Olá pessoal tudo bem eu sou o Fernando Ferreira CEO da audit Safe estou aqui novamente para comentar com você três controles que vocês devem prestar atenção quando a gente tá falando da Norma ISO [Música] 27001 não se esqueçam de curtir aqui o canal da kms clicar no Sininho e compartilhar com seus amigos as no para vocês serem avisados automaticamente sempre que tiver um vídeo novo a respeito dos assuntos que nós falamos aqui queria comentar com vocês um primeiro aqui quando a gente tá falando não é novo tá gente quem trabalha com segurança da informação há
muito tempo já tem isso um pouco enraizado mas é a questão de controle de acesso controle de acesso ela tem vários graus de dificuldade né Às vezes você tá começando a sua empresa é você e seu sócio você dá acesso para você e seu sócio a tudo depois você tem um só só aí você tem uma pessoa um analista financeiro depois você tem o seu sócio analista financeiro mais uma pessoa de RH ou seja partindo do pressuposto que sua empresa tá crescendo as complexidades também aumentam Principalmente as de segurança por você passa a ficar mais
exposto a questão da gestão de acesso ela acho que é a primeira e uma das mais críticas e críticos fatores quando a gente tá falando de segurança da informação e a norma ela dá sim controles muito bons e consistentes para você estruturar seus processos adequadamente então primeiro dica que eu dou quando a gente falar de controle de acesso entenda o mecanismo e o fluxo do negócio da sua empresa para você estruturar o seu processo da melhor forma possível lembre-se que a execução do controle de acesso é uma coisa ela não é a segurança da informação
uma área de segurança uma área de controle de acesso ou a área de Tecnologia que vai ficar responsável em adivinhar desculpa o trocadilho mas quando alguém é entra novo na empresa ou quando sai que que eu quero dizer com isso que há ramificações e há integrações desse processo com outras áreas da empresa como recursos humanos ou área de gente de gestão departamento eh eh pessoal ou seja tem várias ramificações que um processo faz parte por por isso que é legal a questão da da do controle de acesso por quê Porque ele vai verificar está ligado
com várias áreas da empresa então é importante estruturar uma matriz de permissionamento pô quem acabou de entrar na empresa tem acesso básico do quê aí ele foi colocado numa área qual área que ele vai ter acesso quais dados que ele vai ter acesso sistemas né E quando ele sair ele for movimentado tem que prever como tirar aqueles acessos e colocar outros acessos porque senão a pessoa vai passando pelas áreas e só vai agrupando acessos e ficando daqui a pouco ela tem acesso à empresa inteira e não é correto isso né fora que se você pensar
eh ela tem acesso a uma determinada aplicação a um determinado sistema muito bem Tem vários permissionamento vários controles que ela tem lá dentro que precisam ser também olhados com mais acuracidade com mais exatidão que que eu também quero dizer com isso eh existe em aplica matrizes de conflitos de perfis de acesso e essas matrizes elas precisam ser adequadamente trabalhadas para verificar se a pessoa também não tem conflito com as funções ou com os perfis que ela executa então a questão é muito importante quando a gente fala de controle de acesso primeiro dar os acessos adequados
remover os acessos adequados né Para ninguém ficar agrupando acesso isso remete muito a a um pilar né que é a confidencialidade que na confidencial ou seja As pessoas só T que ter acesso àquilo que estritamente vão precisar para usar o seu trabalho para sua atividade fim esse é um ponto o segundo ponto que eu acho interessante a gente comentar também é a questão de riscos gestão de riscos de segurança a gente fala muito né de um processo atualmente chama tprm a siga em inglês que é o Third par Risk Management né que é gestão de
riscos de fornecedores você tem uma perninha lá dentro que é a gestão de riscos de segurança da informação então como eu disse num vídeo anterior eh as empresas elas avaliam os riscos de segurança que seus fornecedores trazem pro negócio dela então se você conseguir fazer implementar adequadamente um processo de gestão de riscos ele vai te ajudar a ficar de novo com nível de maturidade muito superior em termos da governança da segurança da informação e você vai estar adequado a se conectar em vários outros clientes seus sem levar riscos para ele o que também te dá
uma margem melhor né de competitividade com seus clientes então a questão da gestão de riscos até mesmo quando você tá preenchendo a declaração de aplicabilidade numa eventual auditoria ele vai te perguntar Poxa Por que que você tá me dizendo que Esse controle não foi aplicado ou foi aplicado Qual a de riscos que você fez para colocar para diminuir eh o que você identificou como sendo um risco potencial de vazamento de dados de perda de confidencialidade integridade ou disponibilidade então a Gestão de Risco ela tem assim uma importância muito forte quando a gente tá falando aqui
no contexto da iso 27001 é rápido aqui né claro aqui a mensagem que eu tô dando Mas é para jogar aí realmente um uma uma pulga atrás orelha de vocês para buscarem mais informações a respeito Claro f aqui à disposição e tem mais um ainda terceiro ponto que eu queria trazer aqui é com relação à criptografia desde os primórdios de segurança da informação eh você não faz segurança sem criptografia Se você tá falando também de privacidade de dados você não consegue fazer nada sem controle de acesso que eu já comentei aqui e sem criptografia dados
tudo que você imagina o que você faz hoje pela internet pelo seu celular Onde esteja aí navegando digitalmente suas informações para você é muito transparente né para PR as pessoas usuário Cis é muito transparente mas é tudo criptografado não existe segurança sem criptografia e ela ajuda é um controle até complementar ao controle de acesso propriamente dito Porque dependendo da análise de riscos que você fez Você também precisa implementar criptografia eh no seu controle ou no seu ambiente então para resumir temos esses três pontos que eu queria trazer nesse bate-papo super rápido controle de acesso gestão
de riscos e a questão de criptografia para proteção de dados beleza eu sou o Fernando tô aqui na kms um parceiro nosso curta aqui o nosso vídeo clique no Sininho para você ser lembrado dos próximos que eu ainda vou fazer outros vocês vão participar demais aqui e fico à disposição para dúvidas viu Muito obrigado k [Música]
![[RECOMENDADO] Revisão da ISO 9001 em 2024](https://img.youtube.com/vi/MJaIVOMMSqQ/maxresdefault.jpg)
![[SG4] Certificação "ISO", o que é isso?](https://img.youtube.com/vi/gpaWHWMsgfQ/maxresdefault.jpg)
