A aceitação total da essência do que está acontecendo para nós foi a passagem por uma auditoria de certificação de acordo com a ISO 27001 e a obtenção do cobiçado certificado. Hoje estamos completando uma série de artigos. No final do material, você encontrará links para artigos anteriores.
Ao se preparar para a auditoria, em primeiro lugar, preste atenção aos detalhes formais da visita ao escritório do auditor. Isso é necessário para que o processo seja o mais eficaz e indolor possível.
- Concordar com a autoridade de certificação sobre as datas da auditoria
Normalmente, o mês da auditoria é discutido previamente, durante a negociação do contrato com a autoridade de certificação. Mais perto da data da auditoria, a autoridade de certificação provavelmente oferecerá uma escolha de intervalos de visita e você precisará alinhá-los com a programação do pessoal-chave que estará envolvido na auditoria. Se você certificar vários sites em cidades diferentes, pense cuidadosamente sobre a logística e coordene com a equipe de auditoria.
- Ponto não óbvio - esclarecer a composição e o histórico da equipe de auditoria
Este item pode ser útil do ponto de vista da segurança empresarial. Obviamente, controlar a independência da equipe de auditoria é, antes de tudo, tarefa do organismo de certificação. No entanto, erros acontecem com todos, portanto, não será supérfluo verificar a biografia de auditores em potencial, pelo menos no LinkedIn.
Por exemplo, descobrimos que um dos auditores é um funcionário atual de nosso concorrente direto. Felizmente, isso foi descoberto antes do início da auditoria e tudo deu certo, pois ele foi excluído da equipe. Mas os riscos potenciais de negócios nesta situação seriam significativos.
- Concordar com a equipe de auditoria sobre o plano de auditoria
Isso é necessário para entender quais funcionários e departamentos estarão envolvidos na auditoria e em quais dias da auditoria ela ocorrerá.
Normalmente, o plano especifica a programação para cada dia de auditoria por hora, indicando quais partes do sistema de gestão de segurança da informação e quais serviços serão auditados em um momento ou outro.
- Reserve o tempo dos colegas que farão parte da auditoria
Depois de saber o cronograma aproximado da visita da equipe de auditoria, você pode planejar o tempo de seus colegas. Normalmente, os auditores desejam realizar reuniões com a alta direção da empresa, com a área de segurança da informação (obviamente) e com os responsáveis pela operação das áreas a serem certificadas.
Por exemplo, na nossa área de certificação, foram declarados 5 serviços principais e o auditor entrevistou os chefes de cada um dos departamentos responsáveis pela prestação desses serviços. É importante prever a substituição dos chefes de departamento para entrevistas (em caso de doença, viagem de negócios, férias, etc.).
- Realizar treinamento e controle de conhecimento para todos os funcionários
A questão parece complicada, mas na verdade não é tão ruim. Todos os funcionários devem estar envolvidos de alguma forma no sistema de gestão da segurança da informação e cumprir as regras estabelecidas pelas políticas. No entanto, o nível de responsabilidade dos funcionários pela segurança da informação depende da posição e das especificações do trabalho. Implementamos isso da seguinte forma: todos os funcionários, dependendo de suas posições, podem ter uma ou mais funções na área de segurança da informação. Cada função tem seus próprios requisitos para o funcionário, mas absolutamente todos os funcionários da empresa têm a função básica "Usuário". O treinamento e o controle adicional do conhecimento devem ser focados nessa função.
Usamos testes para controlar o conhecimento dos funcionários. Existem muitos sistemas deste tipo no mercado, mas utilizamos a funcionalidade incorporada no portal corporativo. Em nossa experiência, os auditores verificam os resultados dos testes e podem fazer aos funcionários perguntas de controle dos testes.
- Realize um treinamento separado para os colegas que participarão da auditoria
A essa altura, já deve ter sido realizado um treinamento geral para todos os colaboradores (para que saibam por que e porque as mudanças estão ocorrendo nos processos da empresa). No entanto, atenção especial deve ser dada aos colegas que estarão diretamente envolvidos na auditoria. Vale alertar que durante a auditoria nada de criminoso acontecerá - basta informar a equipe de auditoria sobre seu trabalho diário e, se necessário, responder a perguntas específicas.
- Cuide de todos os passes e autorizações necessários para a equipe de auditoria
Lembre-se de que a auditoria começará antes mesmo que a equipe da autoridade de certificação esteja em sua sala de reuniões. A entrada para o centro de negócios é a primeira "linha de defesa". Aqui, os auditores avaliam a seriedade com que a segurança física dos escritórios é garantida. Se você estiver alugando um espaço de escritório, então os auditores provavelmente vão querer examinar os contratos com os proprietários para determinar a delimitação das responsabilidades das partes pela segurança física. E se a realidade for diferente do que está escrito no contrato, podem surgir problemas. Em alguns casos, é necessário trabalhar separadamente com o serviço de segurança do business center.
Por exemplo, nosso auditor percebeu que existe uma cláusula no contrato com o centro de negócios que todo visitante recebe um passe, mas ele não recebeu nenhum passe na entrada do centro de negócios. Ao que respondemos que o acordo não menciona a emissão de um passe "disponível" - consequentemente, o passe foi emitido, mas não emitido :)
Se o perímetro de certificação incluir centros de dados, certifique-se de emitir passes especiais para auditores com antecedência. Além disso, aconselhamos que discuta a próxima visita com as pessoas de contato dos data centers e esclareça qual dos funcionários responderá às perguntas dos auditores sobre a segurança física dos data centers.
Treinamento técnico
A preparação técnica para uma auditoria é um dos pontos mais importantes e difíceis. Antes da primeira auditoria, nossa equipe de TI precisava suar muito. Vamos começar com a segurança física.
Claro, a maior parte da segurança física será atribuída ao serviço de segurança do centro de negócios: trata-se do acesso ao edifício, segurança e alarmes de incêndio, vigilância por vídeo, etc. Pois bem, da nossa parte foi necessário realizar uma “auditoria” das medidas para garantir a segurança física nos escritórios:
- Substitua ou adicione sistemas de controle de acesso (ACS) em vários escritórios.
- Verifique a fiabilidade dos cofres e a qualidade da sua instalação (se estão aparafusados ao chão).
- Faça uma auditoria dos arquivos (existem fechaduras, marcações).
- , , .
- . , .. . , , ( , , Wi-Fi ..).
A seguir, vamos falar sobre padronização - uma das etapas mais importantes para uma modernização rápida e facilidade de manutenção posterior. Essa abordagem economizou muito tempo de preparação. Por exemplo, atualizamos o sistema operacional (sistemas operacionais) nos computadores de trabalho dos usuários. Apesar do processo caro, essa atualização foi necessária para criptografar discos de computador, bem como otimizar nossos serviços, hardware e políticas para um sistema operacional específico.
É claro que, em questões de criptografia, havia algumas armadilhas: se as estações de trabalho têm HDDs clássicos (não SSD ou M2), trabalhar em tal computador se torna um tormento. Portanto, também tivemos que modernizar parte do hardware do escritório. A segunda dificuldade é que os discos rígidos dos computadores tornaram-se muito menos “ativos”. Bem, e a terceira nuance - tornou-se necessário inserir a senha do bitlocker ao carregar. Naquela época, ainda não tínhamos tempo para configurar o desbloqueio da rede e o TPM não estava em todos os lugares, e habilitar o trabalho com o TPM sem desbloquear a rede é inútil do ponto de vista da segurança da informação.
Conforme mencionado acima, transferimos a capacidade do servidor principal para um data center dedicado. Tínhamos uma pequena sala de servidores equipada, mas, na maioria dos casos, "nossas" salas de servidores perdem em termos de segurança física para sites especializados.
Note que a escolha de data centers para Co-Location é bastante grande: além disso, existem data centers no mercado que são certificados de acordo com a ISO 27001. No nosso caso, foi escolhido um data center que não estava oficialmente certificado de acordo com ISO27001 ou TIER III, mas ao mesmo tempo tinha todas as soluções técnicas necessárias e especialistas competentes. Alguns dos riscos associados ao data center principal foram cobertos pelo data center de backup. Como resultado, dois data centers “mais simples” custam menos do que um data center com todos os certificados.
Trabalhar com hardware de servidor se tornou um capítulo separado na epopeia da certificação. Tivemos que atualizar seriamente o sistema operacional dos servidores, o que exigiu muito tempo da equipe. muitos dos serviços são de código aberto. Sim, também usamos serviços da Microsoft, mas a certificação nos impulsionou a transferir todos os serviços possíveis para software de código aberto. Assim, começamos a implementar ativamente a infraestrutura como abordagem de código. Um dos benefícios significativos que experimentamos é a economia de espaço devido à falha no backup de uma série de serviços.
A principal prova de qualquer coisa em uma auditoria é um registro, no sentido mais amplo da palavra. Do ponto de vista técnico, são vários registros. Na preparação para a auditoria, passamos muito tempo trabalhando com logs usando o sistema de gravação de logs ELK. Este sistema tornou-se uma espécie de "varinha mágica", eliminando a necessidade de coletar logs manualmente, pois Graças ao ELK, a equipe de TI pode economizar muito tempo enquanto investiga incidentes. Além disso, graças ao sistema, o problema do backup de logs foi resolvido.
Estas são apenas as principais funções em termos de formação técnica. No entanto, vamos seguir em frente e passar para o dia X - a auditoria do SGSI da empresa .
Como está indo a auditoria
O principal documento que o examinador estuda no âmbito de uma auditoria de certificação é a Declaração de Aplicabilidade (doravante - SoA). Deve indicar 114 controles da norma ISO 27001, sua aplicabilidade / inaplicabilidade para a empresa e a forma como esses controles são implementados. Na verdade, este documento é um reflexo de muitos meses de trabalho na implementação desta norma.
Como regra, ao lado de cada ponto do SoA deve haver um link para um documento (política), que descreve como a empresa implementa este ou aquele controle. O auditor verifica se tudo o que está escrito no SoA é verdadeiro.
Para fazer isso, ele olha:
- O quão bem suas políticas / documentos de ISMS estão em conformidade com a ISO 27001;
- , .
«» – , , - .. – , , , .
Se nas políticas internas você se referir ou mencionar um padrão de terceiros, ele deverá ser anexado às políticas (ou seja, uma cópia oficial deve ser adquirida). Assim, numa primeira fase, o auditor trabalha com documentos e, na segunda, “vai para o campo”.
A segunda etapa, parece-nos, é a mais insidiosa, mas também a mais interessante. Paradoxalmente, a equipe interna que se preparava para a auditoria deixou muitas emoções positivas. Qual é a razão para isto? Este é provavelmente um tópico para um artigo separado.
Na segunda etapa, é feita a verificação "física" dos escritórios e data centers (tudo o que consta no perímetro de certificação).
Ao se preparar para a visita do auditor ao data center, você deve primeiro concordar com o data center sobre a alocação de uma pessoa para se reunir com o auditor. Além disso, esse funcionário deve ter um alto nível de treinamento e conhecimento sobre o trabalho de data centers. Os auditores estarão totalmente interessados na segurança do data center: sistemas de ar condicionado, canais de comunicação, sistemas de fornecimento de energia, geradores, acesso físico, etc.
Como parte da auditoria em todos os locais, o auditor geralmente registra o seguinte no relatório:
- Evidência de conformidade
Esta é uma evidência de conformidade com a norma que o auditor encontrou durante a auditoria.
- Não Conformidade Maior
Isso é algo que a empresa deve evitar de todas as formas possíveis - um descasamento que compromete a eficácia de todo o SGSI. A ação corretiva deve sempre ser tomada para tal discrepância. O certificado não pode ser emitido até que a não conformidade significativa seja fechada. Portanto, será necessária outra visita do auditor para verificar o encerramento desta não conformidade. Em regra, a empresa dispõe de 90 dias para tal. Também deve ser lembrado que a visita adicional do auditor será cobrada à parte.
- Não conformidade menor (não conformidade menor)
Pequenas inconsistências não representam um grande problema para a empresa - com base nos resultados da auditoria, será suficiente preencher um formulário onde você descreve como e em que prazo está planejado para eliminar a inconsistência. Sua presença não afeta a emissão de um certificado. No entanto, se não forem eliminados antes da próxima auditoria, eles se tornarão não-conformidades materiais.
- Área de preocupação (área que requer atenção)
Esses são elementos do sistema de gestão (geralmente afetando seu desempenho) que podem impedir uma empresa de atender aos requisitos da norma em um futuro previsível. Não são inconsistências, mas requerem atenção da empresa. É melhor eliminá-los sempre que possível.
- Oportunidade para melhorias
São oportunidades para o desenvolvimento do SGSI da empresa, que o auditor conseguiu identificar durante a auditoria. Estas são dicas da série "como fazer o sistema funcionar ainda melhor."
- Ponto forte (ponto forte)
Aqui, o auditor anota os elementos de seu SGSI que são “melhores práticas”, ou seja, particularmente eficazes. Você poderia dizer que este é um elogio aberto pelo que você fez realmente bem.
Com base nos resultados da auditoria, você receberá um relatório detalhando todos os pontos identificados acima, que devem ser utilizados na preparação para a próxima auditoria.
Como viver?
Quando você finalmente recebeu o tão esperado certificado, não relaxe: você precisa confirmar a conformidade com o padrão da empresa anualmente. A partir de agora, a auditoria passará a fazer parte do orçamento da empresa.
A principal tarefa da empresa certificada é manter o sistema de gestão de segurança da informação em funcionamento e acumular registros que comprovem o funcionamento dos controles a partir da declaração de aplicabilidade.
Mas há boas notícias: uma auditoria completa ocorre a cada três anos. Dentro de dois anos após a auditoria de certificação, verificações menos significativas são realizadas - auditorias de inspeção. Eles diferem no escopo da verificação: durante uma auditoria de inspeção, os controles da aplicação de aplicabilidade são verificados seletivamente e o auditor pode não visitar todos os locais. Ou seja, essas visitas costumam ser mais rápidas e fáceis.
Conclusão
A certificação ISO 27001 é uma medida útil tanto para o funcionamento do próprio negócio quanto para a satisfação de seus clientes. Apesar de o volume de tempo e os custos financeiros parecerem enormes, são investimentos que compensam em tempos difíceis do ponto de vista da segurança da informação. Esperamos que nossa série de artigos ajude todos os que embarcaram no caminho emocionante de obter um certificado.
Leia os materiais anteriores do ciclo:
5 estágios de adoção inevitável da certificação ISO / IEC 27001. Negação de
5 estágios de inevitabilidade da certificação ISO / IEC 27001. Raiva de
5 estágios da adoção inevitável da certificação ISO / IEC 27001. Negociando
5 etapas da inevitabilidade da adoção da certificação ISO / IEC 27001. Depressão