REVIEW: ISO 27001 e a Segurança da Informação no trabalho remoto

Imagem retirada do webinar sobre ISO 27001 e a Segurança da Informação.

Este é o meu primeiro post no Blog da Qualidade e vou falar sobre um assunto polêmico: ISO 27001 e a Segurança da Informação no trabalho remoto. 

O tema foi abordado em um Webinar que aconteceu dia 29 de abril, mas é um assunto que ainda assombra muitas empresas.  

A conversa foi conduzida pelo Jeison, CEO da Forlogic e contou com a participação do Neifer França, diretor da QMS Certificadora, e com o Rogério Meira, diretor da ATSG, especialistas na ISO 27001.

Aqui farei uma síntese, mas para se aprofundar no assunto, assista o Webinar completo:

As mudanças no trabalho por conta do isolamento social

Há alguns meses, com os colaboradores na empresa, o trabalho funcionava muito bem. O andamento dos projetos estava a todo vapor, as entregas estavam sendo feitas de forma consistente, e não tínhamos tanta dificuldade em executar as atividades do dia a dia.

De repente tudo mudou e, em alguns casos, 100% dos colaboradores foram trabalhar no modelo home office! Contudo, um mundaréu de mudanças tiveram de ser realizadas.

Estamos em meio a uma pandemia, vivendo tempos incertos e cheio de novos desafios, e o maior deles: o trabalho remoto. O que temos observado na mudança do modelo de trabalho? Estamos trabalhando de forma efetiva? 

Dentre muitas características observamos: 

  • a reestruturação na entrega de produtos e serviços; 
  • dificuldade  na supervisão e monitoramento dos processos; 
  • dificuldade em determinar a autonomia dos colaboradores; 
  • dificuldade em realizar o trabalho, que antes era muito simples; 
  • antes acreditávamos em discursos sobre o trabalho e que nessas condições deixamos de acreditar por não ser um discurso real; 
  • etc.

O volume de pessoas em home office, em conjunto com a rapidez com que tudo isso aconteceu, gerou uma explosão de riscos que ainda não conseguimos reconhecer. No entanto, vários desses riscos estão ligados à segurança da informação. Por exemplo: utilizar uma rede doméstica sem as devidas configurações de segurança. 

A aplicação de controles de segurança estão sendo realizados? Como estamos mantendo a segurança das informações que passam pelas nossas mãos diariamente? Estamos garantindo com efetividade os três pilares da segurança da informação (confidencialidade, rastreabilidade e disponibilidade)?

Como a ISO 27001 ajuda neste cenário?

A ISO 27001 e a Segurança da Informação pode nos auxiliar com esse desafio. Ela é um padrão para a gestão da segurança da informação e devemos adotá-la como uma ferramenta para os negócios da empresa. Por isso, mesmo que você ainda não tenha a intenção de se certificar nesta norma, como uma boa prática, você pode utilizar algumas partes dela para aplicar na sua realidade.

Em seu Anexo A, a ISO 27001 lista os controles que podemos implantar de acordo com a aplicabilidade de cada requisito. Também são  alinhados com a ISO 27002, que é um código de práticas que auxiliam aplicação do Sistema de Gestão da Segurança da Informação. 

Vale lembrar que quando falamos de segurança da informação não estamos nos referindo apenas a tecnologia, mas a tudo que envolva informação. A segurança também é relacionada a situações de quando você abre um relatório, por exemplo, ou informações não públicas perto de outras pessoas. Pode ser também quando você conversa com outra pessoa sobre determinada informação ou envia informações por aplicativos não seguros, entre outros casos..

Controles e cultura de segurança de informação

Para mantermos a segurança da informação durante o trabalho remoto é necessário implantar alguns controles e boas práticas. Alguns exemplos dessas práticas: 

  • manter uma conexão à rede local segura, 
  • conexão via VPN, 
  • disponibilizar uma política sobre uso de redes não seguras, 
  • manter o computador sempre protegido (de ameaças físicas ou de sistemas, por exemplo antivírus ativado), 
  • manter o sistema operacional do computador sempre na versão atualizada, 
  • e o mais importante é conscientizar a equipe sobre a segurança da informação e as consequências de quando não zelamos por ela.

Além de implantar controles é necessário cultivar e incorporar a Segurança da Informação na cultura da organização. Fazemos isso trabalhando a conscientização e mentalidade de riscos, e, mais importante, trazendo o assunto para o dia a dia e realidade da empresa.

whatsapp

Receba as melhores notícias do dia por WhatsApp.

Clique aqui e confira nossos grupos!