ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Segurança de TIC para a Continuidade dos Negócios - Controle 5.30

# Segurança da Informação e Gestão de Riscos

A tecnologia da informação e comunicação (TIC) funcionando sem problemas é essencial para manter os processos de negócio no contexto da digitalização. Mesmo as interrupções e falhas mais curtas frequentemente são acompanhadas por perdas financeiras graves. Hackers exploram esse potencial de dano ao criptografar dados e sistemas em sofisticados ataques de ransomware, liberando-os somente após o pagamento de resgates elevados.

As atualizações nas normas internacionais de segurança da informação, ISO 27001 e ISO 27002, agora têm a intenção de interromper esse desenvolvimento: A medida de segurança (controle) 5.30 "Preparação de TIC para a continuidade dos negócios" no Anexo A obriga as empresas a garantirem a disponibilidade de TIC mesmo em caso de interrupção. A nova norma ISO 27001:2022 envia um sinal forte nesse sentido com os controles e ajuda as empresas a fortalecerem suas estruturas organizacionais e arquiteturas de segurança contra cenários de ameaça de forma oportuna. Leia o seguinte post no blog para descobrir o que o controle 5.30 significa para o seu sistema de gerenciamento de segurança da informação e como isso afetará auditorias futuras.

CONTEÚDO

 

Segurança das TIC na organização e sua relevância para os processos de negócios atuais

Ferramentas de colaboração como o Microsoft Teams, aplicações em nuvem nas plataformas dos grandes hiperscaladores, o uso de serviços em nuvem e a produção em rede (Indústria 4.0) tornaram-se parte do dia a dia das empresas modernas, e não apenas desde a pandemia do coronavírus. As modernas tecnologias de informação e comunicação permitem fluxos de trabalho rápidos e eficientes e tornaram-se ferramentas insubstituíveis para manter processos de negócios em todos os setores. 

Por outro lado, isso significa que a segurança e disponibilidade da TIC são muito importantes - e devem ser monitoradas e protegidas sistematicamente contra interrupções por meio de medidas e processos adequados para garantir processos sem problemas e manter os possíveis danos ao mínimo. Isso está se tornando cada vez mais importante, especialmente em tempos de ameaças cibernéticas intensificadas por conflitos geopolíticos. As empresas têm uma série de ferramentas à disposição para esse fim, as quais são explicadas de forma geral abaixo e, em seguida, consideradas no contexto do controle 5.30 na ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Perguntas e respostas à nova ISO 27001:2022


O que você precisa saber sobre "as mais recente novidades" em segurança da informação: 38 respostas dos nossos especialistas para 38 perguntas dos usuários

  • Quais são os novos controles?
  • Quando devemos fazer a transição para a nova norma?
  • Onde posso encontrar um comparativo entre a versão antiga e a nova?
  • ... e mais 35 perguntas!
Baixe agora o White Paper da nova ISO 27001

Gestão de Continuidade de Negócios

A gestão de continuidade de negócios (BCM), por exemplo, de acordo com a norma ISO 22301, é um processo de gestão que garante que funções críticas da empresa não sejam interrompidas por muito tempo durante e após uma interrupção ou possam ser reiniciadas o mais rápido possível através da criação, implementação e revisão ( emergência) planos e estratégias.

A norma descreve medidas preventivas em termos de uma organização de prontidão (emergencial) e planejamento de emergências para aumentar a confiabilidade dos processos de negócio. Além disso, medidas reativas (recuperação de desastres) são planejadas e implementadas como parte da organização de resposta (emergencial) para possibilitar uma resposta rápida e direcionada em caso de interrupção nos processos de TI e para reduzir tempos de inatividade, por exemplo, por meio de alta segurança de TIC na empresa.

O BCM (Gestão da Continuidade de Negócios) como parte do planejamento estratégico inclui a identificação de riscos e vulnerabilidades potenciais, a avaliação da criticidade dos processos de negócio, o desenvolvimento de planos para responder a interrupções e a realização de testes desses planos por meio de exercícios e simulações regulares. O objetivo da gestão da continuidade de negócios é garantir que uma empresa possa responder de forma rápida e eficaz a uma interrupção e que a confiança de seus stakeholders em sua capacidade de entregar e operar seja aprimorada.

Análise de impacto nos negócios

A análise de impacto nos negócios (BIA) é o método usado na gestão de continuidade de negócios para registrar processos críticos e funções de negócios dentro de uma organização e para identificar interdependências entre eles e seus recursos subjacentes. É, portanto, um processo estratégico que ajuda a identificar e avaliar o impacto das interrupções nas atividades empresariais. A BIA constitui a base para determinar os tempos de reinicialização necessários.

A BIA normalmente envolve a avaliação da criticidade dos processos de negócios, identificando os recursos necessários para apoiar esses processos e determinando o impacto das interrupções nesses processos e recursos. A análise ajuda as empresas a compreender as potenciais consequências das perturbações e a priorizar os seus esforços de resposta e recuperação em conformidade.

Os resultados de uma BIA podem informar o desenvolvimento de um plano de continuidade de negócios (BCPs) e outras estratégias de gestão de risco para garantir que a empresa esteja melhor preparada para gerir eventos inesperados e minimizar o seu impacto através da alta disponibilidade de sistemas e estruturas.

Outras recomendações para a realização de uma análise de impacto nos negócios (BIA) também podem ser encontradas nas diretrizes da ISO/TS 22317.

 

A ISO 27001:2022 é a base da continuidade de negócios.

A tecnologia da informação e comunicação (TIC) tem um impacto significativo na continuidade dos negócios dentro de uma empresa. As perturbações podem ter um impacto significativo, especialmente na área das infraestruturas críticas (KRITIS), por exemplo. Por esta razão, o controle 5.30 "Prontidão das TIC para a continuidade dos negócios" no anexo A da nova norma ISO/IEC 27001:2022 é de grande importância.

O propósito da medida é garantir um alto nível de disponibilidade do sistema crítico de TIC com base nos objetivos de continuidade de negócios e nos requisitos de continuidade de TIC derivados, implementados e verificados a partir deles. Isso inclui a definição de tipos de impacto e critérios de impacto dentro do processo de Análise de Impacto nos Negócios (BIA).

Com base nisso, são identificadas atividades operacionais prioritárias e é atribuído a elas um objetivo de tempo de recuperação (RTO). A Análise de Impacto nos Negócios (BIA) determina então quais recursos são necessários para essas atividades priorizadas e também lhes atribui um RTO. Um subconjunto desses recursos incluirá serviços de TIC. Além disso, pontos de recuperação (RPO = Objetivo de Ponto de Recuperação) e suas distâncias também devem ser definidos para os recursos de TIC priorizados.

Com base nos resultados de todos esses processos, as organizações precisam identificar e selecionar estratégias de continuidade de TIC que considerem opções para antes, durante e depois de uma interrupção. Com base nisso, planos de continuidade (incluindo procedimentos de resposta e recuperação) são desenvolvidos, implementados e testados para atender à prontidão de TIC necessária.

Neste contexto, também deve ser feita referência à norma ISO/IEC 27031, um guia para a prontidão de TIC para a continuidade de negócios, que fornece às empresas recomendações para garantir a disponibilidade de sistemas de TIC.

Impacto do controle 5.30 na certificação

Para serem certificadas de acordo com a norma revisada ISO 27001:2022, as organizações devem...

  • ter desenvolvido planos vinculativos de continuidade de TIC, incluindo procedimentos de resposta e recuperação, detalhando como a organização pretende lidar com uma interrupção nos serviços de TIC. Esses planos devem ser aprovados pela alta administração e avaliados regularmente por meio de exercícios e testes.
  • ter desenvolvido planos de continuidade de TIC vinculativos, incluindo procedimentos de resposta e recuperação, detalhando como a organização pretende lidar com uma interrupção dos serviços de TIC. Estes planos devem ser aprovados pela direção e avaliados regularmente através de exercícios e testes.
  • devem incluir as seguintes informações em seus planos de continuidade:
    - Especificações de desempenho e capacidade para atender aos requisitos e objetivos de continuidade de negócios definidos na Análise de Impacto nos Negócios (BIA).
    - Objetivo de Tempo de Recuperação (RTO) de cada serviço de TIC priorizado e os procedimentos para restaurar esses componentes.
    - RPO de recursos de TIC priorizados definidos como informações e procedimentos para restaurar as informações

Certificação ISO 27001

Qual o esforço necessário para obter a certificação? Descubra agora. Sem compromisso e de forma gratuita.

Saiba mais ISO 27001

Segurança de TIC para a continuidade de negócios - conclusão

O exemplo proeminente do ataque administrativo em Anhalt-Bitterfeld, como resultado do qual alguns serviços municipais ficaram indisponíveis por semanas ou meses, demonstra a alta relevância da tecnologia da informação e comunicação no mundo de hoje. No entanto, o exemplo também mostra quão importante são a continuidade e os planos de emergência estabelecidos.

A medida de segurança, controle 5.30 "Preparação de TIC para continuidade de negócios", é, portanto, um aspecto importante das normas revisadas de segurança da informação ISO/IEC 27001:2022 e ISO/IEC 27002:2022, com o objetivo de fortalecer a resiliência das empresas.

No entanto, as organizações às vezes acham difícil avaliar a criticidade das tecnologias de informação e comunicação utilizadas e seu potencial de risco durante a implementação, o que por sua vez tem um impacto direto na cadeia de priorização. A Avaliação de Impacto nos Negócios (BIA) e a análise de riscos são a base da gestão de continuidade de negócios. por assim dizer. No processo de certificação, portanto, vale a pena revisar e otimizar seus próprios esforços para a continuidade de negócios e a disponibilidade de soluções de TIC com especialistas experientes.

DQS Elevando a Segurança de Forma Simples

Graças aos períodos de transição, as empresas têm tempo suficiente para adaptar a gestão da segurança da informação aos novos requisitos e obtê-la certificada. No entanto, a duração e o esforço de todo o processo de mudança não devem ser subestimados. Se você deseja estar seguro, é melhor lidar com os novos requisitos e a transição para a nova norma o mais cedo possível.

Estamos à disposição para responder às suas perguntas

Saiba mais sobre ...

Entre em contato conosco

Como especialistas em auditoria e certificação com quase 40 anos de experiência, ficaremos felizes em apoiá-lo na avaliação do seu estado atual, por exemplo, como parte de uma auditoria delta. Consulte nossos especialistas sobre as mudanças mais importantes e sua relevância para sua organização.

Confiança e experiência

Nossos textos são escritos exclusivamente por nossos especialistas internos em sistemas de gestão e auditores experientes de longa data. Se você tiver alguma pergunta para o autor, por favor, entre em contato conosco.

Alguma pergunta?

Estamos aqui para você
Contate-nos