O que é a certificação ISO 27001 e porque precisamos dela

Por que uma empresa que trabalha com clientes precisa de uma certificação ISO 27001 e o que é necessário para consegui-la?

Por que uma empresa que trabalha com clientes precisa de uma certificação ISO 27001 e o que é necessário para consegui-la?

Recentemente, a TÜV AUSTRIA confirmou que o sistema de gerenciamento de segurança da informação que aplicamos usando a infraestrutura Kaspersky Security Network (KSN) está alinhado com o padrão ISO/IEC 27001:2013 na entrega de arquivos maliciosos e suspeitos. A TÜV também confirmou o armazenamento seguro e o acesso a esses arquivos no Sistema de arquivos distribuídos da Kaspersky Lab (KLDFS). Vamos explicar o que é a certificação ISO/IEC 27001:2013.

O que é o ISO 27001?

A ISO 27001 é um padrão internacional com requisitos para a criação, manutenção e desenvolvimento de sistemas de gerenciamento de segurança da informação. Essencialmente, é uma coleção de práticas recomendadas que abordam medidas de gerenciamento de segurança para proteger informações e garantir aos clientes a proteção de seus dados.

Para realizar a certificação, uma entidade independente – no nosso caso, a TÜV AUSTRIA – envia auditores cujo objetivo principal é verificar como os processos que fornecem cibersegurança cumprem as melhores práticas. Durante a auditoria, eles avaliam processos em vários departamentos (incluindo RH, TI, P&D e segurança) e compilam um relatório abrangente, que outros especialistas independentes analisam para confirmar a imparcialidade dos auditores. Por fim, a organização independente emite um certificado que, no nosso caso, confirma que o sistema de gerenciamento de segurança da informação está em conformidade com as melhores práticas.

O que é “certificado”?

Nossos clientes estão interessados ​​principalmente se fornecemos o maior nível de segurança possível para processos de envio de objetos (arquivos) maliciosos e suspeitos, para análise automática e manual adicional por nossos especialistas, e se armazenamos esses objetos de maneira confiável. Essa área é central para qualquer empresa de antivírus. Portanto, buscamos a certificação dos mecanismos de envio de arquivos maliciosos e suspeitos, usando a infraestrutura do Kaspersky Security Network e seu armazenamento seguro no Kaspersky Lab Distributed File System. No entanto, o auditor não se restringiu apenas a essa área. Muitos serviços na empresa são organizados de maneira semelhante.

Muitos fatores afetam a segurança de qualquer processo, e os sistemas de gerenciamento de segurança da informação podem ajudar a defini-los e fornecer proteção oportuna. Várias questões no gerenciamento de cibersegurança podem ser consideradas fundamentais. Quem tem acesso a sistemas de informação e dados críticos? Como se deu o processo de candidatura de emprego? Como os funcionários trabalham com documentos e sistemas de informação? Como a equipe de segurança lida com a revogação de permissões de acesso quando um funcionário sai? Qual é o grau de conscientização dos funcionários sobre possíveis ciberameaças e meios de proteção contra eles? Como os administradores trabalham com computadores executando operações críticas?

O sistema de proteção também considera novos tipos de ameaças e neutralizações. Por exemplo, proteção contra ataques de APT, o que combate os possíveis riscos do uso de novas tecnologias, incluindo o uso de algoritmos de aprendizado de máquina.

Com o exposto acima, os auditores analisaram a documentação, conversaram com funcionários de vários departamentos e analisaram os aspectos técnicos e organizacionais da proteção de dados, como os processos de recrutamento, demissão e treinamento. Eles estudaram como o serviço de TI mantém a rede corporativa e visitaram nossos data centers. Também observaram como os funcionários trabalham, verificaram se eram deixados documentos impressos e mídias removíveis espalhados pelo escritório e se bloquearam os computadores quando estavam longe de suas mesas, bem como monitores e painéis, e que tipos de programas eles costumavam trabalhar. Em outras palavras, eles analisaram as práticas que se aplicam a toda a empresa, prestando atenção especial à verificação dos processos do sistema de gerenciamento de segurança da informação: análise de segurança por gerenciamento, mitigação de riscos, gestão de incidentes, ações corretivas, auditorias, tudo isso garantindo a conscientização da cibersegurança dos funcionários e manutenção da continuidade dos negócios.

O que vem por aí?

Agora, os clientes preocupados podem se familiarizar com o certificado, que representa a opinião de especialistas independentes. As perguntas sobre a certificação ISO 27001 surgem com muita frequência, especialmente quando uma empresa empreendedora está escolhendo um provedor de segurança, porque serviços certificados estão envolvidos na maioria de nossas soluções.

O trabalho não para por aqui. Somos certificados a cada três anos. Isso significa mais auditorias para provar a propriedade do certificado. Além disso, os auditores realizam verificações anuais.

Você pode encontrar mais informações sobre o certificado (em inglês) no seguinte link: https://www.kaspersky.com/about/iso-27001

 

Dicas