Como uma mudança de pensamento pode parar 59% dos incidentes de segurança

De acordo com o relatório Experian 2015 Second Annual Data Breach Industry Forecast, o maior número de incidentes de segurança está ocorrendo devido a erros humanos e ataques internos: “… a maioria das violações de dados se origina de dentro das organizações. Empregados e negligência são as principais causas de incidentes de segurança mas permanecem como o assunto menos reportado. De acordo com pesquisa em setores, isto representa 59% dos incidentes de segurança ocorridos no último ano.” A pesquisa também inclui que os executivos estão tradicionalmente focados em resolver os assuntos de segurança através de investimentos em tecnologia, enquanto que violações causadas por pessoas recebem menos atenção.

O que isto significa? Significa que investir apenas em tecnologia não irá resolver a principal causa dos incidentes: o comportamento dos empregados.

A abordagem organizacional para reduzir incidentes de segurança

Então, como você aborda este problema com empregados? A ISO 27001, a norma líder em segurança da informação, oferece uma abordagem menos atrativa, mesmo assim muito mais eficaz, para este problema: (1) definir de forma estrita os processos de segurança, e (2) investir em treinamento & conscientização em segurança.

Os especialistas que desenvolveram esta norma há muito tempo atrás perceberam que a tecnologia por si só não pode resolver os assuntos organizacionais e relacionados a pessoas: tecnologia é apenas uma ferramenta; é apenas uma parte do contexto maior. Ou, para ver este assunto a partir do ponto de vista da teoria da administração, a organização é basicamente uma mistura de três elementos essenciais: pessoas, processos e tecnologia.

Três elementos essenciais

Assim, para resolver os problemas de segurança, além de investir em tecnologia, uma organização deve definir os processos certos e então gerenciar as pessoas de forma adequada. Vejamos como isto é feito de acordo com a ISO 27001.

Definindo os processos de segurança

O primeiro passo ao se definir os processos de segurança (isto é, como a segurança é organizada) é realizar a avaliação de riscos – tal análise informará a você quais incidente potenciais podem ocorrer, e quais tipos de salvaguardas são necessárias para prevenir ou reduzir tais incidentes. (Para saber mais sobre este conceito, veja este artigo: A lógica básica da ISO 27001: Como a segurança da informação funciona?)

Por exemplo, você pode identificar o risco de perder seus dados devido a cópias de segurança inadequadas – contudo, pode ser que você já tenha o software de backup, mas não está claro quem deve configurá-lo (falta de procedimento), e/ou os empregados não sabem como usá-lo (falta de treinamento).

A ISO 27001 sugere 114 salvaguardas (ou controles), que estão organizados nestas 14 seções:

  • Políticas de segurança da informação – controlam como as políticas são escritas e revisadas
  • Organização da segurança da informação – controla como as responsabilidades são designadas; também inclui controles para dispositivos móveis e trabalho remoto
  • Segurança em recursos humanos – controles para antes, durante e depois da contratação
  • Gestão de ativos – controles relacionados ao inventário de ativos e uso aceitável, também para classificação da informação e tratativa de mídias
  • Controle de acesso – controles para política de controle de acesso, gestão de acesso do usuário, controle de acesso a sistemas e aplicações e responsabilidades dos usuários
  • Criptografia – controles relacionados a encriptação e gerenciamento de chaves
  • Segurança física e do ambiente – controles que definem áreas seguras, controles de entrada, proteções contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa, etc.
  • Segurança nas operações – muitos controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, malware, backup, logging, monitoramento, instalações, vulnerabilidades, etc.
  • Segurança nas comunicações – controles relacionados a segurança de redes, segregação, serviços de redes, transferência de informação, mensagens, etc.
  • Aquisição, desenvolvimento e manutenção de sistemas – controles definindo requisites de segurança e segurança nos processos de desenvolvimento e suporte
  • Relacionamentos na cadeia de suprimento – controles sobre o que incluir em acordos; e como monitorar os fornecedores
  • Gestão de incidentes de segurança da informação – controles para o reporte de eventos e fraquezas, definição de responsabilidades, procedimentos de resposta e de coleta de evidências
  • Aspectos da segurança da informação na gestão da continuidade do negócio – controles que requerem o planejamento da continuidade de negócio, procedimentos, verificação e revisão, bem como redundância de TI
  • Conformidade – controles que requerem a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação

Como você notará, uma pequena parte destes controles são relacionados a TI – a maior parte deles está focado em assuntos organizacionais, os quais são resolvidos pela elaboração de várias políticas e procedimentos – por exemplo, Política de uso aceitável, Política de classificação, Política de BYOD, Política de acesso, etc.

Veja este artigo para aprender como decidir quais políticas e procedimentos escrever: Como estruturar os documentos para os controles do Anexo A da ISO 27001.

Treinamento & conscientização em segurança

A regra mais importante sobre treinamento & conscientização é que elas devem ser realizadas em paralelo com a implementação de quaisquer salvaguardas (organizacionais ou baseadas em tecnologia). Por exemplo, se você publica uma nova Política de Classificação sem explicar aos seus empregados porque é importante e como classificar seus documentos, tal política nunca se estabelecerá em sua organização; da mesma forma, se você implementa um novo software para controle de incidentes, sem a conscientização e treinamento ele provavelmente não será muito usado.

A diferença básica entre treinamento e conscientização é a seguinte: o treinamento explica aos seus empregados como realizar uma certa atividade, enquanto que a conscientização se destina a elevar a percepção das pessoas do porquê a atividade é importante – ambas têm importância igual, e devem ser realizadas de forma equilibrada.

Aqui há alguns métodos de treinamento que você pode usar:

  • Cursos – veja este artigo para maiores informações: Como aprender sobre a ISO 27001.
  • Literatura – existem muitos livros de segurança da informação disponíveis, assim como revistas.
  • Participando de fóruns de especialistas na Internet – em alguns destes você pode obter respostas concretas para seus questionamentos – por exemplo, ISO 27001 security.
  • Treinamentos internos – ministrados por especialistas internos, ou por consultores contratados, organismos de certificação ou similares.

Para elevar a conscientização, você pode usar vários métodos:

  • Incluir os empregados no desenvolvimento da documentação
  • Apresentações
  • Artigos em sua intranet ou informativos
  • Discussões em forums internos
  • E-learning
  • Vídeos
  • Mensagens ocasionais via email ou via sua intranet
  • Reuniões
  • Comunicação diária pessoal

Para orientações mais detalhadas sobre estes métodos de conscientização, leia este artigo: Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301.

Uma mudança de pensamento é necessária

É verdade que investir em uma nova e brilhante peça de software e/ou hardware parece ser uma forma muito melhor de se resolver problemas de segurança, e lidar com processos e pessoas é uma coisa muito mais difícil de se fazer.

Mas, o que nós realmente precisamos é de uma mudança de pensamento de “nós resolveremos todos os problemas de segurança comprando tecnologia” para “vamos começar a pensar sobre como usar nossa tecnologia de forma segura” – de outra forma, muito dinheiro continuará sendo gasto em tecnologia para atingir apenas parcialmente o objetivo, enquanto os incidentes apenas se tornarão maiores e maiores. E mais onerosos.

Para ajudá-lo a rastrear e lidar com todos os seus incidentes de segurança, use esta Conformio compliance and cybersecurity platform.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001