ISO 27001 Anexo A: Responsabilidades e Funções dos Funcionários

Um sistema de gestão da segurança da informação (SGSI) bem estruturado de acordo com a norma ISO 27001 fornece a base para a implementação eficaz de uma estratégia holística de segurança da informação. A abordagem sistemática ajuda a proteger dados confidenciais da empresa contra perda e mau uso e a identificar de forma confiável riscos potenciais para a empresa, analisá-los e torná-los controláveis através de medidas apropriadas. Isto envolve muito mais do que apenas os aspectos da segurança de IT. A implementação das medidas do Anexo A da norma é particularmente valiosa para a prática.

ISO/IEC 27001:2022: - Tecnologia da informação - Procedimentos de segurança - Sistemas de gestão da segurança da informação - Requisitos.

Anexo A da ISO 27001: Praticamente relevante

Além da secção de requisitos orientados para o sistema de gestão (capítulos 4 a 10), o Anexo A da versão de 2022 da norma ISO contém uma extensa lista de 35 objectivos de medida (controlos) com 114 medidas concretas sobre uma vasta gama de aspectos de segurança em 14 capítulos.

Nota: As declarações referidas como "medidas" no Anexo A são, na verdade, objectivos individuais (controlos). Estas descrevem como deve ser o resultado de uma medida (individual) adequada, em conformidade com as normas.

As empresas devem utilizar estes controlos como base para a sua estruturação individual e mais profunda da sua política de segurança da informação. No que diz respeito ao tema do pessoal, o objectivo da medida "Segurança do pessoal" no Anexo A.7 é de particular interesse.

Os processos de pessoal asseguram em todas as fases do emprego que as responsabilidades e deveres são atribuídos no que diz respeito à segurança da informação e que o cumprimento é monitorizado. As violações da política de segurança da informação - tanto intencionais como não intencionais - não são, portanto, impossíveis, mas tornam-se muito mais difíceis. E se o pior acontecer, um SGSI eficaz fornece à organização os mecanismos apropriados para lidar com a violação.

A segurança da informação não é desconfiança

Não é de forma alguma uma questão de desconfiança se uma empresa emite directrizes apropriadas para tornar o acesso não autorizado a partir de dentro mais difícil ou, melhor ainda, para impedi-lo completamente. Afinal de contas, uma coisa é clara: se a demissão de um funcionário está iminente ou já foi anunciada, sua insatisfação pode levar ao roubo de dados direccionados. Isto acontece especialmente quando o funcionário demitido acredita que tem direitos de propriedade sobre os dados do projecto. Por outro lado, uma candidatura para um determinado trabalho já pode ser feita com a intenção de cometer um acto criminoso.

Outros cenários indicam um comportamento extremamente negligente ou simplesmente imprudente, o que pode ter consequências igualmente graves. Acontece, por exemplo, que departamentos inteiros de IT não aderem às suas próprias regras - demasiado incómodo, demasiado demorado. No escritório, é o manuseio descuidado de senhas ou smartphones desprotegidos. Mas também a ligação descuidada de pen drives, documentos abertos no ecrã, documentos secretos em escritórios vazios - a lista de possíveis omissões é longa.

Anexo A.7 da ISO 27001 - Segurança do pessoal

As empresas que implementaram um sistema de gestão de segurança da informação (ISMS) de acordo com a norma ISO 27001 estão aqui em melhor posição. Estas conhecem os requisitos e a prática relevante do Anexo A.7 da norma reconhecida internacionalmente. Porque a ISO 27001 tem muito a oferecer aqui: Embora as medidas de referência se refiram directamente aos requisitos da norma, elas são sempre voltadas para a prática directa da empresa.

As empresas com um SGSI eficaz estão familiarizadas com as metas especificadas no Anexo A.7, que devem ser implementadas com vista à segurança do pessoal para o cumprimento integral da norma - em todas as fases de emprego.

O que diz a norma ISO 27001 no Anexo A.7?

Medidas antes do emprego

A organização deve assegurar que um novo funcionário compreenda suas responsabilidades futuras e seja adequado ao seu papel antes de empregá-lo - de acordo com o Anexo A.7.1. Na seção de requisitos (Capítulo 7.2), a norma fala sobre "competência".

Como medida de referência orientada para metas, os candidatos a um emprego recebem primeiro uma autorização de segurança que obedece aos princípios éticos e às leis aplicáveis. Esta verificação deve ser apropriada em relação aos requisitos empresariais, à classificação das informações a obter e aos possíveis riscos (A.7.1.1). Para que tal seja possível, devem, entre outras coisas, estar em vigor, assegurados ou verificados os seguintes aspectos:

• Um procedimento para obter informação (como e sob que condições)
• Uma lista de critérios legais e éticos a serem observados
• A verificação de segurança deve ser apropriada, relacionada com os riscos e as necessidades da empresa
• A plausibilidade e autenticidade do C.V., das demonstrações financeiras e de outros documentos
• A idoneidade e competência do candidato para o cargo pretendido

Acordos contractuais

O próximo passo é sobre as condições de emprego e contractuais. Assim, esta medida de referência no Anexo A da ISO/IEC 27001 consiste no acordo contractual sobre quais as responsabilidades dos trabalhadores para com a empresa e vice-versa (A.7.1.2). A implementação bem sucedida deste requisito inclui, entre outras coisas, o cumprimento destes pontos:

• A assinatura de um acordo de confidencialidade pelo colaborador (contratante) com acesso a informações confidenciais
• Uma obrigação contractual por parte do empregado (contractado) de cumprir, por exemplo, questões de direitos autorais ou de protecção de dados
• Uma disposição contractual sobre a responsabilidade dos empregados (contractados) no tratamento de informações externas

Durante o emprego - As responsabilidades da gestão de topo.

Os funcionários devem estar cientes de suas responsabilidades de segurança da informação. Este é o objectivo de A.7.2, e mais importante, os colaboradores devem estar à altura destas responsabilidades.

A primeira medida (A.7.2.1) visa a obrigação da direcção de encorajar os seus empregados a implementar a segurança da informação de acordo com as políticas e procedimentos estabelecidos. Para isso, os seguintes pontos devem ser regulamentados como um mínimo:

• De que forma a gestão de topo encoraja os colaboradores a implementar? Onde existem riscos?
• Como garante que os funcionários estejam cientes das directrizes implementadas para lidar com a segurança da informação?
• Como verifica se os funcionários aderem às directrizes para lidar com a segurança da informação?
• Como eles motivam os seus funcionários a implementar políticas e procedimentos e a aplicá-los com segurança?

Criando consciência

No capítulo 7.3 "Conscientização", a ISO 27001 exige que as pessoas que desempenham actividades relevantes estejam cientes do seguinte

• Da política de segurança da informação da organização
• Da contribuição que dão para a eficácia do sistema de gestão da segurança da informação (SGSI)
• Os benefícios de um melhor desempenho da segurança da informação
• As consequências do não cumprimento dos requisitos do SGSI

Os novos funcionários, em particular, precisam de informações regulares sobre o assunto, por exemplo, por e-mail ou via intranet, além do briefing obrigatório sobre questões de segurança da informação. A formação concreta (especialmente sobre planos e exercícios de emergência), workshops sobre temas específicos e campanhas de sensibilização (por exemplo, através de cartazes) reforçam a sensibilização para o sistema de gestão da segurança da informação.

Por exemplo, a medida de referência A.7.2.1 no Anexo A da ISO 27001 também serve para criar uma sensibilização adequada para a segurança da informação. As organizações devem treinar e educar os seus funcionários e, quando apropriado, os seus contractados sobre tópicos profissionalmente relevantes. As políticas e procedimentos correspondentes devem ser actualizados regularmente. Os seguintes aspectos, entre outros, devem ser levados em conta:

• A forma como a alta gerência, por sua vez, está comprometida com a segurança da informação.
• A natureza da educação e da formação profissional
• A frequência com que as políticas e procedimentos são revistos e actualizados
• Outras ferramentas que são utilizadas
• Medidas concretas para familiarizar os funcionários com as políticas e procedimentos internos de segurança da informação

DICA: Garanta o bom funcionamento da comunicação com múltiplos canais para a transferência de conhecimentos. Isto porque o conhecimento do SGSI e aspectos relacionados exigidos pela norma está intimamente relacionado com a transferência de conhecimento.

Processo Reprimand

Anexo 7.2.3: Esta medida especifica a forma como a organização irá lidar com as reprimendas em caso de violações da segurança da informação. A base para isso é um processo de acção correctiva. Este deve ser formalmente definido, estabelecido e anunciado. O seguinte deve ser assegurado:

• Devem existir critérios segundo os quais a gravidade de uma violação da política de segurança da informação é classificada
• O processo disciplinar não deve violar as leis aplicáveis
• O processo disciplinar deve conter medidas que motivem os funcionários a mudar o seu comportamento de forma positiva a longo prazo.

Fim do emprego - Responsabilidades

O Anexo A.7.3 da ISO 27001 especifica como meta um processo eficaz de rescisão ou mudança para proteger os interesses da organização. Este objectivo concentra-se nas responsabilidades pela rescisão ou mudança de emprego. Assim, as responsabilidades e obrigações relacionadas com a segurança da informação que permanecem após a rescisão ou mudança de emprego devem ser definidas, comunicadas e cumpridas. Faz sentido considerar estes aspectos:

• Acordos nos contractos de trabalho sobre como os empregados devem lidar com as responsabilidades e deveres relacionados com a segurança da informação contínua após a rescisão do contracto de trabalho.
• Mecanismos de monitorização para assegurar o cumprimento destes acordos
• Procedimentos para impor o cumprimento de responsabilidades e deveres contínuos

Segurança cibernética através da segurança sistemática do pessoal

A ameaça de dentro é real - e a maioria das empresas está ciente disso. De acordo com um estudo de segurança (Balabit 2018), os funcionários que têm amplos direitos de acesso são particularmente vulneráveis a ataques. E com funcionários envolvidos em 50% de todas as violações de segurança, 69% dos profissionais de IT respondentes consideram que uma violação de dados internos é o maior risco. No entanto, pouco está sendo feito a respeito disso. Na prática, muitas vezes é difícil fazer acusações contra a equipa interna. Especialmente nas pequenas e médias empresas (PME), onde as pessoas se conhecem umas às outras, muitas vezes é depositada nelas uma certa confiança - por vezes com consequências desagradáveis. Uma gestão bem estruturada da segurança da informação fornece a base para garantir a segurança da informação que requer protecção.

Conclusão: A ISO 27001 na prática - Anexo A

No Anexo A.7, a ISO/IEC 27001:2022 fornece medidas de referência para a segurança do pessoal que devem ser implementadas como parte da introdução da norma. As empresas devem utilizar estes controlos como base para a sua concepção individual e mais aprofundada da sua política de segurança da informação. As medidas não se baseiam na desconfiança dos funcionários, mas em processos de pessoal claramente estruturados.

O Guia ISO 27002 define uma larga variedade de medidas de segurança gerais para suportar as organizações na implementação dos requisitos do Anexo A da ISO 27001. No início de 2022, o guia foi compreensivamente revisto e actualizado. A nova edição fornece aos gestores de segurança de informação uma visão precisa das alterações espeadas com a revisão da ISO 27001

Competência e confiança

As empresas certificadas valorizam os sistemas de gestão como ferramentas para a gestão de topo que criam transparência, reduzem a complexidade e proporcionam segurança. No entanto, os sistemas de gestão fazem ainda mais: Avaliados e certificados por uma terceira parte neutra e independente como a DQS , criam confiança com as partes interessadas no desempenho da sua empresa.

Muitas organizações ainda experimentam a certificação como uma verificação de conformidade. Nossos clientes, por outro lado, vêem isso como uma oportunidade de focar em factores críticos de sucesso e nos resultados do seu sistema de gestão. Porque as nossas principais competências residem no desempenho das auditorias e avaliações de certificação. Isso torna-nos um dos fornecedores líderes mundiais com a pretensão de estabelecer novos padrões de confiabilidade, qualidade e orientação para o cliente em todos os momentos.

Atenção: Os nossos artigos são escritos exclusivamente pelos nossos especialistas internos em sistemas de gestão e por auditores de longa data. Se você tiver alguma dúvida para os nossos autores sobre segurança da informação (ISMS), por favor, entre em contacto connosco. Estamos ansiosos para conversar consigo.