Normas ISO de cibersegurança na nuvem

27 Dezembro, 2021

Quando trabalhamos com serviços de armazenamento cloud, uma grande pergunta que surge é a segurança com a qual nossos documentos serão tratados, sejam eles contratos ou informação sensível sobre a organização. Por isso, as empresas que prestam este tipo de serviços devem garantir a integridade, confidencialidade e disponibilidade dos dados dos seus clientes.

Considerando, também, que nos dias de hoje a privacidade da informação pessoal (ou Personally Identifiable Information - PII) tem sido um tema primordial para o cumprimento da Lei Geral de Proteção de Dados (LGPD no Brasil, GDPR na Europa) em todo o mundo, e sua aplicação legal tem sido acelerada nos países da América Latina. 

Existem normas ISO (International Organization for Standardization) que envolvem uma ampla gama de políticas e controles de segurança. Partindo, por exemplo, da implementação de um Sistema de Gestão de Segurança da Informação (SGSI), descrito no ISO 27001, que dá especial foco à gestão de risco para o seu tratamento.

Esta norma base ISO 27001 se complementa com outras normas exigidas para cada negócio, como por exemplo a norma ISO 27701 que nos propõe a implementação de um Sistema de Gestão de Privacidade da Informação (SGPI), para a segurança dos dados pessoais. Do mesmo modo, as normas ISO 27017 e 27018 nos entregam uma série de controles que apontam a fortalecer a cibersegurança em serviços cloud. A seguir, contamos tudo o que você precisa saber sobre o assunto. 

Contar com uma certificação ISO é um dos parâmetros mais importantes na hora de escolher um provedor de serviços na nuvem. Esta certificação garante altos padrões na segurança da informação, um dos ativos mais valiosos para as empresas que prestam serviços Cloud, seja nas modalidades IaaS, PaaS ou DBaaS (Infrastructure, Platform or Data Base as a Service),  ou naquelas cujo modelo é o SaaS (Software as a Service), como é o caso de Webdox CLMS. Na nossa plataforma, a política de desenvolvimento de software seguro se complementa com os altos padrões de segurança da Google Cloud Platform (GCP).

Ao respeito, as normas ISO 27001, 27701, 27017, 27018 e 27032 constituem alguns dos principais padrões para proteger a cibersegurança e garantir a integridade da informação armazenada na nuvem, serviço oferecido por grandes empresas Data Centers como Amazon Web Services (AWS), Google Cloud Platform (GCP) ou Microsoft Azure.

 

Normas ISO para a segurança na nuvem

1. ISO 27001

No geral, a norma ISO 27001 é um padrão gerado pela Organização Internacional de Normalização (ISO, pelas siglas em inglês) que descreve a maneira correta de gerenciar a segurança da informação dentro de uma empresa.

Trata-se da principal norma de segurança a nível global para a gestão da informação. Seu eixo central é o Sistema de Gestão da Segurança da Informação (SGSI), para o qual "todos os empregados da organização devem contribuir para o estabelecimento da norma”, como resume ISOTools.

Entendendo que é praticamente impossível garantir a segurança total da informação, a norma ISO 27001 busca que as organizações conheçam os riscos associados ao tratamento de informação, assumindo-os, minimizando-os e gerenciado-os com um processo documentado, sistemático, estruturado, eficiente, repetível e adaptável às eventuais mudanças que os riscos, o entorno e a tecnologia possam apresentar.

 

Para obter uma certificação ISO 27001, a empresa deve seguir certos passos:

  • Etapa prévia. Aqui, as empresas devem implementar 14 passos básicos para iniciar seu processo de certificação. Entre os principais, estão a utilização de uma metodologia de gestão de projetos, contar com o apoio de toda a direção no processo de implementação, definir o alcance do sistema de segurança, determinar uma política de avaliação de riscos, implementação de controles e medidas corretivas.
  • Auditoria de revisão. Pessoal externo revisará que o anterior se cumpra para dar seguimento ao processo de certificação.
  • Auditoria principal. Aqui, um grupo de auditores verificará que as medidas anteriores cumpram com seus objetivos. Se estiver tudo certo, a empresa pode ser certificada.
  • Revisões periódicas. Uma vez que a certificação for aprovada, o organismo monitora a empresa durante 3 anos para garantir que esta cumpra com os esforços de proteção de dados.

 

2. ISO 27701

A norma ISO 27701 é um padrão de segurança que nasce da publicação da General Data Protection Regulation (GDPR) no ano 2018, e que propõe implementar um Sistema de Gestão de Privacidade da Informação (SGPI) para a aplicação de políticas e controles que protejam os dados pessoais da empresa, seja do ponto de vista do Controlador de Dados Pessoais (Data Controller) ou do Processador de Dados Pessoais (Data Processor).

Quando falamos de Data Controller, estamos nos referindo àquela pessoa física ou jurídica, pública ou privada, que decide aspectos do tratamento dos dados pessoais como a sua finalidade, o uso e os prazos de conservação. O Data Controller também atende aos interessados por exercitar os seus direitos sobre a proteção de dados.

Já o Data Processor é o prestador de serviços, contratado pelo Data Controller, cuja função é acessar dados de caráter pessoal que estão sob responsabilidade deste. Inclusive, o simples acesso ou visualização dos dados já implica um “tratamento”, como no caso de fornecedores que prestam serviço de manutenção ou suporte de informática. Apesar de que eles não precisam manipular dados pessoais para prestar o serviço, podem ser considerados Data Processor. 

Esta norma contempla 31 controles dentro do anexo A - Data Controller e 18 controles no anexo B - Data Processor, passando pela segurança no armazenamento, transferência e solicitações de correção, acesso, cancelamento e oposição ao uso dos dados pessoais. 

 

3. ISO 27017

A norma ISO 27017 é um padrão de segurança que proporciona controles tanto para clientes como para provedores de serviços em nuvem.

Sua importância está na precisão com a qual estabelece as relações entre clientes e provedores de serviços em nuvem, determinando o que pode ser exigido pelo cliente e quais informações devem ser entregues pelo fornecedor.

O cumprimento deste guia permite fortalecer a cibersegurança e a gestão de serviços referentes à arquitetura, medidas de segurança, funcionalidades disponíveis, tecnologia de criptografia e localização geográfica dos dados. 

Esta norma contempla 37 controles na nuvem -baseados na ISO 27002-, junto a 7 adicionais que permitem fortalecer a segurança dos serviços cloud.

 

4. ISO 27018

A norma ISO 27018 constitui um compêndio de boas práticas - referentes a controles de proteção de dados - para serviços cloud, focada principalmente nos provedores.

Seu objetivo central é delimitar as normas, procedimentos e controles que os provedores - em sua qualidade de “processadores de dados” - devem aplicar. Além disso, garante o cumprimento da norma legal para a manipulação de dados pessoais.

 

5. ISO 27032

E por fim, nos encontramos com a ISO 27032, considerada como o novo padrão focado na cibersegurança, pois este se trata de um dos maiores riscos aos quais empresas de todo o mundo se enfrentam hoje em dia. 

Neste sentido, mesmo que exista a norma ISO 27001 que é focada na segurança da informação, a Organização Internacional de Normalização decidiu criar um princípio focado especificamente na cibersegurança para entregar maiores garantias e proteção às empresas.

"O ciberespaço é um ambiente complexo que consta de interações entre pessoas, software e serviços destinados à distribuição mundial de informação e comunicação". Trata-se de um contexto muito grande no qual "a colaboração é essencial para garantir um ambiente seguro”, afirmou a ISO ao apresentar este padrão.  

O principal objetivo desta ISO é outorgar um guia que permita garantir interações seguras no ciberespaço.

 

Provedores de serviços cloud que cumprem com as normas ISO

Posto que os padrões citados anteriormente buscam fortalecer a cibersegurança na nuvem, os principais provedores do mercado devem segui-los. 

Google Cloud Platform disponibiliza aos usuários a lista de normas, certificações e regulações com as quais cumpre para garantir a cibersegurança dos dados dos seus clientes. Portanto, este serviço cumpre os padrões que abordamos acima. 

Amazon Web Services (AWS) transparenta o cumprimento de todas as normas anteriores, além de seguir as leis e regulações específicas de cada país.

Cabe destacar também a Microsoft Azure, serviço que se baseia na vasta experiência da Microsoft oferecendo software empresarial para construir uma infraestrutura na nuvem segura e confiável, que conta com todas as certificações mencionadas anteriormente.

Ter estas certificações permitiu que AWS, Google Cloud e Microsoft Azure se posicionassem como os melhores provedores de serviços na nuvem. Graças aos controles implementados, tanto o modelo IaaS, PaaS, DBaaS como o SaaS tornaram-se mais seguros, confiáveis, transparentes e efetivos.

Neste sentido, e em cumprimento com a normativa vigente, o software de gestão de contratos Webdox CLM tem adotado as medidas técnicas e organizacionais de segurança e confidencialidade apropriadas para a categoria dos dados pessoais, necessárias para manter o nível de segurança exigido, com o objetivo de evitar ao máximo a alteração, perda, tratamento ou acesso não autorizado que possam afetar a integridade, confidencialidade e disponibilidade da informação.

Webdox CLM conta com uma equipe que preserva a segurança da informação, realizando provas de vulnerabilidade e entregando mais segurança aos seus usuários de duas formas concretas:

  • Servidores e infraestrutura: A informação que os Usuários adicionam em Webdox CLM é armazenada em data centers do Google Cloud Platform (GCP). Por isso, Webdox CLM aproveita as numerosas certificações de segurança que GCP possui atualmente (Google Cloud Compliance), para demonstrar segurança no armazenamento de informação. Além disso, a arquitetura de servidores de Google é adaptada para poder prevenir diferentes tipos de ataques informáticos.
  • Segurança da plataforma: a plataforma Webdox CLM contém uma série de funcionalidades pensadas para proteger a informação, associadas à administração de senhas, segurança das sessões, controle de IP no acesso ao sistema, criptografia de dados, controle de eliminação e perda de informação. E ainda, Webdox está certificado com a ISO 27.001, especificamente na plataforma de gestão de contratos CLM e assinatura eletrônica.

 

Contar com uma certificação ISO é um dos parâmetros mais importantes na hora de escolher um provedor de serviços na nuvem. Tal certificação garante altos padrões de segurança da informação, um dos ativos mais valiosos para as empresas que prestam serviços DBaaS (Data Base as a Service, ou Base de Dados como Serviço), assim como aquelas cujo modelo é o SaaS (Software as a Service), como no caso de Webdox CLM.

 

Contratos digitalizados e seguros na nuvem, você os encontrará em Webdox.

Falar com especialista

Cloud & Security VP
ASSINE A NOSSA NEWSLETTER
Preencha este campo obrigatório
Preencha este campo obrigatório
Preencha este campo obrigatório
-
ARTIGOS RELACIONADOS
-