80 G U I A D E E M P R E S A S C E R T I F I C A D A S : A Q U A L I D A D E FA C E À PA N D E M I A |
ISO 27001 PARA GARANTIR A SEGURANÇA DA INFORMAÇÃO EM TEMPO DE NOVAS AMEAÇAS
Um sistema de gestão ISO é uma ferramenta capaz de gerir as mudanças que ocorrem no contexto e nos negócios de uma organização e adaptar a resposta da organização a essas mesmas mudanças. Este objetivo é alcançado com o apoio de três processos: gestão de contexto (mudança), gestão de riscos e oportunidades e gestão de melhoria contínua. No caso específico de um sistema de gestão de segurança da informação, o sistema de gestão é especialmente útil dada a velocidade com que as mudanças ocorrem e novas vulnerabilidades, ameaças e pontos fracos são identificados.
N
AGUSTIN LERMA GANGOITI • IT Technical Specialist, South Europe, Business Assurance Lloyd’s Register agustin.lerma@lr.org
os últimos tempos ocorreram mudanças legislativas (RGPD – Regulamento Geral sobre a Proteção de Dados), novas vulnerabilidades (SolarWings) e novas ameaças (ramsonware) que exigiram a modificação e adaptação de novos controlos, ou a alteração dos existentes, de modo a proteger com eficácia os ativos de informação das organizações. Mas todas estas mudanças não provocaram uma mudança tão importante, com um impacto tão profundo como aquele provocado pelas consequências da gestão da pandemia de Covid-19 em março de 2020. Antes uma pandemia global era considerada como ameaça num plano teórico e hipotético, principalmente na continuidade de negócio, sendo desprezada e considerada irreal na maior parte dos casos. Isto apesar de haver eventos históricos que demonstraram o seu impacto e gravidade, como a gripe de 1918, a síndrome da imunodeficiência adquirida ou a gripe aviária.
A segurança da informação está mais focada na parte "cibernética" e nas ameaças que afetam máquinas, software ou dados, do que nas pessoas ou nos riscos que as podem afetar. As pessoas são consideradas ativos de informação por si mesmas, além de gerirem os restantes ativos de informação. Antes da pandemia, os únicos vírus que eram considerados para segurança da informação eram os vírus de computador, não vírus que afetassem o ser humano. É muito difícil considerar como uma pandemia global pode afetar a segurança da informação e a verdade é que não o fez diretamente. Fê-lo de forma indireta, através de medidas de resposta para proteger as pessoas da pandemia, desde a modificação estrutural da configuração física dos escritórios ou dos centros de dados e modo de acesso, até uma nova gestão dos ativos de informação na maioria das organizações do mundo. A primeira consequência desta pandemia, e da necessidade de as organizações continuarem a operar numa situação até então nunca vista (indisponibilidade de pessoas, seja pela própria doença ou pelas limitações legais de circulação impostas pelos governos para limitar a propagação do vírus), foi acionar os planos de continuidade de negócio, que consistiram principalmente em pessoas a trabalhar a partir de casa em vez dos escritórios, fábricas e instalações das empresas. A segunda consequência foi uma migração em massa de ativos de informação dos servidores e data centers das organizações para serviços em nuvem (cloud). Isto permite o acesso remoto a ativos de qualquer local do mundo (disponibilidade), mas deixa a segurança desses ativos de informação nas mãos dos fornecedores desses serviços.