ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Segurança das TIC para a continuidade das actividades - controlo 5.30 da norma ISO 27001

# Segurança da Informação e Gestão de Riscos

O bom funcionamento das tecnologias da informação e da comunicação (TIC) é essencial para manter os processos empresariais no contexto da digitalização. Mesmo as interrupções e perturbações mais curtas são frequentemente acompanhadas de graves perdas financeiras. Os piratas informáticos exploram este potencial de danos quando encriptam dados e sistemas em sofisticados ataques de ransomware e só os libertam após o pagamento de elevados resgates.

As actualizações das normas internacionais de segurança da informação, ISO 27001 e ISO 27002, destinam-se agora a pôr termo a esta evolução: A medida de segurança (controlo) 5.30 "Preparação das TIC para a continuidade das actividades", no Anexo A, obriga as empresas a garantir a disponibilidade das TIC mesmo em caso de perturbação. A nova norma ISO 27001:2022 dá um sinal forte com os controlos e ajuda as empresas a proteger atempadamente as suas estruturas organizacionais e arquitecturas de segurança contra cenários de ameaça. Leia a seguinte publicação no blogue para saber o que o controlo 5.30 significa para o seu sistema de gestão da segurança da informação e como irá afectar futuras auditorias.

CONTEÚDO

A segurança das TIC na organização e a sua relevância para os processos de negócio actuais

As ferramentas de colaboração como o Microsoft Teams, as aplicações em nuvem nas plataformas dos principais hiperescaladores, a utilização de serviços em nuvem e a produção em rede (Indústria 4.0) passaram a fazer parte do quotidiano das empresas modernas, e não apenas desde a pandemia do coronavírus. As modernas tecnologias da informação e da comunicação permitem fluxos de trabalho rápidos e eficientes e tornaram-se ferramentas insubstituíveis para manter os processos empresariais em todos os sectores.

Por outro lado, isto significa que a segurança e a disponibilidade das TIC são muito importantes - e devem ser sistematicamente monitorizadas e protegidas contra interrupções através de medidas e processos adequados, a fim de garantir processos fluidos e reduzir ao mínimo os danos potenciais. Isto está a tornar-se cada vez mais importante, especialmente em tempos de ameaças cibernéticas acrescidas, alimentadas por conflitos geopolíticos. As empresas dispõem de uma série de ferramentas para este fim, que são explicadas em termos gerais a seguir e depois analisadas no contexto do controlo 5.30 da norma ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Questões e respostas pra a nova ISO 27001:2022

O que precisa de saber sobre o "novo miúdo do bairro" da segurança da informação: 38 respostas dos nossos especialistas a 38 perguntas dos utilizadores.

  • Em que consistem os novos controlos?
  • Quando é que devemos fazer a transição para a nova norma?
  • Onde posso encontrar uma lista de correspondências entre a antiga e a nova norma?
  • ... e mais 35 perguntas!
Descarregue a FAQ para a nova ISO 27001 agora e beneficie da experiência dos nossos peritos

Gestão da continuidade das actividades

A gestão da continuidade das actividades (BCM), por exemplo, em conformidade com a norma ISO 22301, é um processo de gestão que garante que as funções críticas da empresa não são interrompidas durante muito tempo durante e após uma perturbação ou que podem ser reiniciadas o mais rapidamente possível, através da criação, implementação e revisão de planos e estratégias (de emergência).

A norma descreve precauções preventivas em termos de uma organização de preparação (de emergência) e planeamento de emergência, de modo a aumentar a fiabilidade dos processos empresariais. Além disso, as medidas reactivas (recuperação de desastres) são planeadas e tomadas como parte da organização de resposta (de emergência), a fim de permitir uma resposta rápida e orientada em caso de perturbação dos processos de TI e reduzir os tempos de inatividade, por exemplo, através de uma elevada segurança das TIC na empresa.

A gestão da continuidade da atividade como parte do planeamento estratégico inclui a identificação de potenciais riscos e vulnerabilidades, a avaliação da criticidade dos processos empresariais, o desenvolvimento de planos para responder a perturbações e o teste desses planos através de exercícios e simulações regulares. O objetivo da gestão da continuidade do negócio é garantir que uma empresa possa responder rápida e eficazmente a uma perturbação e que a confiança dos seus intervenientes na sua capacidade de entrega e funcionamento seja melhorada.

Análise do impacto nas empresas

A análise do impacto nas empresas (BIA) é o método utilizado na gestão da continuidade das actividades para registar os processos críticos e as funções empresariais de uma organização e identificar as interdependências entre eles e os recursos subjacentes. Trata-se, portanto, de um processo estratégico que ajuda a identificar e avaliar o impacto das perturbações nas actividades empresariais. A BIA constitui a base para determinar os tempos de reinício necessários.

A BIA envolve normalmente a avaliação do carácter crítico dos processos empresariais, a identificação dos recursos necessários para apoiar esses processos e a determinação do impacto das perturbações nesses processos e recursos. A análise ajuda as empresas a compreender as potenciais consequências das interrupções e a dar prioridade aos seus esforços de resposta e recuperação em conformidade.

Os resultados de uma BIA podem servir de base ao desenvolvimento de um plano de continuidade da atividade (BCP) e de outras estratégias de gestão do risco, para garantir que a empresa está mais bem preparada para gerir eventos inesperados e minimizar o seu impacto através da elevada disponibilidade de sistemas e estruturas.

Outras recomendações para a realização de uma análise de impacto nos negócios (BIA) também podem ser encontradas nas directrizes da ISO/TS 22317.

A ISO 27001:2022 é a espinha dorsal da continuidade das actividades

As tecnologias da informação e da comunicação (TIC) têm um impacto significativo na continuidade das actividades de uma empresa. As perturbações podem ter um impacto significativo, especialmente na área das infra-estruturas críticas (KRITIS), por exemplo. Por este motivo, o controlo 5.30 " Preparação das TIC para a continuidade das actividades" no anexo A da nova norma ISO/IEC 27001:2022 é de grande importância.

O objetivo da medida é assegurar um elevado nível de disponibilidade do sistema crítico de TIC com base nos objectivos de continuidade das actividades e nos requisitos de continuidade das TIC deles derivados, implementados e verificados. Isto inclui a definição de tipos de impacto e de critérios de impacto no âmbito do processo BIA.

As actividades operacionais prioritárias são identificadas nesta base e é-lhes atribuído um objetivo de tempo de recuperação (RTO). A BIA determina então quais os recursos necessários para estas actividades prioritárias e atribui-lhes também um RTO. Um subconjunto destes recursos incluirá os serviços TIC. Além disso, os pontos de recuperação (RPO = Recovery Point Objective) e as suas distâncias também devem ser definidos para os recursos TIC priorizados.

Com base nos resultados de todos estes processos, as organizações precisam de identificar e selecionar estratégias de continuidade das TIC que considerem opções para antes, durante e depois de uma perturbação. Com base nisto, os planos de continuidade (incluindo os procedimentos de resposta e recuperação) são desenvolvidos, implementados e testados para satisfazer a necessária preparação das TIC.

Neste contexto, deve também ser feita referência à norma ISO ISO/IEC 27031, um guia para a preparação das TIC para a continuidade das actividades, que fornece às empresas recomendações para garantir a disponibilidade dos sistemas TIC.

Impacto do controlo 5.30 na certificação

Para serem certificadas pela norma ISO 27001:2022 revista, as organizações devem ...

  • ter uma estrutura organizacional adequada para se preparar, conter e responder a um incidente. Isto também requer pessoal com a responsabilidade, autoridade e competência necessárias.
  • ter desenvolvido planos de continuidade de TIC vinculativos, incluindo procedimentos de resposta e recuperação, detalhando como a organização pretende lidar com uma interrupção dos serviços de TIC. Estes planos devem ser aprovados pela direção e avaliados regularmente através de exercícios e testes.
  • incluem as seguintes informações nos seus planos de continuidade:
    - Especificações de desempenho e capacidade para cumprir os requisitos e objectivos de continuidade do negócio definidos no BIA
    - RTO de cada serviço TIC prioritário e os procedimentos para restaurar estes componentes
    - RPO dos recursos TIC prioritários definidos como informação e procedimentos para restaurar a informação

Certificação ISO 27001

Que esforço é necessário para obter a certificação? Descubra agora. Sem compromisso e de forma gratuita.

Mais acerca da cer­ti­fi­ca­ção ISO 27001

Segurança das TIC para a continuidade das actividades - conclusão

O exemplo proeminente da pirataria informática administrativa em Anhalt-Bitterfeld, em resultado da qual alguns serviços municipais estiveram indisponíveis durante semanas ou meses, demonstra a grande relevância das tecnologias da informação e da comunicação no mundo atual. No entanto, o exemplo também mostra a importância da continuidade e dos planos de emergência estabelecidos.

O controlo da medida de segurança 5.30 "Preparação das TIC para a continuidade das actividades" é, por conseguinte, um aspeto importante das normas de segurança da informação revistas ISO/IEC 27001:2022 e ISO/IEC 27002:2022, a fim de reforçar a resiliência das empresas.

No entanto, as organizações têm por vezes dificuldade em avaliar a criticidade das tecnologias de informação e comunicação utilizadas e o seu potencial de risco durante a implementação, o que, por sua vez, tem um impacto direto na cadeia de prioridades. A BIA e a análise de risco são, por assim dizer, a espinha dorsal da gestão da continuidade do negócio. No período que antecede a certificação, vale a pena rever e otimizar os seus próprios esforços para a continuidade da atividade e a disponibilidade de soluções TIC com especialistas experientes.

DQS: Tirar partido da segurança.

Graças aos períodos de transição, as empresas dispõem de tempo suficiente para adaptar a sua gestão da segurança da informação aos novos requisitos e para a certificar. No entanto, a duração e o esforço de todo o processo de mudança não devem ser subestimados. Se quiser estar do lado seguro, é melhor lidar com os novos requisitos e a transição para a nova norma mais cedo do que mais tarde.

Temos todo o gosto em responder às suas perguntas

Saiba mais sobre ... sem compromisso e gratuitamente.

Estamos aqui para si. Por favor con­tacte-nos.

Como especialistas em auditoria e certificação com quase 40 anos de experiência, temos todo o gosto em ajudá-lo a avaliar o seu estado atual, por exemplo, como parte de uma auditoria delta. Informe-se junto dos nossos especialistas sobre as alterações mais importantes e a sua relevância para a sua organização.

Confiança e competência

Os nossos textos são escritos exclusivamente pelos nossos especialistas internos em sistemas de gestão e auditores de longa data. Se tiver alguma questão para o autor, contacte-nos.

Artigos e eventos relevantes

Você pode também estar interessado em
Blog
autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Auditoria de cibersegurança automóvel

Leia mais
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Lições aprendidas com a ISO 27001 - um estudo de caso da ENTERBRAIN Software

Leia mais
Blog
Mixing console in a recording studio with sliders at different heights

Gestão da configuração na segurança da informação

Leia mais

Alguma pergunta?

Estamos aqui para si.
Contacte-nos