informationssicherheit-kmu-dqs-mann in pullover mit kapuze sitzt konzentriert am laptop umgeben von mehreren desktops

Segurança da informação para PMEs

André Säckel

Especialista da DQS em Segurança da Informação
jul. 05 , 2024
# Segurança da informação em uma organização

Indústria 4.0, digitalização e inteligência artificial: é difícil imaginar a vida profissional quotidiana sem fluxos de dados digitais. Não importa quão pequena ou grande seja a sua empresa, a que indústria pertence, ou se opera internacionalmente ou não, o tema da segurança da informação diz respeito a todos. As pequenas e médias empresas (PME), em particular, devem, portanto, ver a revisão da norma internacional para sistemas de gestão de segurança da informação ISO 27001 a partir de 2022 como uma oportunidade.

CONTENTE

Segurança da informação para PMEs

Os tempos mudaram – e também os requisitos de segurança cibernética para as PME. Muitas PME estão a crescer rapidamente e estão frequentemente entre os líderes de mercado nos seus setores. Portanto, eles têm uma necessidade correspondentemente alta de proteger seu know-how e segredos comerciais - mas, em princípio, todos os seus dados e informações - contra acesso não autorizado.

Tomar medidas para esta proteção necessária pode ser uma questão complexa que requer uma abordagem sistemática.

No entanto, devido aos seus recursos limitados, as PME raramente dispõem dos meios necessários para segurança da informação no nível corporativo - mesmo que estejam cientes dos riscos de segurança no quadro geral da tecnologia da informação e da segurança de dados. A escassez de especialistas no setor de TI e os enormes custos de funcionamento do seu próprio Centro de Operações de Segurança (SOC) são apenas dois dos muitos problemas que impedem as PME de otimizar a sua cibersegurança.

Isto é ainda mais problemático porque as PME enfrentam ataques crescentes de criminosos cibernéticos, sobretudo devido à situação geopolítica tensa e ao aumento dos ataques à cadeia de abastecimento. O espectro varia desde ransomware enviado em massa até ataques profissionais direcionados contra empresas individuais. Os invasores também utilizam cada vez mais os serviços de nuvem como vetor, que as PME (têm de) utilizar com especial frequência por razões de custo e eficiência.

Uma pesquisa realizada pela companhia de seguros alemã Versicherungen do HDI em 2024 revelou que 53% das pequenas e médias empresas já foram alvo de um ataque cibernético. No entanto, este número não reflete toda a extensão dos ataques, mas apenas documenta os incidentes que as empresas admitem publicamente.

Uma empresa conta como PME (pequena e média empresa) se não tiver mais de 249 trabalhadores e gerar um volume de negócios anual não superior a 50 milhões de euros ou tiver um balanço total não superior a 43 milhões de euros. Esta é a definição da Comissão Europeia a partir de 06 de maio de 2003.

Esta impressão é confirmada pelo alemão " Estudo de PME Gothaer 2024 ", segundo o qual o cibercrime representa o risco mais elevado para 48% das PME. De acordo com o estudo, 37% das pequenas empresas também esperam que o risco de serem vítimas de um ataque cibernético aumente ainda mais nos próximos doze meses. Isto não inclui aqueles riscos de segurança da informação que não provêm da rede, mas são de natureza interna, principalmente pessoal, e desempenham um papel significativo no contexto da segurança abrangente da informação.

ISO 27001 para pequenas empresas

Como responsável pela segurança da informação (ISO) e responsável pela proteção de dados de uma pequena ou média empresa, hoje em dia dificilmente tem escolha: tem de garantir a segurança de dados e informações sensíveis. Não se trata apenas de segurança da tecnologia da informação. Medidas estruturais, procedimentos e processos organizacionais e requisitos de pessoal também devem ser levados em consideração. O fator humano também desempenha um papel central na segurança da informação e deve ser tido em conta em conformidade.

A norma ouro para o sistema de segurança da informação é a norma internacional ISO/IEC 27001 . Ele fornece uma base de testes estabelecida e diretrizes para a implementação de sistemas de gerenciamento de segurança da informação (SGSI) – para empresas, independentemente de sua estrutura organizacional, orientação ou tamanho. Anexo A do nova ISO/IEC 27001:2022, que em sua forma atualizada aborda todos os aspectos da segurança da informação - desde medidas organizacionais até medidas pessoais e físicas até medidas técnicas de segurança - oferece uma boa introdução para pequenas empresas.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO 27001:2022

44 perguntas de usuários e respostas de especialistas

"O novo" para segurança da informação: detalhes úteis sobre a ISO 27001 revisada de usuários e especialistas em normas:

  • Qual é o problema com os novos controles?
  • O que precisa ser considerado em relação à orientação do processo?
  • Quando devemos mudar para a nova norma?
  • ... e muito mais
Descubra o FAQ gratuitamente

Maior segurança de TI para PMEs graças a novos controles

A natureza pragmática do Anexo A por si só torna a ISO 27001 uma boa escolha para pequenas empresas. Compreende um total de 93 medidas (controles) de segurança da informação, 11 das quais foram introduzidas recentemente na última atualização em 2022.

Os novos controlos centram-se principalmente na segurança dos dados e das estruturas no domínio digital e, portanto, oferecem orientações valiosas que podem melhorar significativamente a segurança da informação para as PME. Aqui está uma visão geral de alguns dos novos recursos e como as pequenas empresas podem se beneficiar deles:

  • 5.7 Inteligência contra ameaças, 8.16 Monitoramento de atividades, 8.23 Filtragem da Web
    Esses controles para a detecção, prevenção, e o reconhecimento atempado dos ataques cibernéticos pode ser de importância quase existencial para as PME em termos de segurança e Gestão de Continuidade de Negócios. As pequenas empresas não são apenas vulneráveis ao cibercrime devido aos seus recursos limitados, mas também podem atingir rapidamente o ponto de insolvência geral em caso de ransomware.
  • 5.23 Segurança da informação para uso de serviços em nuvem
    Como as PME utilizam frequentemente serviços de nuvem externos, a implementação de processos adequados para adquirir, utilizar, gerir e sair de serviços de nuvem é particularmente relevante. A medida também tem em conta as responsabilidades entre o fornecedor de serviços de nuvem e a organização que utiliza a nuvem para segurança na nuvem.
  • 5.30 Preparação das TIC para continuidade dos negócios
    A continuidade dos negócios também é essencial para as pequenas empresas, como parte de cadeias de abastecimento, por vezes profundamente integradas, e para manter as perdas financeiras ao mínimo. O controle “ICT Readiness for Business Continuity” ajuda a criar uma estrutura organizacional adequada em caso de incidente e planos de continuidade de TIC, incluindo procedimentos de resposta e recuperação.
  • 8.9 Gerenciamento de configuração
    A operação segura e de alto desempenho dos cenários modernos de TI depende, em grande medida, da configuração adequada de todos os sistemas, componentes e aplicativos envolvidos. O bom para a segurança de TI das pequenas empresas: uma vez configurados, os processos de monitoramento podem ser implementados em sua maior parte automaticamente, gerando quase nenhum custo adicional de pessoal. O gerenciamento de configurações seguras na tecnologia da informação insere-se na área das medidas tecnológicas ou técnicas.
  • 8.10 Exclusão de informações, 8.11 Mascaramento de dados, 8.12 Prevenção de vazamento de dados
    As PME criam frequentemente um nicho para si próprias no mercado através da sua experiência única. Este conhecimento especial é a chave do seu sucesso e, portanto, vale a pena protegê-los. As medidas técnicas em segurança da informação ajudam as empresas a evitar fluxos de dados indesejados e perda de dados e minimizar a superfície de ataque para hackers e espionagem industrial.

Os controles constantes do Anexo A da ISO 27001 são de grande valor para as PME, especialmente à luz da próxima diretiva NIS 2 para a cibersegurança industrial na UE.

NIS2: Por que razão as PMEs precisam reforçar a sua segurança da informação

A União Europeia publicou a nova versão da Diretiva Segurança das Redes e da Informação (NIS) no final de 2022. A NIS2 impõe novos requisitos de segurança da informação às empresas de setores críticos e também afetará muitas PMEs no que diz respeito à proteção de dados e estruturas de TI.

De acordo com a diretiva NIS2, as empresas com 50 ou mais trabalhadores e um volume de negócios de 10 milhões de euros dos setores relevantes devem cumprir os requisitos. As PMEs são empresas com até 249 trabalhadores e um volume de negócios de 50 milhões de euros, pelo que são diretamente afetadas. No entanto, é importante compreender que mesmo as empresas mais pequenas também podem ser indiretamente afetadas pelas SRI2 através da cadeia de abastecimento, ou seja, como fornecedores de uma empresa afetada. Na implementação específica do país, que entrará em vigor em 17 de outubro de 2024, estes limites também podem ser reduzidos ainda mais.

As PMEs não dispõem de muito tempo para se prepararem para os novos requisitos. A boa notícia: com a ISO 27001, as pequenas empresas podem dar um grande passo na direção certa, pois a norma já cobre grande parte (aproximadamente 95%) dos requisitos do NIS 2.

Segurança da informação para PMEs – Conclusão

À luz dos atuais cenários de ameaça, as pequenas e médias empresas (PMEs), as administrações públicas e as autoridades locais também devem implementar um sistema de gestão da segurança da informação de acordo com as normas internacionalmente reconhecida ISO 27001 e considere certificação. A vantagem de um Sistema de gestão eficaz  reside não apenas no catálogo abrangente e aprofundado de requisitos, mas também - e isto é particularmente interessante para as PMEs - no Anexo A explicitamente orientado para a prática, que enumera 93 medidas de segurança (controles) em quatro capítulos na nova edição de 2022.

questions-answers-dqs-question mark on wooden dice on table

Alguma pergunta?

Nós estamos aqui para te ajudar

Entre em contato conosco! Sem compromisso e gratuitamente.

Contate-nos

No que diz respeito à segurança da informação para as PME, não só aumenta a necessidade de implementar e certificar um SGSI completo de acordo com a ISO 27001 - basta olhar para o NIS-2 - mas os requisitos estruturais também mudaram fundamentalmente em alguns casos. Isto porque hoje muitas PMEs já possuem um sistema de gestão da qualidade certificado de acordo com a ISO 9001, o que significa que as bases para um sistema de gestão Integrado juntamente com a ISO 27001 já estão em vigor, economizando tempo, pessoas e custos. A ISO 27001 para pequenas empresas está, portanto, ao nosso alcance.

 

Em boas mãos com a DQS

Nossas auditorias de certificação fornecem clareza. A visão externa holística e neutra de pessoas, processos, sistemas e resultados mostra o quão eficaz é o seu sistema de gestão e como ele é implementado e controlado. É importante para nós que você perceba a nossa auditoria não como um exame, mas como um enriquecimento para o seu sistema de gestão.

Nossa abordagem sempre começa onde os checklists de auditoria terminam. Perguntamos especificamente “por quê” porque queremos entender as razões pelas quais você escolheu uma forma de implementação. Nós nos concentramos no potencial de melhoria e incentivamos uma mudança de perspectiva. Essa abordagem completa garante que você identificará áreas viáveis para melhoria contínua em seu sistema de gestão.

Dica de leitura: Informações documentadas

A velocidade com que a informação é distribuída e processada é um grande desafio nas organizações atuais. A diversidade de informação torna cada vez mais difícil identificar a informação crucial que é relevante para a organização e o seu sistema de gestão.

Ao mesmo tempo, a utilização de meios de comunicação modernos para controlar informação documentada está dando origem a aspectos inteiramente novos. Disponibilidade, integridade e confidencialidade estão, portanto, tornando-se cada vez mais importantes. Contudo, à medida que o grau de disponibilidade aumenta, a segurança da informação diminui, a menos que sejam tomadas medidas de proteção adequadas.

Confiança e experiência

Nossos textos e folhetos são escritos exclusivamente por nossos especialistas em normas ou auditores de longa data. Se você tiver alguma dúvida sobre o conteúdo do texto ou sobre nossos serviços prestados ao nosso autor, entre em contato conosco.

Autor
André Säckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista nas normas para a área de segurança da informação e catálogo de segurança de TI (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicas da indústria, entre outras: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automotiva). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Eventos e artigos relevantes

Você também pode se interessar por
Blog
autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Auditoria de cibersegurança de veículos

Leia mais
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Lições aprendidas com a ISO 27001 – um estudo de caso da ENTERBRAIN Software

Leia mais
Blog
Mixing console in a recording studio with sliders at different heights

Gestão da configuração na segurança da informação

Leia mais

Alguma pergunta?

Estamos aqui para você
Contate-nos