ISO 27001 Anexo A: Responsabilidades e Funções dos Funcionários

Um sistema de gestão da segurança da informação (SGSI) bem estruturado de acordo com a norma ISO/IEC 27001 fornece a base para a implementação eficaz de uma estratégia holística de segurança da informação. A abordagem sistemática ajuda a proteger os dados confidenciais da empresa contra perda e mau uso e a identificar de forma confiável os riscos potenciais para a empresa, analisá-los e torná-los controláveis através de medidas apropriadas. Isto envolve muito mais do que apenas os aspectos da segurança de TI. A implementação das medidas do Anexo A da norma é particularmente valiosa para a prática.

ISO/IEC 27001:2013 - Tecnologia da informação - Procedimentos de segurança - Sistemas de gestão da segurança da informação - Requisitos.

Anexo A da ISO/IEC 27001: Praticamente relevante

Além da seção de requisitos orientados para o sistema de gestão (capítulos 4 a 10), o Anexo A da versão de 2013 da norma ISO contém uma extensa lista de 35 objetivos de medida (controles) com 114 medidas concretas sobre uma vasta gama de aspectos de segurança em 14 capítulos.

Nota: As declarações referidas como "medidas" no Anexo A são, na verdade, objetivos individuais (controles). Elas descrevem como deve ser o resultado de uma medida (individual) adequada, em conformidade com as normas.

As empresas devem utilizar estes controles como base para a sua estruturação individual e mais profunda da sua política de segurança da informação. No que diz respeito ao tema do pessoal, o objetivo da medida "Segurança do pessoal" no Anexo A.7 é de particular interesse.

Os processos de pessoal asseguram em todas as fases do emprego que as responsabilidades e deveres são atribuídos no que diz respeito à segurança da informação e que o cumprimento é monitorizado. As violações da política de segurança da informação - tanto intencionais como não intencionais - não são, portanto, impossíveis, mas tornam-se muito mais difíceis. E se o pior acontecer, um SGSI eficaz fornece à organização os mecanismos apropriados para lidar com a violação.

A segurança da informação não é desconfiança

Não é de forma alguma uma questão de desconfiança se uma empresa emite diretrizes apropriadas para tornar o acesso não autorizado a partir de dentro mais difícil ou, melhor ainda, para impedi-lo completamente. Afinal de contas, uma coisa é clara: se a demissão de um funcionário está iminente ou já foi anunciada, sua insatisfação pode levar ao roubo de dados direcionados. Isto acontece especialmente quando o funcionário demitido acredita que tem direitos de propriedade sobre os dados do projeto. Por outro lado, uma candidatura para um determinado trabalho já pode ser feita com a intenção de cometer um ato criminoso.

Outros cenários indicam um comportamento extremamente negligente ou simplesmente imprudente, o que pode ter consequências igualmente graves. Acontece, por exemplo, que departamentos inteiros de TI não aderem às suas próprias regras - demasiado incômodo, demasiado demorado. No escritório, é o manuseio descuidado de senhas ou smartphones desprotegidos. Mas também a ligação descuidada de pen drives, documentos abertos no ecrã, documentos secretos em escritórios vazios - a lista de possíveis omissões é longa.

Anexo A.7 da ISO 27001 - Segurança do pessoal

As empresas que implementaram um sistema de gestão de segurança da informação (ISMS) de acordo com a norma ISO/IEC 27001 estão aqui em melhor posição. Elas conhecem os requisitos e a prática relevante do Anexo A.7 da norma reconhecida internacionalmente. Porque a ISO/IEC 27001 tem muito a oferecer aqui: Embora as medidas de referência se refiram diretamente aos requisitos da norma, elas são sempre voltadas para a prática direta da empresa.

As empresas com um SGSI eficaz estão familiarizadas com as metas especificadas no Anexo A.7, que devem ser implementadas com vista à segurança do pessoal para o cumprimento integral da norma - em todas as fases de emprego.

O que diz a norma ISO/IEC 27001 no Anexo A.7?

Medidas antes do emprego

A organização deve assegurar que um novo funcionário compreenda suas responsabilidades futuras e seja adequado ao seu papel antes de empregá-lo - de acordo com o Anexo A.7.1. Na seção de requisitos (Capítulo 7.2), a norma fala sobre "competência".

Como medida de referência orientada para metas, os candidatos a um emprego recebem primeiro uma autorização de segurança que obedece aos princípios éticos e às leis aplicáveis. Esta verificação deve ser apropriada em relação aos requisitos empresariais, à classificação das informações a obter e aos possíveis riscos (A.7.1.1). Para que tal seja possível, devem, entre outras coisas, estar em vigor, assegurados ou verificados os seguintes aspectos:

• Um procedimento para obter informação (como e sob que condições)
• Uma lista de critérios legais e éticos a serem observados
• A verificação de segurança deve ser apropriada, relacionada com os riscos e as necessidades da empresa
• A plausibilidade e autenticidade da C.V., das demonstrações financeiras e de outros documentos
• A idoneidade e competência do candidato para o cargo pretendido

Acordos contratuais

O próximo passo é sobre as condições de emprego e contratuais. Assim, esta medida de referência no Anexo A da ISO/IEC 27001 consiste no acordo contratual sobre quais as responsabilidades dos trabalhadores para com a empresa e vice-versa (A.7.1.2). A implementação bem sucedida deste requisito inclui, entre outras coisas, o cumprimento destes pontos:

• A assinatura de um acordo de confidencialidade pelo colaborador (contratante) com acesso a informações confidenciais
• Uma obrigação contratual por parte do empregado (contratante) de cumprir, por exemplo, questões de direitos autorais ou de proteção de dados
• Uma disposição contratual sobre a responsabilidade dos empregados (contratados) no tratamento de informações externas

Durante o emprego - As responsabilidades da alta gestão.

Os colaboradores devem estar cientes de suas responsabilidades de segurança da informação. Este é o objetivo de A.7.2, e mais importante, os colaboradores devem estar à altura destas responsabilidades.

A primeira medida (A.7.2.1) visa a obrigação da direção de encorajar os seus empregados a implementar a segurança da informação de acordo com as políticas e procedimentos estabelecidos. Para isso, os seguintes pontos devem ser regulamentados como um mínimo:

• De que forma a alta gestão encoraja os colaboradores a implementar? Onde existem riscos?
• Como garante que os funcionários estejam cientes das diretrizes implementadas para lidar com a segurança da informação?
• Como verifica se os funcionários aderem às diretrizes para lidar com a segurança da informação?
• Como eles motivam seus funcionários a implementar políticas e procedimentos e a aplicá-los com segurança?

Criando consciência

No capítulo 7.3 "Conscientização", a ISO/IEC 27001 exige que as pessoas que desempenham atividades relevantes estejam cientes do seguinte

• Da política de segurança da informação da organização
• Da contribuição que dão para a eficácia do sistema de gestão da segurança da informação (SGSI)
• Os benefícios de um melhor desempenho da segurança da informação
• As consequências do não cumprimento dos requisitos do SGSI

Os novos colaboradores, em particular, precisam de informações regulares sobre o assunto, por exemplo, por e-mail ou via intranet, além do briefing obrigatório sobre questões de segurança da informação. A formação concreta (especialmente sobre planos e exercícios de emergência), workshops sobre temas específicos e campanhas de sensibilização (por exemplo, através de cartazes) reforçam a sensibilização para o sistema de gestão da segurança da informação.

Por exemplo, a medida de referência A.7.2.1 no Anexo A da ISO/IEC 27001 também serve para criar uma sensibilização adequada para a segurança da informação. As organizações devem treinar e educar os seus funcionários e, quando apropriado, os seus contratados sobre tópicos profissionalmente relevantes. As políticas e procedimentos correspondentes devem ser atualizados regularmente. Os seguintes aspectos, entre outros, devem ser levados em conta:

• A forma como a alta gestão, por sua vez, está comprometida com a segurança da informação.
• A natureza da educação e da formação profissional
• A frequência com que as políticas e procedimentos são revistos e atualizados
• Outras ferramentas que são utilizadas
• Medidas concretas para familiarizar os funcionários com as políticas e procedimentos internos de segurança da informação

DICA: Garanta o bom funcionamento da comunicação com múltiplos canais para a transferência de conhecimentos. Isto porque o conhecimento do SGSI e aspectos relacionados exigidos pela norma está intimamente relacionado com a transferência de conhecimento.

Processo Reprimand

Anexo 7.2.3: Esta medida especifica a forma como a organização irá lidar com as reprimendas em caso de violações da segurança da informação. A base para isso é um processo de ação corretiva. Ele deve ser formalmente definido, estabelecido e anunciado. O seguinte deve ser assegurado:

• Devem existir critérios segundo os quais a gravidade de uma violação da política de segurança da informação é classificada
• O processo disciplinar não deve violar as leis aplicáveis
• O processo disciplinar deve conter medidas que motivem os funcionários a mudar o seu comportamento de forma positiva a longo prazo.

Fim do emprego - Responsabilidades

O Anexo A.7.3 da  ISO/IEC 27001 especifica como meta um processo eficaz de rescisão ou mudança para proteger os interesses da organização. Este objetivo se concentra nas responsabilidades pela rescisão ou mudança de emprego. Assim, as responsabilidades e obrigações relacionadas com a segurança da informação que permanecem após a rescisão ou mudança de emprego devem ser definidas, comunicadas e cumpridas. Faz sentido considerar estes aspectos:

• Acordos nos contratos de trabalho sobre como os empregados devem lidar com as responsabilidades e deveres relacionados com a segurança da informação contínua após a rescisão do contrato de trabalho.
• Mecanismos de monitorização para assegurar o cumprimento destes acordos
• Procedimentos para impor o cumprimento de responsabilidades e deveres contínuos

Segurança cibernética através da segurança sistémica do pessoal

A ameaça de dentro é real - e a maioria das empresas está ciente disso. De acordo com um estudo de segurança (Balabit 2018), os funcionários que têm amplos direitos de acesso são particularmente vulneráveis a ataques. E com funcionários envolvidos em 50% de todas as violações de segurança, 69% dos profissionais de TI respondentes consideram que uma violação de dados internos é o maior risco. No entanto, pouco está sendo feito a respeito disso. Na prática, muitas vezes é difícil fazer acusações contra a equipe interna. Especialmente nas pequenas e médias empresas (PME), onde as pessoas se conhecem umas às outras, muitas vezes é depositada nelas uma certa confiança - por vezes com consequências desagradáveis. Uma gestão bem estruturada da segurança da informação fornece a base para garantir a segurança da informação que requer proteção.

Conclusão: A ISO/IEC 27001 na prática - Anexo A

No Anexo A.7, a ISO/IEC 27001:2013 fornece medidas de referência para a segurança do pessoal que devem ser implementadas como parte da introdução da norma. As empresas devem utilizar estes controles como base para a sua concepção individual e mais aprofundada da sua política de segurança da informação. As medidas não se baseiam na desconfiança dos funcionários, mas em processos de pessoal claramente estruturados.

A diretriz ISO 27002 define um amplo catálogo de medidas gerais de segurança para apoiar as organizações na implementação dos requisitos do Anexo A da ISO/IEC 27001. No início de 2022, a diretriz foi amplamente revisada e atualizada. A nova edição oferece aos gerentes de segurança da informação uma visão precisa das mudanças a serem esperadas com a revisão da ISO/IEC 27001.
 

Competência e confiança

As empresas certificadas valorizam os sistemas de gestão como ferramentas para a alta gestão que criam transparência, reduzem a complexidade e proporcionam segurança. No entanto, os sistemas de gestão fazem ainda mais: Avaliados e certificados por uma terceira parte neutra e independente como a DQS , criam confiança com as partes interessadas no desempenho da sua empresa.

Muitas organizações ainda experimentam a certificação como uma verificação de conformidade. Nossos clientes, por outro lado, veem isso como uma oportunidade de focar em fatores críticos de sucesso e nos resultados de seu sistema de gestão. Porque nossas principais competências residem no desempenho das auditorias e avaliações de certificação. Isso nos torna um dos fornecedores líderes mundiais com a pretensão de estabelecer novos padrões de confiabilidade, qualidade e orientação ao cliente em todos os momentos.

Atenção: Os nossos artigos são escritos exclusivamente pelos nossos especialistas internos em sistemas de gestão e por auditores de longa data. Se você tiver alguma dúvida para nossos autores sobre segurança da informação (ISMS), por favor, entre em contato conosco. Estamos ansiosos para conversar com você.