Medidas técnicas de segurança da informação

Conteúdo

• A informação empresarial como um alvo cobiçado de ataques
• Três novas medidas para uma maior segurança da informação
• Eliminação de informações
• Ocultação de dados
• Prevenção de fugas de dados
• Medidas técnicas de segurança da informação - uma conclusão
• O que significa a actualização para a sua certificação?
• DQS: O seu parceiro competente para a segurança da informação certificada

A informação empresarial é um alvo cobiçado de ataques

O estudo"Wirtschaftsschutz 2022"(Proteção Empresarial 2022) da associação industrial alemã Bitkom confirma que os piratas informáticos estão muito conscientes do valor económico da informação e dos dados no mundo empresarial atual: 36% das empresas inquiridas já foram afectadas pelo roubo de dados sensíveis e de informação digital. Os alvos mais populares são os dados de comunicação, com 68%, e os dados dos clientes, com 45%.

Os danos causados por chantagem, violação de patentes e perda de vendas directamente atribuíveis ao roubo de dados são da ordem de vários milhares de milhões de euros por ano.

As empresas e organizações precisam de reforçar ainda mais a protecção no tratamento dos seus dados críticos. As directrizes adicionais ajudam a melhorar ainda mais o conceito global de segurança e a reduzir a superfície de ataque.

Três novas medidas técnicas para uma maior segurança da informação

As 93 medidas do Anexo A da nova ISO/IEC 27001:2022 foram reorganizadas em quatro tópicos:

• Medidas organizacionais
• Medidas pessoais
• Medidas físicas
• Medidas técnicas

As três novas medidas de proteção da informação que analisaremos mais detalhadamente a seguir são da área temática "Medidas técnicas":

• 8.10 Eliminação de informações
• 8.11 Ocultação de dados
• 8.12 Prevenção de fugas de dados

Supressão de informações

O controlo 8.10 da norma ISO 27001 aborda os riscos colocados por informações que já não são necessárias, mas que ainda se encontram em sistemas de informação, dispositivos ou outros suportes de armazenamento. A eliminação destes dados já desnecessários impede a sua divulgação - garantindo a conformidade com os requisitos legais, estatutários, regulamentares e contractuais para a eliminação de dados.

Ao fazê-lo, as empresas e organizações devem considerar os seguintes pontos:

• Escolha de um método de eliminação que seja adequado à luz do ambiente empresarial e jurídico, como a substituição electrónica ou a eliminação criptográfica
• Documentação dos resultados
• Apresentação de provas quando se recorre a prestadores de serviços para apagar informações

Se terceiros assumirem o armazenamento de dados em nome da sua empresa, os requisitos para a eliminação devem ser incluídos no acordo contractual para que tal seja aplicado durante e mesmo após a cessação desses serviços.

Para garantir a remoção fiável de informações sensíveis - assegurando simultaneamente o cumprimento das políticas de retenção de dados relevantes e das leis e regulamentos aplicáveis - a nova norma prevê os seguintes procedimentos, serviços e tecnologias:

• Estabelecimento de sistemas dedicados que permitam a destruição segura de informações, por exemplo, de acordo com as políticas de retenção ou a pedido das pessoas afectadas
• Eliminação de versões obsoletas, cópias ou ficheiros temporários em todos os suportes de armazenamento
• Utilização exclusiva de software de apagamento aprovado e seguro para remover informações de forma permanente e definitiva
• Eliminação através de fornecedores de serviços de eliminação segura aprovados e certificados
• Utilização de métodos de eliminação adequados ao suporte de armazenamento específico que está a ser eliminado, como a desmagnetização de discos rígidos

Ao utilizar serviços de nuvem, é importante verificar a permissibilidade dos procedimentos de eliminação oferecidos. Se tal for concedido, a organização deve utilizar o procedimento de apagamento ou solicitar ao fornecedor de serviços de computação em nuvem que apague as informações. Se possível, estes processos de apagamento devem ser automatizados como parte das directrizes específicas para cada assunto.

Para evitar a divulgação inadvertida de informações sensíveis, todo o armazenamento de dispositivos devolvido aos fornecedores deve ser removido antes da devolução. Nalguns dispositivos, como os smartphones, a remoção de dados só é possível através da destruição ou de funções internas (por exemplo, a reposição das definições de fábrica). Dependendo da classificação da informação, é importante escolher um procedimento adequado.

Os processos de eliminação devem ser documentados, consoante a sensibilidade, para que seja possível provar a eliminação dos dados em caso de dúvida.

Ocultação de dados

Para uma série de informações sensíveis, como o processamento de dados pessoais, os requisitos regulamentares ou específicos da empresa e do sector estipulam a ocultação, a pseudonimização ou a anonimização das informações. Uma directriz para estas medidas é fornecida no Controlo 8.11.

As técnicas de pseudonimização ou anonimização permitem ocultar dados pessoais, ocultar os dados verdadeiros e ocultar ligações cruzadas de informação. Para implementar isto eficazmente, é importante abordar adequadamente todos os elementos relevantes da informação sensível.

Enquanto a anonimização altera os dados de forma irrevogável, no caso da pseudonimização é perfeitamente possível tirar conclusões sobre uma identidade verdadeira através de informações cruzadas adicionais. Por conseguinte, as informações cruzadas adicionais devem ser mantidas separadas e protegidas durante o processo de pseudonimização.

Outras técnicas de mascaramento de dados incluem:

• Encriptação
• Zeros ou eliminação de caracteres
• Números e datas diferentes
• Substituição - substituição de um valor por outro para ocultar dados sensíveis
• Substituição de valores pelo seu hash

Ao implementar estas Medidas Técnicas de Segurança da Informação, é importante ter em conta uma série de aspectos:

• Os utilizadores não devem ter acesso a todos os dados, mas apenas aos dados de que realmente necessitam.
• Em alguns casos, nem todos os dados de um conjunto de dados devem ser visíveis para os utilizadores. Neste caso, devem ser concebidos e aplicados procedimentos de ofuscação dos dados. Exemplo: dados de um doente num registo médico que não devem ser visíveis para todo o pessoal, mas apenas para os funcionários com funções específicas relevantes para o tratamento.
• Em alguns casos, a ocultação de dados não deve ser visível para quem acede aos dados (ocultação da ocultação) se, por exemplo, for possível tirar conclusões sobre a data real através da categoria de dados (gravidez, análise de sangue, etc.).
• Requisitos legais ou regulamentares, por exemplo, o requisito de mascarar dados de cartões de pagamento durante o processamento ou armazenamento.

Em geral, a máscara de dados, a pseudonimização ou a anonimização requerem alguns pontos gerais:

• A força do mascaramento, pseudonimização ou anonimização de dados depende em grande parte da utilização dos dados processados.
• O acesso aos dados processados deve ser assegurado por mecanismos de proteção adequados.
• Consideração de acordos ou restrições relativamente à utilização dos dados processados.
• Proibir que os dados processados sejam comparados com outras informações para identificar o titular dos dados.
• Acompanhar e controlar de forma segura o fornecimento e a receção dos dados tratados.

Prevenção da fuga de dados

O controlo 8.12 destina-se a evitar a fuga de dados e formula medidas específicas a aplicar a todos os sistemas, redes e outros dispositivos que processam, armazenam ou transmitem informações sensíveis. Para minimizar a fuga de dados sensíveis, as organizações devem considerar o seguinte:

• Identificar e classificar a informação, por exemplo, dados pessoais, modelos de preços e desenhos de produtos
• Monitorizar os canais através dos quais os dados podem ser divulgados, tais como correio eletrónico, transferências de ficheiros, dispositivos móveis e dispositivos de armazenamento móveis
• Medidas que impedem a fuga de dados, por exemplo, a colocação em quarentena de mensagens de correio eletrónico que contenham informações sensíveis

Para evitar fugas de dados em estruturas de TI modernas e complexas, com a sua multiplicidade de dados diferentes, as organizações também precisam de ferramentas adequadas para

• Identificar e monitorizar informações sensíveis em risco de divulgação não autorizada, por exemplo, em dados não estruturados no sistema de um utilizador
• Detetar divulgações de dados confidenciais, como quando os dados são carregados para serviços de nuvem de terceiros não confiáveis ou enviados por e-mail
• Bloquear acções do utilizador ou transferências de rede que exponham informações críticas, como impedir que entradas da base de dados sejam copiadas para uma folha de cálculo

As organizações devem questionar de forma crítica a necessidade de restringir as permissões dos utilizadores para copiar, colar ou carregar dados para serviços, dispositivos e suportes de armazenamento fora da organização. Se necessário, pode também ser necessário implementar ferramentas adequadas para evitar a fuga de dados ou configurar adequadamente as tecnologias existentes.

Por exemplo, os utilizadores podem ter permissão para ver e editar dados remotamente, mas não para os copiar e colar fora do controlo da sua organização. Se ainda for necessária uma exportação de dados, o proprietário dos dados pode aprová-la caso a caso e responsabilizar os utilizadores por actividades indesejadas, se necessário.

A prevenção de fugas de dados também se aplica explicitamente à proteção de informações confidenciais ou segredos comerciais que possam ser utilizados indevidamente para fins de espionagem ou que sejam de importância vital para a comunidade. Neste caso, as medidas também devem ser concebidas para confundir os atacantes - por exemplo, através da substituição por informações falsas, engenharia social inversa ou utilização de potes de mel para atrair os atacantes.

As fugas de dados podem ser apoiadas por controlos de segurança padrão, por exemplo, através de políticas específicas para o controlo do acesso e a gestão segura de documentos (ver também Medidas/Controlos 5.12 e 5.15).

Importante quando se utilizam ferramentas de monitorização

Para proteger as suas próprias informações, muitas ferramentas também monitorizam inevitavelmente as comunicações e actividades em linha dos empregados e as mensagens de terceiros. Esta monitorização levanta diferentes questões jurídicas que devem ser consideradas antes de utilizar as ferramentas de monitorização adequadas. É necessário equilibrar o nível de monitorização com uma variedade de legislação em matéria de privacidade, proteção de dados, emprego, interceção de dados e telecomunicações.

Medidas técnicas no domínio da segurança da informação - uma conclusão.

No contexto geral dos objectivos de proteção da segurança da informação em termos de confidencialidade, integridade e disponibilidade, os procedimentos de tratamento de dados aqui descritos desempenham um papel fundamental no reforço da proteção dos dados sensíveis.

Com a monitorização contínua do fluxo de dados e informações, a ocultação de informações sensíveis e políticas rigorosas de eliminação de dados, as empresas podem melhorar de forma sustentável a sua proteção contra a fuga e perda de dados - e contrariar a publicação não intencional de informações críticas. Além disso, os procedimentos contribuem de forma decisiva para a cibersegurança de toda a empresa e minimizam a superfície de ataque dos hackers e da espionagem industrial.

Para as empresas e organizações, é agora uma questão de estabelecer os procedimentos e as ferramentas necessárias de forma adequada e integrá-los nos seus processos empresariais, de modo a demonstrar a implementação dos requisitos em conformidade com a norma em futuras auditorias de certificação.

Com a visão profissional dos nossos auditores experientes e a nossa experiência em certificação de mais de 35 anos, recomendamo-nos como seu contacto para os tópicos de segurança da informação e certificação de acordo com a norma ISO 27001.

O que significa a atualização para a sua certificação?

A norma ISO/IEC 27001:2022 foi publicada em 25 de outubro de 2022. Isto resulta nos seguintes prazos e períodos de transição para os utilizadores:

Última data para auditorias iniciais e de recertificação de acordo com a "antiga" ISO 27001:2013.

• Após 30 de abril de 2024, a DQS realizará auditorias iniciais e de recertificação apenas de acordo com a nova norma ISO/IEC 27001:2022

Conversão de todos os certificados existentes de acordo com a "antiga" ISO/IEC 27001:2013 para a nova ISO/IEC 27001:2022

• Existe um período de transição de três anos com início em 31 de outubro de 2022
• Os certificados emitidos de acordo com a norma ISO/IEC 27001:2013 ou EN ISO/IEC 27001:2017 são válidos até 31 de outubro de 2025, o mais tardar, ou têm de ser retirados nesta data.

DQS: O seu parceiro competente em questões de segurança da informação certificada

Graças aos períodos de transição, as empresas têm tempo suficiente para adaptar a sua gestão da segurança da informação aos novos requisitos e certificá-la. No entanto, a duração e o esforço de todo o processo de mudança não devem ser subestimados - especialmente se não tiver pessoal especializado suficiente à sua disposição. Se quiser estar do lado seguro, deve tratar do assunto mais cedo do que tarde e recorrer a especialistas experientes, se necessário.

Como especialistas em auditoria e certificação com mais de 35 anos de experiência, teremos todo o gosto em apoiá-lo durante uma auditoria delta. Informe-se junto dos nossos numerosos auditores experientes sobre as alterações mais importantes e a sua relevância para a sua organização. Aguardamos o seu contacto.

Confiança e competência

Os nossos textos são escritos exclusivamente pelos nossos especialistas em sistemas de gestão e auditores de longa data. Se tiver alguma questão para o autor, não hesite em contactar-nos.