Medidas técnicas em segurança da informação

Contente

• Informações corporativas como alvo cobiçado de ataque
• Três novas medidas para mais segurança da informação
• Exclusão de informações
• Mascaramento de dados
• Prevenção de vazamentos de dados
• Medidas técnicas em segurança da informação – uma conclusão
• O que a atualização significa para sua certificação?
• DQS: O seu parceiro competente para segurança da informação certificada

Informações corporativas são alvo de ataque cobiçado

O estudo " Wirtschaftschutz 2022 " ( Proteção Empresarial 2022 ) da associação industrial alemã Bitkom confirma que os hackers estão muito conscientes do valor económico da informação e dos dados no mundo empresarial atual: 36 por cento das empresas inquiridas já foram afetadas pelo roubo de dados sensíveis e informações digitais. Os alvos particularmente populares são os dados de comunicações, com 68%, e os dados dos clientes, com 45%.

Os danos causados por chantagem, violações de patentes e perdas de vendas diretamente atribuíveis ao roubo de dados rondam os vários milhares de milhões de euros anuais.

As empresas e organizações precisam de reforçar ainda mais a proteção ao processar os seus dados críticos. Diretrizes adicionais ajudam a melhorar ainda mais o conceito geral de segurança e a reduzir a superfície de ataque.

Três novas medidas técnicas para mais segurança da informação

As 93 medidas do Anexo A do nova ISO/IEC 27001:2022 foram reorganizados em quatro tópicos :

• Medidas organizacionais
• Medidas pessoais
• Medidas físicas
• Medidas técnicas

As três novas medidas para proteção de informações que veremos com mais detalhes abaixo são da área de tópico "Medidas Técnicas":

• 8.10 Exclusão de informações
• 8.11 Mascaramento de dados
• 8.12 Prevenção de vazamentos de dados

Exclusão de informações

Controle 8,10 pol. ISO 27001 aborda os riscos representados por informações que não são mais necessárias, mas que ainda estão em sistemas de informação, dispositivos ou outros meios de armazenamento. A eliminação destes dados já desnecessários impede a sua divulgação - garantindo o cumprimento dos requisitos legais, estatutários, regulamentares e contratuais para a eliminação de dados.

Ao fazê-lo, as empresas e organizações devem considerar os seguintes pontos:

• Escolher um método de apagamento que seja apropriado à luz do ambiente comercial e jurídico, como substituição eletrônica ou apagamento criptográfico
• Documentação dos resultados
• Fornecimento de evidências ao usar provedores de serviços para excluir informações

Se terceiros assumirem o armazenamento de dados em nome da sua empresa, os requisitos para exclusão deverão ser escritos no contrato para fazer cumprir isso durante e mesmo após o término desses serviços.

Para garantir a remoção confiável de informações confidenciais - garantindo ao mesmo tempo a conformidade com as políticas relevantes de retenção de dados e as leis e regulamentos aplicáveis - a nova norma prevê os seguintes procedimentos, serviços e tecnologias:

• Estabelecimento de sistemas dedicados que permitem a destruição segura de informações, por exemplo, de acordo com políticas de retenção ou a pedido de indivíduos afetados
• Exclusão de versões obsoletas, cópias ou arquivos temporários em todas as mídias de armazenamento
• Uso apenas de software de eliminação aprovado e seguro para remover informações de forma permanente e permanentemente
• Eliminação através de prestadores de serviços de eliminação segura aprovados e certificados
• Usar métodos de descarte apropriados para o meio de armazenamento específico que está sendo descartado, como desmagnetização de discos rígidos.

Ao utilizar serviços em nuvem, é importante verificar a permissibilidade dos procedimentos de apagamento oferecidos. Se isto for fornecido, a organização deve usar o procedimento de exclusão ou solicitar ao provedor de nuvem que exclua as informações. Se possível, estes processos de eliminação devem ser automatizados como parte das diretrizes específicas do assunto.

Para evitar a divulgação inadvertida de informações confidenciais, todo o armazenamento de dispositivos devolvido aos fornecedores deve ser removido antes da devolução. Em alguns dispositivos, como smartphones, a remoção de dados só é possível através da destruição ou de funções internas (por exemplo, restauração das configurações de fábrica). Dependendo da classificação da informação, é importante escolher um procedimento adequado.

Os processos de eliminação deverão ser documentados, consoante a sensibilidade, de forma a poder comprovar a eliminação dos dados em caso de dúvida.

Mascaramento de dados

Para uma série de informações confidenciais, como processamento de dados pessoais, requisitos regulatórios ou específicos da empresa e do setor estipulam o mascaramento, a pseudonimização ou o anonimato das informações. Uma diretriz para essas medidas é fornecida no Controle 8.11.

As técnicas de pseudonimização ou anonimato permitem ocultar dados pessoais, ocultar os dados verdadeiros e ocultar ligações cruzadas de informações. Para implementar isto de forma eficaz, é importante abordar adequadamente todos os elementos relevantes de informações sensíveis.

Embora a anonimização altere os dados de forma irrevogável, no caso da pseudonimização é perfeitamente possível tirar conclusões sobre uma identidade verdadeira através de informações cruzadas adicionais. Portanto, informações cruzadas adicionais devem ser mantidas separadas e protegidas durante o processo de pseudonimização.

Outras técnicas para mascaramento de dados incluem:

• Criptografia
• Zeros ou exclusão de caracteres
• Números e datas diferentes
• Substituição - substituir um valor por outro para ocultar dados confidenciais
• Substituindo valores pelo seu hash

Ao implementar estas Medidas Técnicas de Segurança da Informação, é importante considerar uma série de aspectos: 

• Os usuários não devem ter acesso a todos os dados, mas apenas visualizar os dados de que realmente precisam.
• Em alguns casos, nem todos os dados de um conjunto de dados devem estar visíveis para os usuários. Neste caso, devem ser concebidos e implementados procedimentos de ofuscação de dados. Exemplo: dados do paciente num registo médico que não deve ser visível para todos os funcionários, mas apenas para funcionários com funções específicas relevantes para o tratamento.
• Em alguns casos, a ofuscação dos dados não deve ser aparente para quem acede aos dados (ofuscação da ofuscação) se, por exemplo, puderem ser tiradas conclusões sobre a data real através da categoria de dados (gravidez, análises ao sangue, etc.).
• Requisitos legais ou regulamentares, por exemplo, a exigência de ocultar dados de cartões de pagamento durante o processamento ou armazenamento.

Em geral, o mascaramento, pseudonimização ou anonimato de dados requerem alguns pontos gerais:

• A força do mascaramento, pseudonimização ou anonimato de dados depende em grande parte do uso dos dados processados.
• O acesso aos dados tratados deverá ser assegurado por mecanismos de proteção adequados.
• Consideração de acordos ou restrições relativas ao uso de dados processados.
• Proibir que os dados processados sejam combinados com outras informações para identificar o titular dos dados.
• Rastreie e controle com segurança o fornecimento e o recebimento de dados processados.

Prevenção de vazamento de dados

O Controle 8.12 foi projetado para evitar vazamento de dados e formula medidas específicas a serem aplicadas a todos os sistemas, redes e outros dispositivos que processam, armazenam ou transmitem informações confidenciais. Para minimizar o vazamento de dados confidenciais, as organizações devem considerar o seguinte:

• Identificar e classificar informações, por exemplo, dados pessoais, modelos de preços e designs de produtos
• Monitorar os canais através dos quais os dados podem vazar, como e-mail, transferências de arquivos, dispositivos móveis e dispositivos móveis de armazenamento
• Medidas que evitam o vazamento de dados, por exemplo, colocar em quarentena e-mails contendo informações confidenciais

Para evitar fugas de dados em estruturas de TI modernas e complexas, com a sua multiplicidade de dados diferentes, as organizações também necessitam de ferramentas adequadas para:

• Identificar e monitorar informações confidenciais em risco de divulgação não autorizada, por exemplo, em dados não estruturados no sistema de um usuário
• Detectar divulgações de dados confidenciais, como quando os dados são carregados em serviços de nuvem de terceiros não confiáveis ou enviados por e-mail
• Bloquear ações do usuário ou transferências de rede que exponham informações críticas, como impedir que entradas do banco de dados sejam copiadas para uma planilha

As organizações devem questionar criticamente a necessidade de restringir as permissões dos usuários para copiar, colar ou fazer upload de dados para serviços, dispositivos e mídias de armazenamento fora da organização. Se necessário, também poderá ser necessário implementar ferramentas adequadas para evitar fugas de dados ou configurar adequadamente as tecnologias existentes.

Por exemplo, os usuários podem receber permissão para visualizar e editar dados remotamente, mas não permissão para copiá-los e colá-los fora do controle da sua organização. Se uma exportação de dados ainda for necessária, o proprietário dos dados poderá aprová-la caso a caso e responsabilizar os usuários por atividades indesejadas, se necessário.

A prevenção de fugas de dados também se aplica explicitamente à proteção de informações confidenciais ou segredos comerciais que podem ser utilizados indevidamente para fins de espionagem ou podem ser de vital importância para a comunidade. Neste caso, também devem ser concebidas medidas para confundir os atacantes - por exemplo, substituindo-as por informações falsas, fazendo engenharia social inversa ou utilizando potes de mel para atrair os atacantes.

As fugas de dados podem ser apoiadas por controles de segurança padrão, por exemplo, através de políticas específicas para controle de acesso e gestão segura de documentos (ver também Medidas/Controles 5.12 e 5.15).

Importante ao usar ferramentas de monitoramento

Para proteger suas próprias informações, muitas ferramentas também monitoram inevitavelmente as comunicações e atividades online dos funcionários e mensagens de terceiros. Este monitoramento levanta diversas questões jurídicas que devem ser consideradas antes de utilizar as ferramentas de monitoramento adequadas. É necessário equilibrar o nível de monitoramento com uma variedade de legislação em matéria de privacidade, proteção de dados, emprego, intercepção de dados e telecomunicações.

Medidas técnicas em segurança da informação – uma conclusão.

No contexto geral do objetivos de proteção de segurança da informação de confidencialidade, integridade e disponibilidade, os procedimentos de processamento de dados aqui descritos desempenham um papel fundamental na proteção aprimorada de dados confidenciais.

Com o monitoramento contínuo do fluxo de dados e informações, o mascaramento de informações sensíveis e políticas rigorosas de eliminação de dados, as empresas podem melhorar de forma sustentável a sua proteção contra a fuga e perda de dados - e neutralizar a publicação não intencional de informações críticas. Além disso, os procedimentos contribuem decisivamente para a segurança cibernética em toda a empresa e minimizam a superfície de ataque de hackers e espionagem industrial.

Para empresas e organizações, é agora uma questão de estabelecer os procedimentos e as ferramentas necessárias de forma adequada e integrá-los nos seus processos de negócio, a fim de demonstrar a implementação dos requisitos em conformidade com as normas em futuras auditorias de certificação.

Com a visão profissional de nossos experientes auditores e nossa experiência em certificação de mais de 35 anos, nos recomendamos como seu contato para os temas de segurança da informação e certificação de acordo com ISO 27001 .

O que a atualização significa para sua certificação?

A ISO/IEC 27001:2022 foi publicada em 25 de outubro de 2022. Isso resulta nos seguintes prazos e períodos de transição para os usuários:

Última data para auditorias iniciais e de recertificação de acordo com a “antiga” ISO 27001:2013.

• Após 30 de abril de 2024, a DQS realizará auditorias iniciais e de recertificação apenas de acordo com a nova norma ISO/IEC 27001:2022

Conversão de todos os certificados existentes de acordo com a "antiga" ISO/IEC 27001:2013 para a nova ISO/IEC 27001:2022

• Há um período de transição de três anos a partir de 31 de outubro de 2022
• Os certificados emitidos de acordo com ISO/IEC 27001:2013 ou EN ISO/IEC 27001:2017 são válidos até 31 de outubro de 2025, no máximo, ou devem ser retirados nesta data.

DQS: O seu parceiro competente em questões de segurança da informação certificada

Graças aos períodos de transição, as empresas têm tempo suficiente para adaptar a sua gestão de segurança da informação aos novos requisitos e certificá-la. No entanto, a duração e o esforço de todo o processo de mudança não devem ser subestimados – especialmente se não tiver pessoal especializado suficiente à sua disposição. Se quiser estar do lado seguro, você deve lidar com o problema o mais rápido possível e recorrer a especialistas experientes, se necessário.

Como especialistas em auditoria e certificação com mais de 35 anos de experiência, teremos prazer em apoiá-lo durante um auditoria delta . Descubra com nossos numerosos auditores experientes as mudanças mais importantes e sua relevância para sua organização. Estamos ansiosos para ouvir você.

Confiança e experiência

Nossos textos são escritos exclusivamente por nossos especialistas internos em sistemas de gestão e auditores de longa data. Se você tiver alguma dúvida para o autor, sinta-se à vontade e Contate-nos.