Vivemos em um mundo hiperconectado, os processos e recursos associados a informação, são considerados ativos críticos para o funcionamento de uma organização. Você pode contar com a ISO 27000, e obter diversos benefícios como:
1 – Possuir um método organizado para apoiar o processo de especificação, implantação, operação e manutenção de um SGSI;
2 – Ter assistência para gerenciamento da segurança da informação dentro do contexto de risco, gestão e governança;
3 – Alinhar conceitos e boas práticas adotadas globalmente, de uma forma não-prescritiva, possibilitando a adaptação de acordo com necessidades específicas do seu negócio;
4 – Gestão mais eficaz dos investimentos destinados a segurança da informação.
O que é a ISO 27000?
Existem várias ISOs no mercado. Diante desse cenário, surge a seguinte dúvida: quais são os tópicos abordados pela ISO 27000? Esse certificado aborda questões referentes a segurança da informação.
Todas as normas presentes nessa família se convertem para o Sistema de Gestão da Segurança da Informação (SGSI). Ele conta com princípios que criam parâmetros para a segurança dos dados (sejam eles on-line ou off-line) e a melhor maneira de armazenar as informações.
Quais são os princípios da ISO 27000?
Destacamos anteriormente que os preceitos presentes na ISO 27000 convertem para normas em relação à segurança dos dados. Entre os principais princípios presentes nessa norma estão a disponibilidade, a integridade, a confidencialidade e a autenticidade. Abordaremos sobre essas questões detalhadamente na sequência do post. Continue lendo!
Confidencialidade
Sem dúvida, esse é um dos pilares mais importantes quando o assunto é segurança da informação. Isso porque, esse princípio permite que somente as pessoas autorizadas tenham acesso a determinados dados, ou seja, garante o sigilo das informações.
A confidencialidade, por exemplo, não permite que um funcionário da recepção veja as notas fiscais lançadas pela companhia. Além disso, dificulta a ação de invasores que querem acessar às informações da sua empresa.
Integridade
O principal objetivo da integridade é garantir, como o próprio nome diz, que os dados sejam armazenados e permaneçam íntegros. Dessa forma, as informações presentes tornam-se mais resistentes às falhas, o que garante também maior confiabilidade nos dados presentes.
A principal forma de garantir a maior integridade em relação aos dados é por meio das cópias de segurança, também conhecida como backup. Por meio dessa técnica, os dados são salvos em mais de um local e isso evita que você perca as informações referentes ao seu negócio.
Disponibilidade
Em muitas situações, esse aspecto costuma ser esquecido, no entanto, ele é de fundamental importância. Isso porque, não adianta contar com uma estrutura com boas práticas de confidencialidade e integridade se o sistema não funciona quando os empregados precisam dele.
Dessa forma, podemos afirmar que o principal objetivo da disponibilidade é deixar as informações disponíveis para todas as pessoas que precisarem dela. A grande vantagem disso é que todos os funcionários terão acesso aos dados necessários sempre quando precisarem, o que fornece maior confiabilidade no sistema.
Agora, você deve estar se perguntando: como alcançar uma boa disponibilidade? O principal segredo disso é utilizar servidores que sejam redundantes, ou seja, fazer o uso de um segundo servidor. Ele é responsável por assumir a operação nos casos de falha no outro. Essa estratégia, inclusive, possibilita a manutenção do funcionamento dos servidores e computadores mesmo quando acontece, por exemplo, uma queda de energia elétrica.
Autenticidade
A autenticidade, por sua vez, garante a autoria de um determinado dado. Por meio dela, por exemplo, é possível garantir que foi determinado indivíduo que enviou uma informação. Um aspecto derivado desse princípio é o do não repúdio.
Por meio desse conceito, quem enviou uma mensagem ou um dado não pode negar que fez o procedimento. A assinatura digital é um exemplo de ferramenta que garante a autenticidade, pois ela assegura que uma determinada informação foi enviada por uma pessoa específica.