Segurança da informação para as PME

CONTEÚDO

• Segurança da informação para as PME
• Começar a trabalhar com a segurança da informação: ISO 27001 para pequenas empresas
• Melhoria da segurança informática para as PME graças aos novos controlos
• NIS2: Porque é que as PME precisam de reforçar a sua cibersegurança
• Segurança da informação para as PME - Conclusão
• Em boas mãos com a DQS
• Sugestão de leitura: Informação documentada

Segurança da informação para as PME

Os tempos mudaram - e os requisitos de segurança cibernética para as PME também. Muitas PME estão a crescer rapidamente e encontram-se frequentemente entre os líderes de mercado nos seus sectores. Por conseguinte, têm uma necessidade correspondentemente elevada de proteger o seu know-how e segredos comerciais normalmente únicos - mas, em princípio, todos os seus dados e informações - contra o acesso não autorizado.

No entanto, devido aos seus recursos limitados, as PME raramente dispõem dos meios necessários para uma segurança da informação sem falhas a nível empresarial - mesmo que estejam conscientes dos riscos de segurança no quadro geral da tecnologia da informação e da segurança dos dados. A escassez de especialistas no sector de IT e os enormes custos de funcionamento do seu próprio Centro de Operações de Segurança (SOC) são apenas dois dos muitos problemas que impedem as PME de optimizar a sua cibersegurança.

Esta situação é tanto mais problemática quanto as PME enfrentam cada vez mais ataques de cibercriminosos, nomeadamente devido à situação geopolítica tensa e ao aumento dos ataques à cadeia de abastecimento. O espetro vai desde o ransomware enviado em massa até ataques profissionais direccionados contra empresas individuais. Os atacantes também estão a utilizar cada vez mais os serviços de nuvem como vetor, que as PME (têm de) utilizar com especial frequência por razões de custo e eficiência.

Um inquérito realizado pela companhia de seguros alemã HDI Versicherungen em 2024 revelou que 53% das pequenas e médias empresas já foram alvo de um ataque cibernético. No entanto, este número não reflecte a extensão total dos ataques, mas apenas documenta os incidentes que as empresas admitem publicamente.

Esta impressão é confirmada pelo estudo alemão"Gothaer SME Study 2024", segundo o qual a cibercriminalidade representa o maior risco para 48% das PME. De acordo com o estudo, 37% das pequenas empresas esperam também que o risco de serem vítimas de um ataque cibernético aumente ainda mais nos próximos doze meses. Isto não inclui os riscos de segurança da informação que não provêm de todo da rede, mas que são de natureza interna, sobretudo pessoal, e que desempenham um papel significativo no contexto de uma segurança da informação abrangente.

ISO 27001 para pequenas empresas

Como responsável pela segurança da informação (ISO) e pela protecção de dados de uma pequena ou média empresa, hoje em dia, dificilmente tem escolha: tem de garantir a segurança de dados e informações sensíveis. Não se trata apenas da segurança das tecnologias da informação. As medidas estruturais, os procedimentos e processos organizacionais e os requisitos de pessoal também devem ser tidos em conta. O factor humano também desempenha um papel central na segurança da informação e deve ser tido em conta em conformidade.

A norma de ouro para a segurança sistemática da informação é a norma internacional ISO/IEC 27001. Fornece uma base de teste estabelecida e directrizes para a implementação de sistemas de gestão da segurança da informação (ISMS) - para empresas independentemente da sua estrutura organizacional, orientação ou dimensão. O Anexo A da nova ISO/IEC 27001:2022, que na sua forma actualizada aborda todos os aspectos da segurança da informação - desde as medidas organizacionais às medidas pessoais e físicas e às medidas técnicas de segurança - oferece uma boa introdução para as pequenas empresas.

Melhoria da segurança informática das PME graças aos novos controlos

Só o carácter pragmático do Anexo A faz da ISO 27001 uma boa escolha para as pequenas empresas. Inclui um total de 93 medidas de segurança da informação (controlos), 11 das quais foram introduzidas recentemente na última atualização em 2022.

Os novos controlos centram-se principalmente na segurança de dados e estruturas no domínio digital e, por conseguinte, oferecem orientações valiosas que podem melhorar significativamente a segurança das informações para as PME. Aqui está uma visão geral de alguns dos novos recursos e como as pequenas empresas podem se beneficiar deles:

• 5.7 Threat intelligence, 8.16 Activity monitoring, 8.23 Web filtering
  Estes controlos para a deteção, prevenção e reconhecimento atempado de ciberataques podem ser de importância quase existencial para as PME em termos de segurança e gestão da continuidade do negócio. As pequenas empresas não são apenas vulneráveis à cibercriminalidade devido aos seus recursos limitados, mas podem também atingir rapidamente o ponto de insolvência geral em caso de ransomware.

• 5.23 Segurança da informação para a utilização de serviços em nuvem
  Como as PME utilizam frequentemente serviços externos em nuvem, a implementação de processos adequados para a aquisição, utilização, gestão e saída de serviços em nuvem é particularmente relevante. A medida também tem em conta as responsabilidades entre o fornecedor de serviços de nuvem e a organização utilizadora de nuvem para uma segurança de nuvem adequada.

• 5.30 Prontidão das TIC para a continuidade das actividades
  A continuidade das actividades é também essencial para as pequenas empresas que fazem parte de cadeias de abastecimento por vezes profundamente integradas e para manter as perdas financeiras a um nível mínimo. O controlo "ICT Readiness for Business Continuity" ajuda a criar uma estrutura organizacional adequada em caso de incidente e planos de continuidade das TIC, incluindo procedimentos de resposta e recuperação.

• 8.9 Gestão da configuração
  O funcionamento seguro e de elevado desempenho dos ambientes informáticos modernos depende, em grande medida, da configuração correcta de todos os sistemas, componentes e aplicações envolvidos. O que é bom para a segurança informática das pequenas empresas: Uma vez configurados, os processos de monitorização podem ser implementados automaticamente na maior parte dos casos, gerando assim quase nenhuns custos adicionais com pessoal. A gestão segura da configuração nas tecnologias de informação insere-se no domínio das medidas tecnológicas ou técnicas.

• 8.10 Eliminação de informação, 8.11 Mascaramento de dados, 8.12 Prevenção de fugas de dados
  As PME criam frequentemente um nicho para si próprias no mercado através das suas competências únicas. Este conhecimento especial é a chave do seu sucesso e, por isso, vale a pena ser protegido. As medidas técnicas de segurança da informação ajudam as empresas a evitar fugas de dados indesejadas e a perda de dados e minimizam a superfície de ataque dos piratas informáticos e da espionagem industrial.

Os controlos do Anexo A da ISO 27001 são de grande valor para as PME, especialmente à luz da futura diretiva NIS 2 para a cibersegurança industrial na UE.

NIS2: Porque é que as PME precisam de reforçar a sua segurança da informação

A União Europeia publicou a nova versão da Diretiva relativa à segurança das redes e da informação (NIS) no final de 2022. A NIS2 impõe novos requisitos de segurança da informação às empresas em sectores críticos e também afectará muitas PME no que diz respeito à proteção de dados e estruturas de IT.

De acordo com a diretiva NIS2, as empresas com 50 ou mais trabalhadores e um volume de negócios de 10 milhões de euros dos sectores relevantes devem cumprir os requisitos. As PME são empresas com um máximo de 249 trabalhadores e um volume de negócios de 50 milhões de euros, pelo que são diretamente afectadas. No entanto, é importante perceber que mesmo as empresas mais pequenas também podem ser indiretamente afectadas pelo NIS2 através da cadeia de fornecimento, ou seja, como fornecedores de uma empresa afetada. Na implementação específica de cada país, que entrará em vigor a 17 de outubro de 2024, estes limites podem ser ainda mais reduzidos.

As PME não têm muito tempo para se prepararem para os novos requisitos. A boa notícia: com a ISO 27001, as pequenas empresas podem dar um grande passo na direção certa, uma vez que a norma já cobre uma grande parte (cerca de 95%) dos requisitos NIS 2.

Segurança da informação para as PME - Conclusão

Tendo em conta os actuais cenários de ameaça, as pequenas e médias empresas (PME), as administrações públicas e as autoridades locais devem também implementar um sistema de gestão da segurança da informação de acordo com a norma ISO 27001, reconhecida internacionalmente, e considerar a certificação. A vantagem de um sistema de gestão eficaz reside não só no catálogo abrangente e aprofundado de requisitos, mas também - e isto é particularmente interessante para as PME - no Anexo A explicitamente orientado para a prática, que enumera 93 medidas de segurança (controlos) em quatro capítulos da nova edição de 2022.

No que diz respeito à segurança da informação para as PME, não só aumenta a necessidade de implementar e certificar um SGSI completo em conformidade com a norma ISO 27001 - basta olhar para a NIS-2 - como os requisitos estruturais também mudaram fundamentalmente em alguns casos. Isto deve-se ao facto de, atualmente, muitas PME já terem um sistema de gestão da qualidade certificado em conformidade com a norma ISO 9001, o que significa que as bases para um sistema de gestão integrado em conjunto com a norma ISO 27001 já estão criadas, poupando tempo, pessoal e custos. A ISO 27001 para pequenas empresas está, portanto, ao nosso alcance.

Em boas mãos com a DQS

As nossas auditorias de certificação proporcionam-lhe clareza. A visão externa holística e neutra das pessoas, processos, sistemas e resultados mostra a eficácia do seu sistema de gestão e a forma como este é implementado e controlado. Para nós, é importante que a nossa auditoria não seja encarada como um exame, mas sim como um enriquecimento do seu sistema de gestão.

A nossa abordagem começa sempre onde as listas de verificação de auditoria terminam. Perguntamos especificamente "porquê" porque queremos compreender as razões pelas quais escolheu uma determinada forma de implementação. Concentramo-nos no potencial de melhoria e incentivamos uma mudança de perspetiva. Esta abordagem minuciosa garante a identificação de áreas accionáveis para a melhoria contínua do seu sistema de gestão.

Sugestão de leitura: Informação documentada

A velocidade com que a informação é distribuída e processada é um grande desafio nas organizações actuais. A diversidade da informação torna cada vez mais difícil identificar a informação crucial que é relevante para a organização e para o seu sistema de gestão.

Simultaneamente, a utilização dos modernos meios de comunicação para controlar a informação documentada está a dar origem a aspectos totalmente novos. A disponibilidade, integridade e confidencialidade estão, portanto, a tornar-se cada vez mais importantes. No entanto, à medida que o grau de disponibilidade aumenta, a segurança da informação diminui, a menos que sejam tomadas medidas de proteção adequadas.

Confiança e competência

Os nossos textos e brochuras são redigidos exclusivamente pelos nossos peritos em normas ou por auditores de longa data. Se tiver alguma questão sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, contacte-nos.