Família ISO 27000 - Segurança da Informação
ISO 27001 – Gerenciamento da Segurança da Informação
ISO 27033-3 – Segurança em redes de computadores
ISO 27033-4 – Comunicação segura entre rede e Gateways
ISO 27033-5 – Comunicações segura para redes virtuais privadas (VPN)
ISO 27033-6 – Segurança em Redes Sem Fio
ISO 27036 – Segurança da Informação no relacionamento com fornecedores
ISO 27039 – IDS IPS
ISO 27040 – Segurança de Armazenamento
A ISO 27036 aborda assuntos de relacionamento com os fornecedores, elabora uma análise e levantamento de riscos para aprimorar a segurança. Onde ambos, deverão adotar políticas de segurança e permissões de acesso.
O importante aqui é notar que quando falamos em “Fornecedor”, não é apenas no modelo clássico de negócios, entenda por “Fornecedor” qualquer “Fornecedor de informação”, neste caso um cliente pode ser considerado um “Fornecedor”.
Dentre os riscos levantados através desta comunicação, podemos listar:
- Fornecer mais informações que o necessário, o ideal é fornecer apenas o essencial.
- Boa parte dos acesso às informações não precisam estar disponíveis 24 horas por dia, uma boa prática é restringir o acesso apenas durante o horário comercial.
- Monitorar se os acessos realizados acompanham aquilo que foi previsto. Caso um fornecedor não utilize o acesso, o interessante é desabilitá-lo.
Através desta norma, são possíveis determinar controles, que irão aumentar a segurança da comunicação com os fornecedores nos seguintes quesitos:
- Aprimorar a gestão de relacionamento, criando um ambiente mais seguro e duradouro;
- Estabelecer melhorias em ambas as partes no que se diz respeito a segurança da comunicação entre as TIC (Tecnologia da Informação e Comunicação);
- Aplicar políticas de acesso e protocolos de segurança seguros e atualizados;
- Ampliar a responsabilidade entre ativos com informações valiosas, incluindo logs de acesso e controles, afim de auxiliar em auditorias e perícias forenses.
Em cenários que fornecem espaço para fornecedores enviarem informações para a empresa, é interessante possuir conhecimento sobre as normas da ISO 27040 que fala sobre a segurança de armazenamento e sobre ISO 27033-5 que aborda sobre as VPN.
Gostou da ISO 27036 – Relacionamento com fornecedores, e quer conhecer mais normas de Segurança da informação? Conheça a ISO 27039 – IDS IPS.