Baseado nas normas da Certificação ISO 27001, o Sistema de Gestão de Segurança da Informação do SOC promove a cultura de proteção do software que envolve clientes, tecnologias, profissionais e departamentos da empresa.
Um dos diferenciais do SOC – Software Integrado de Gestão Ocupacional – é a detenção do selo ISO 27001, referente ao Sistema de Gestão de Segurança da Informação (SGSI). Algo pioneiro no segmento de sistemas informatizados para Segurança e Saúde do Trabalho (SST).
De meados de 2015 ao final de 2017, a norma contemplou mais de 100 mecanismos de controle, separados em dezenas de grupos integrados, o que permitiu uma certificação consistente e alinhada ao desejo de qualidade total do produto.
Agora, depois deste primeiro período em vigência, o Sistema de Gestão de Segurança da informação terá suas normas revalidadas.
Segundo Cibele Vasconcelos, Coordenadora de Segurança da Informação do SOC, a norma e a política de SGSI da empresa devem passar por revisão anualmente.
No caso da nossa política de SGSI para o segundo semestre de 2018, ela já foi aprovada pela diretoria e divulgada aos colaboradores no mês de julho.
No final do mês de agosto, promovemos um workshop interno sobre o tema, em que entregamos a cartilha do SGSI do SOC a todos os membros da equipe. Neste evento, trabalhamos o lado da conscientização e das novas tecnologias, aonde o próprio palestrante mostrou cenários externos daqueles que estamos acostumados a ver dentro da empresa. Foi algo interativo e com visão de futuro”.
Neste período, as normas de SGSI do SOC são todas revistas por um comitê especial. Este trabalho ainda contempla uma auditoria interna, nos quais são auditados os controles e os processos.
“Todos os setores da empresa são entrevistados para que dados consistentes sobre pontos de melhoria e fragilidade sejam trabalhados. Este exercício interno é de fundamental importância para a manutenção da nossa Certificação ISO 27001. A sua validade é de três anos, mas as revisões da norma são feitas a cada ano. Depois disso tudo, a revalidação externa do nosso selo será realizada no mês de outubro. É nesta fase que recebemos a renovação oficial, desde que tudo esteja em conformidade”.
Em caso de não conformidade, o auditor externo fará ressalvas à equipe SOC e dará um prazo para que as adequações sejam realizadas. É assim que funciona o processo auditado de renovação do selo.
“Depois da vigência de três anos, o SOC é obrigado a passar pelo processo de recertificação. Isso implica numa auditoria maior que a de 2018. A auditoria de manutenção é mais simples, a de recertificação pode levar dias ou semanas. Apesar do caráter mais simplificado desta revisão interna, tudo que for identificado como não implementado será apontado pelo auditor externo no mês de outubro. Estamos aperfeiçoando o ambiente interno e fomentando a melhoria contínua para atender esta revisão anual”.
Temáticas do workshop interno de SGSI
Cibele conta que o tema “vulnerabilidade” esteve entre as principais pautas do Workshop de SGSI do SOC. Nos últimos anos, os sistemas informatizados e as corporações têm sofrido com o aumento de casos relacionadas à segurança da informação.
“O cenário desfavorável está crescente. De 2016 a 2017, aumentou em cerca de 47% a incidência destas vulnerabilidades, incluindo ações de hackers e ataques cibernéticos. Além deste lado técnico, volto a reforçar que a cultura de conscientização é muito importante também. Não é possível colocar travas, bloqueadores e proteção em tudo, mas se tivermos colaboradores convictos dos benefícios da política de SGSI uma grande parcela deste trabalho terá êxito”.
Além dos workshops que têm por objetivo massificar as informações dentro da empresa, um processo de integração ao SGSI é realizado quando novos colaboradores são contratados pelo time SOC. Este trabalho visa individualizar o conhecimento sobre a política de segurança da informação da empresa.
“Exibimos vídeos aos novos membros da equipe e reforçamos diversos quesitos, normas e políticas sobre o tema. Mostramos tudo o que pode e o que não pode ser feito durante esta integração. No workshop de agosto, tivemos um dia inteiro de programação temática, dividido em turmas da manhã e da tarde, contemplando todo o quadro de colaboradores da equipe SOC. Neste dia, massificamos o conhecimento”.
Confira como foram os Workshops de SGSI anteriores:
► SOC promove 1º Workshop interno focado em Segurança da Informação.
► SOC realiza 2º Workshop de Segurança da Informação.
Testes de vulnerabilidade e penetração
Dentro deste processo de SGSI, o SOC promove “PenTest” (Teste de Penetração) em suas aplicações e plataforma operacional. São aplicados dois procedimentos deste tipo por ano. Semestralmente, o software passa por este tipo de verificação, por meio de testes gerenciados por consultorias externas.
“Recebemos um laudo dos consultores para que possamos tratar todos os níveis de criticidade em nossa aplicação. Além dos testes que nós mesmos contratamos para avaliar nossos mecanismos de defesa, redundância e reação, alguns clientes também submetem o SOC a testes próprios de vulnerabilidade. Isso ajuda muito em nossos processos de melhoria contínua com foco na Segurança da Informação”.
A coordenadora ressalta que todo “PenTest” é sucedido por um plano de ação, podendo ou não envolver as áreas de infraestrutura, desenvolvimento ou direção da empresa.
“Este trabalho visa, inclusive, a divulgação de datas para o saneamento dos problemas. No caso do workshop, aplicamos um ciclo PDCA para avaliarmos a existência de pontos de fuga em nossa cultura de segurança da informação. Não adianta investir em tecnologia e testes de penetração se o lado humano do processo está vulnerável de alguma forma. Seja por meio de ataque cibernético ou vazamento de informação, nunca devemos achar que o problema não baterá na porta. O SOC tem essa preocupação”, finalizou.
Confira como foi o Workshop de Segurança da Informação
Leia também:
► SOC aumenta investimentos em procedimentos de Segurança da Informação.
► SOC conquista a ISO 27001 referente à Segurança da informação.
► Certificação ISO 27001: diferencial SOC que garante a Segurança das Informações para o eSOCial.
