Por que uma empresa que trabalha com clientes precisa de uma certificação ISO 27001 e o que é necessário para consegui-la?
Recentemente, a TÜV AUSTRIA confirmou que o sistema de gerenciamento de
segurança da informação que aplicamos usando a infraestrutura Kaspersky
Security Network (KSN) está alinhado com o padrão ISO/IEC 27001:2013 na
entrega de arquivos maliciosos e suspeitos. A TÜV também confirmou o
armazenamento seguro e o acesso a esses arquivos no Sistema de arquivos
distribuídos da Kaspersky Lab (KLDFS). Vamos explicar o que é a
certificação ISO/IEC 27001:2013.
O que é o ISO 27001?
A ISO 27001 é um padrão internacional com requisitos para a criação, manutenção e desenvolvimento de sistemas de gerenciamento de segurança da informação. Essencialmente, é uma coleção de práticas recomendadas que abordam medidas de gerenciamento de segurança para proteger informações e garantir aos clientes a proteção de seus dados.Para realizar a certificação, uma entidade independente – no nosso caso, a TÜV AUSTRIA – envia auditores cujo objetivo principal é verificar como os processos que fornecem cibersegurança cumprem as melhores práticas. Durante a auditoria, eles avaliam processos em vários departamentos (incluindo RH, TI, P&D e segurança) e compilam um relatório abrangente, que outros especialistas independentes analisam para confirmar a imparcialidade dos auditores. Por fim, a organização independente emite um certificado que, no nosso caso, confirma que o sistema de gerenciamento de segurança da informação está em conformidade com as melhores práticas.
O que é “certificado”?
Nossos clientes estão interessados principalmente se fornecemos o maior nível de segurança possível para processos de envio de objetos (arquivos) maliciosos e suspeitos, para análise automática e manual adicional por nossos especialistas, e se armazenamos esses objetos de maneira confiável. Essa área é central para qualquer empresa de antivírus. Portanto, buscamos a certificação dos mecanismos de envio de arquivos maliciosos e suspeitos, usando a infraestrutura do Kaspersky Security Network e seu armazenamento seguro no Kaspersky Lab Distributed File System. No entanto, o auditor não se restringiu apenas a essa área. Muitos serviços na empresa são organizados de maneira semelhante.Muitos fatores afetam a segurança de qualquer processo, e os sistemas de gerenciamento de segurança da informação podem ajudar a defini-los e fornecer proteção oportuna. Várias questões no gerenciamento de cibersegurança podem ser consideradas fundamentais. Quem tem acesso a sistemas de informação e dados críticos? Como se deu o processo de candidatura de emprego? Como os funcionários trabalham com documentos e sistemas de informação? Como a equipe de segurança lida com a revogação de permissões de acesso quando um funcionário sai? Qual é o grau de conscientização dos funcionários sobre possíveis ciberameaças e meios de proteção contra eles? Como os administradores trabalham com computadores executando operações críticas?
O sistema de proteção também considera novos tipos de ameaças e neutralizações. Por exemplo, proteção contra ataques de APT, o que combate os possíveis riscos do uso de novas tecnologias, incluindo o uso de algoritmos de aprendizado de máquina.
Com o exposto acima, os auditores analisaram a documentação, conversaram com funcionários de vários departamentos e analisaram os aspectos técnicos e organizacionais da proteção de dados, como os processos de recrutamento, demissão e treinamento. Eles estudaram como o serviço de TI mantém a rede corporativa e visitaram nossos data centers. Também observaram como os funcionários trabalham, verificaram se eram deixados documentos impressos e mídias removíveis espalhados pelo escritório e se bloquearam os computadores quando estavam longe de suas mesas, bem como monitores e painéis, e que tipos de programas eles costumavam trabalhar. Em outras palavras, eles analisaram as práticas que se aplicam a toda a empresa, prestando atenção especial à verificação dos processos do sistema de gerenciamento de segurança da informação: análise de segurança por gerenciamento, mitigação de riscos, gestão de incidentes, ações corretivas, auditorias, tudo isso garantindo a conscientização da cibersegurança dos funcionários e manutenção da continuidade dos negócios.
O que vem por aí?
Agora, os clientes preocupados podem se familiarizar com o certificado, que representa a opinião de especialistas independentes. As perguntas sobre a certificação ISO 27001 surgem com muita frequência, especialmente quando uma empresa empreendedora está escolhendo um provedor de segurança, porque serviços certificados estão envolvidos na maioria de nossas soluções.O trabalho não para por aqui. Somos certificados a cada três anos. Isso significa mais auditorias para provar a propriedade do certificado. Além disso, os auditores realizam verificações anuais.
Você pode encontrar mais informações sobre o certificado (em inglês) no seguinte link: https://www.kaspersky.com/about/iso-27001
Nenhum comentário:
Postar um comentário