Nenhuma empresa deseja que seus dados ou as informações de seus clientes sejam subtraídas por criminosos virtuais, ou seja, hackers. Mas a procura por serviços na área de cybersecurity (cibersegurança, em português) aumentou drasticamente durante a pandemia do coronavírus.
Isso não ocorreu apenas pela necessidade de adequação à LGPD, mas também pelo risco de vazamento de dados ter se intensificado nos últimos anos. Segundo Global Digital Trust Insights 2021, pesquisa da PwC que reuniu empresas de diferentes países e incluindo o Brasil, 55% dos respondentes aumentarão os investimentos em cibersegurança.
Se você também pretende melhorar a cybersegurity do seu negócio, é crucial conhecer as principais normas sobre o tema, assim você terá uma noção geral das mudanças que serão aplicadas na empresa. Continue lendo este conteúdo para saber tais normas e, após, qual é a relação da cibersegurança com proteção de dados e prevenção de fraudes!
Quais são as principais normas de cybersecurity?
Primeiro entenda que essas normas são padrões ISO/IEC, siglas para Organização Internacional para Padronização (ISO) e Comissão Eletrotécnica Internacional (IEC) em português. Elas não trazem descrições detalhadas a serem seguidas pela empresa, mas fornecem uma estrutura para criar um sistema para aprimorar a qualidade da segurança da informação.
Saiba que existe um grande número de normas relacionadas ao tema, mas nos tópicos seguintes listamos apenas as principais delas.
ISO/IEC 27000
Esse nome se refere a uma família de normas que convergem para o Sistema de Gestão de Segurança da Informação (SGSI), como a ISO/IEC 27001, 27002 e outras que serão explicadas a seguir. No documento você encontrará princípios gerais que norteiam a gestão de segurança, os vocabulários e nomenclaturas a serem utilizadas.
Ressalta-se que a ISO/IEC 2700 pode ser aplicada a entidades de todos os portes e categorias, como empresas comerciais, ONGs, agências do governo, entre outras.
ISO/IEC 27001
A ISO/IEC 27001 informa como a empresa deve estabelecer, implantar, operar, monitorar, avaliar de forma crítica, manter e melhorar o SGSI.
Ela é a única norma da série 27000 passível de certificação acreditada, o que significa que ela tem requisitos que precisam ser aplicados pela empresa. Por isso, seu conteúdo traz as atividades de planejamento, responsabilidades, políticas e procedimentos a serem adotados pela organização.
ISO/IEC 27002
Essa ISO consiste em um código de práticas e conjunto de controles que suplementam a aplicação do SGSI. Por essa razão, é recomendável que ela seja aplicada juntamente à ISO/IEC 27001, mas ela pode ser analisada de forma completamente independente para fins de identificar e adotar boas práticas de cibersegurança.
Além disso, somente esta norma exige certificação profissional a ser realizada por meio da prova EXIN ISO 27002, que ampliará os conhecimentos dos colaboradores de TI no que diz respeito ao tema.
ISO/IEC 27003
Aqui estão listadas as orientações necessárias para aplicação do SGSI na empresa, desde a concepção do projeto até a elaboração dos planos para implantá-lo no campo prático. Basicamente, a ISO/IEC 27003 informa o procedimento a ser realizado para que o SGSI seja bem-sucedido, que engloba etapas como:
- obtenção da aprovação da alta administração para iniciar o projeto;
- definição do escopo, políticas e limites;
- estudo dos requisitos de segurança da informação;
- condução da avaliação de riscos, bem como a forma que eles serão tratados;
- definição do SGSI.
ISO/IEC 27004
A ISO/IEC 27004 define as métricas para gestão de segurança da informação, ou seja, como saber o nível de eficácia das medidas aplicadas. Seu conteúdo é separado em diferentes seções:
- justificativa: explica a importância da medição;
- características: explica o que deve ser medido, quem deve fazê-lo e quando;
- tipos de medidas: lista medidas de desempenho eficientes e eficazes;
- processos: mostra como desenvolver, implementar e aplicar métricas;
- anexos: são 3 anexos que trazem modelos de medição, exemplos de métricas e fórmulas matemáticas.
ISO/IEC 27005
Essa norma é voltada à gestão de riscos, mas ela não especifica, recomenda ou cita um método de gestão específico. A maior parte da ISO/IEC 27005 é composta de anexos com exemplos de riscos e informações adicionais. O restante de seu conteúdo é dedicado a informar os profissionais como:
- definir o contexto da gestão de risco, como obrigações, abordagens, tolerâncias etc.;
- avaliar riscos de informações de forma qualitativa e quantitativa;
- tratar os riscos para deixá-los em um nível aceitável;
- manter as pessoas interessadas ao longo do processo;
- monitorar e analisar riscos, bem como responder apropriadamente a mudanças significativas.
ISO/IEC 27006
A ISO/IEC 27006 é voltada para empresas que trabalham com a certificação de sistemas de gestão e auditorias no contexto de Information Security Management System (ISMS), verificando se a organização está de acordo com a ISO/IEC 27001.
Em suma, a norma traz como desenvolver e operar um programa que medirá a cibersegurança da empresa. Outro tópico importante da ISO é ensinar como a empresa pode se proteger da criação de diferentes formas de ataques cibernéticos que surgem periodicamente.
ISO 27701
Publicada em agosto de 2019, a ISO 27701 — Sistema de Gestão de Segurança Privada — estende a norma ISO 27001 com o objetivo de faze com que as empresas se adaptem à LGPD. Ela foi escrita com base na GDPR (norma equivalente à LGPD na Europa) e inclui os controles referente à gestão da privacidade dos dados, também encontrado como Privacy Information Management System (PIMS).
O estabelecimento do PIMS traz um grande número de benefícios ao negócio, como:
- aumenta a confiança de clientes, parceiros, fornecedores, colaboradores, entre outros ao mostrar que a empresa se preocupa com a proteção de dados;
- deixa claro aos envolvidos os papéis e responsabilidades de cada envolvido no processo;
- aprimora a competência e consciência dos colaboradores sobre a importância da segurança e privacidade dos dados;
- melhora os procedimentos internos, minimizando risco e vazamento de dados;
- fornece transparência nos controles estabelecidos para gestão da privacidade;
- atende as principais exigências da LGPD;
- possibilita integração fácil com o SGSI.
Qual é a relação da cibersegurança com a proteção de dados e prevenção de fraudes?
A cibersegurança faz parte da segurança da informação (que engloba proteção do ambiente físico e virtual) e está ligada a diferentes formas de salvaguardar dados corporativos, como proteção de informações e prevenção de fraudes.
Segundo a LGPD, o simples não cumprimento da lei pode acarretar sanções que vão desde advertências a até o bloqueio das atividades de tratamento de dados ou multas que podem chegar a 50 milhões. Se houver vazamento que gere dano material ou moral a um titular, este ainda pode fazer uso do Código Civil e/ou Código Penal para obter indenizações.
Caso um processo seja levado às últimas instâncias, a Constituição Federal também tem cláusulas que visam proteger a privacidade, o que significa que a organização que descumpriu a lei arque com ainda mais consequências.
Quando a empresa investe na cibersegurança, ela minimiza a probabilidade de ocorreram fraudes ou vazamento de dados, ataques virtuais e muitos outros problemas. Por isso, esse investimento impacta diretamente na sua confiança perante seus clientes, parceiros nacionais e internacionais, setor público e mais.
Você pode entender melhor como esse tema, você pode conferir uma conversa entre a IRKO e Charles Wowk sobre a LGPD, governança, ataques cibernéticos, relações internacionais e mais.
Implementar e melhorar a cybersecurity trará um grande número de vantagens para o negócio, incluindo aumento de sua competitividade no mercado. No entanto, é fundamental contar com uma equipe de consultores especializados, experientes e capacitados na área.
Quer potencializar a cibersegurança do seu negócio? Entre agora mesmo em contato com a IRKO para saber como ela pode ajudá-lo nessa questão!