a competência para funções do SGSI?
  • Aqueles que desempenham funções de SGSI são competentes e essa capacidade está corretamente documentada?

12. Consciencialização e comunicação

  • Todos dentro da organização estão cientes da importância da política da segurança da informação, do seu papel no sucesso do SGSI e das ramificações da não conformidade?
  • A organização estabeleceu a necessidade das comunicações internas e externas relevantes para o SGSI, incluindo o que divulgar, quando, com quem, e por quem, e os procedimentos pelos quais isso é alcançado?

13. Informação documentada

  • A organização estabeleceu as informações documentadas necessárias para a eficácia do SGSI?
  • A informação documentada está no formato correto e foi identificada, revista e aprovada quanto à adequação?
  • A informação documentada é controlada de tal forma que esteja disponível e adequadamente protegida, distribuída, armazenada, retida e sob controlo de alterações, incluindo documentos de origem externa exigidos pela organização para o SGSI?

14. Planeamento e controlo operacional

  • Foi criado e implementado um programa para garantir que o SGSI da organização entregue os seus resultados, requisitos e objetivos?
  • São retidas provas documentadas para ilustrar que os processos foram executados conforme planeado?
  • As mudanças são planeadas e controladas e as mudanças não planeadas são revistas para aliviar quaisquer resultados adversos?
  • Os procedimentos terceirizados foram estabelecidos e são controlados?
  • As avaliações de riscos de segurança da informação são realizadas em intervalos regulares planeados ou quando ocorrem mudanças significativas, e as informações documentadas são retidas?
  • O plano de tratamento de riscos da segurança da informação foi implementado e as informações documentadas foram retidas?

15. Monitorização, medição e avaliação

  • O desempenho e a eficácia da segurança da informação do SGSI são avaliados?
  • Foi determinado o que precisa ser monitorizado e medido, quando, por quem, os métodos a serem utilizados e quando os resultados serão avaliados?
  • A informação documentada é retida como prova dos resultados da observação e medição?

16. Auditoria interna

  • As auditorias internas são realizadas regularmente para verificar se o SGSI é bem-sucedido e está em conformidade com a ISO/IEC 27001:2013 ou ISO/IEC 27001:2022 e com os requisitos da organização?
  • As auditorias são realizadas através de um método apropriado e em conformidade com um programa de auditoria baseado nos resultados das avaliações de risco e em quaisquer auditorias anteriores?
  • Os resultados das auditorias são reportados à administração e as informações documentadas sobre o programa de auditoria e os resultados da auditoria são retidos?
  • Quando são detetadas não conformidades, elas estão sujeitas a ações corretivas?

17. Revisão pela gestão

  • A gestão de topo realiza uma revisão regular do SGSI?
  • O resultado da revisão da gestão do SGSI estabelece as mudanças e as melhorias necessárias?
  • Os resultados da revisão pela gestão são documentados, aplicados e divulgados aos grupos interessados?

18. Ação corretiva e melhoria contínua

  • Foram identificadas ações para governar, alterar e lidar com as ramificações das não conformidades?
  • A necessidade de ação foi calculada para eliminar a causa raiz das não conformidades, a fim de prevenir a recorrência?
  • Alguma ação identificada foi implementada e analisada quanto à eficácia e levou a melhorias no SGSI?
  • As informações documentadas são retidas como prova da natureza das não conformidades, das ações tomadas e dos resultados?
  • Existe uma divisão entre ambientes de desenvolvimento, testes e operacionais?
  • Existe proteção contra malware?
  • As informações, software e sistemas estão sujeitos a backup e testes regulares?
  • Existem controlos para registar eventos e gerar evidências?
  • A instalação de software em sistemas operacionais é controlada e existem regras que controlam a instalação de software pelos utilizadores?
  • As informações sobre as vulnerabilidades técnicas são recolhidas e as medidas apropriadas são tomadas para lidar com os riscos?
  • As redes são geridas, segregadas quando necessário e controladas para proteger os sistemas de informação, e os serviços de rede estão sujeitos a contratos de serviço?
  • Existem políticas e acordos para preservar a segurança das informações transmitidas internamente ou externamente à organização?
  • Os requisitos de segurança da informação para sistemas da informação estão descritos e a informação que passa pelas redes públicas e as transações de serviços de aplicação são salvaguardadas?
  • Os sistemas e regras para o desenvolvimento de software são estabelecidos e as alterações nos sistemas dentro do ciclo de vida de desenvolvimento são formalmente controladas?
  • As aplicações críticas para os negócios são revistas e examinadas após alterações nas plataformas do sistema operacional e há restrições às alterações nos pacotes de software?
  • Os princípios de engenharia segura foram implementados, incluindo ambientes de desenvolvimento seguros, testes de segurança, uso de dados de teste e testes de aceitação do sistema?
  • Algum desenvolvimento de software terceirizado é gerido e monitorizado?

19. Controlos de Segurança

  • As políticas de segurança da informação que fornecem orientação de gestão são delineadas e revistas regularmente?
  • Foi criada uma estrutura de gestão para controlar a implementação e gestão da segurança dentro da organização, incluindo a atribuição de responsabilidades e a segregação de funções conflitantes?
  • São mantidos contactos apropriados com autoridades e grupos de interesses especiais?
  • A segurança da informação é abordada nos projetos?
  • Existe uma política de dispositivos móveis e uma política de teletrabalho em vigor?
  • O departamento de recursos humanos está sujeito a triagem e possui termos e condições de emprego que definem as responsabilidades de segurança da informação do pessoal?
  • Os funcionários são obrigados a aderir às políticas e procedimentos de segurança da informação, recebem consciencialização e formação, e há processo disciplinar?
  • As responsabilidades e deveres de segurança da informação são divulgados e aplicados aos funcionários que se demitem ou que mudam de emprego?
  • Existe um inventário de ativos associados à informação e ao processamento da informação, foram atribuídos proprietários de ativos e estão definidas regras para a utilização aceitável de ativos e para a devolução de ativos?
  • A informação está classificada e devidamente rotulada e foram definidos procedimentos para o tratamento dos ativos de acordo com a sua classificação?
  • Existem procedimentos para remoção, descarte e transferência de mídias contendo informações?
  • Foi criada e revista uma política de controlo de acesso e o acesso dos utilizadores à rede é gerido de acordo com a política?
  • Existe um processo formal de registo de utilizadores que atribui e revoga o acesso e os direitos de acesso a sistemas e serviços, e os direitos de acesso são regularmente revistos e removidos após a cessação do contrato de trabalho?
  • Os direitos de acesso privilegiado são restritos e controlados, as informações de autenticação secreta são controladas e os utilizadores são informados sobre as práticas de uso?
  • O acesso às informações é restrito de acordo com a política de controlo de acesso e o acesso é controlado por meio de um procedimento de login seguro?
  • Os sistemas de gestão de senhas são interativos e exigem o uso de uma senha de qualidade?
  • O uso de programas utilitários e o acesso ao código-fonte do programa são restritos?
  • Existe uma política para o uso de criptografia e gestão de chaves?
  • Existem políticas e controlos para evitar o acesso físico não autorizado e danos às informações e aos recursos de processamento de informações?
  • Existem políticas e controlos em vigor para evitar perdas, danos, roubo ou comprometimento de ativos e interrupções nas operações?
  • Os procedimentos operacionais estão documentados e as alterações na organização, nos processos de negócio e nos sistemas de informação são controladas?
  • Os recursos são monitorizados e são feitas projeções das necessidades futuras de capacidade?
  • Existem políticas e acordos em vigor para proteger os ativos de informação que são acessíveis aos fornecedores, e o nível acordado de segurança da informação e prestação de serviços é monitorizado e gerido, incluindo alterações na prestação de serviços?
  • Existe uma abordagem consistente para a gestão de incidentes e fraquezas de segurança, incluindo a atribuição de responsabilidades, relatórios, avaliação, resposta, análise e recolha de provas?
  • A continuidade da segurança da informação está incorporada no sistema de gestão de continuidade de negócios, incluindo a determinação de requisitos em situações adversas, procedimentos e controlos, e verificação de eficácia?
  • Os recursos de processamento de informações são implementados com redundância para atender aos requisitos de disponibilidade?
  • Todos os requisitos legislativos, estatutários, regulatórios e contratuais e a abordagem para atender a esses requisitos foram definidos para cada sistema de informação e organização, incluindo, mas não limitado a, procedimentos para direitos de propriedade intelectual, proteção de registos, privacidade e proteção de informações pessoais e regulamentação de controles criptográficos?
  • Existe uma revisão independente da segurança da informação?
  • Os gestores analisam regularmente a conformidade do processamento de informações e dos procedimentos dentro das suas áreas de responsabilidade?
  • Os sistemas de informação são revistos regularmente quanto à conformidade técnica com políticas e padrões?o

Conclusão

A segurança dos dados desempenha um papel crucial na construção e manutenção da reputação e da confiança nos negócios. Estar em conformidade com os rigorosos padrões da ISO 27001 não é apenas um ponto de partida sólido para atingir esse objetivo, mas também representa um compromisso sólido com a segurança da informação. 

Ao procurar e manter essa conformidade, a sua organização não apenas reforça a sua posição no mercado, mas também demonstra um alto grau de responsabilidade e cuidado na gestão de informações críticas, o que fortalece a confiança dos clientes, parceiros e stakeholders, estabelecendo uma base sólida para o sucesso a longo prazo.

Próximos Passos

Contacte-nos já sem qualquer compromisso e descubra como podemos ajudar a proteger as informações da sua empresa.

Para mais informações contacte-nos.

MORADA

Rua Soares dos Reis, nº765 – 3
4400 – 317 Vila Nova de Gaia
Portugal

 

TELEFONE

+351 932 942 000 (custo de chamada para rede móvel nacional)

+351 223 744 827(custo de chamada para rede fixa nacional)

 

EMAIL

info@wesecure.pt

Artigos recentes