Por que a ISO 27001 é aplicada para informações em papel?

paper-3224638_640

Texto traduzido e adaptado de “Why is ISO 27001 applicable also for paper-based information?“, originalmente escrito por Rhand Leal.

A informação digital tem se tornado o padrão aceito para tratamento de informações, porém ainda há situações em que as organizações utilizam informações baseadas em papel, e está documentação deve ser protegida de acordo com a importância e sensibilidade para os negócios.

Apesar de ser mais conhecido como padrão relacionado a informações digitais, a ISO 27001, o padrão para gerenciamento de segurança da informação, também pode ser utilizado para proteger informações em documentação física. Desta forma, pode ser utilizado contra ameaças e vulnerabilidades relacionadas em formatos baseados em papel.

Exemplos de informações em papel

As pessoas podem pensar que a informação em papel é algo do passado, mas isso não é verdade. Alguns exemplos de informações confidenciais em papel que encontramos nas atividades diárias das organizações são:

  • Anotações manuscritas feitas pelo CEO durante as reuniões estratégicas da organização
  • Storyboards iniciais ou especificações para novos produtos ou sistemas
  • Notas adesivas usadas para acompanhar o progresso dos projetos mais críticos

Principais ameaças e vulnerabilidades relacionadas à informações em papel

Informações baseadas em papel compartilham ameaças e vulnerabilidades comuns com informações que existem em outras mídias, mas, devido a sua própria natureza, algumas dessas ameaças e vulnerabilidades podem trazer mais riscos às organizações:

Erro humano: As pessoas podem perder documentos, preenchê-los incorretamente , o que pode causar uma parada ou um gargalo nos processos de negócios.

Causas naturais: Os documentos em papel são suscetíveis a danos causados por água, incêndios ou outras causas naturais e, para informações baseadas em papel, cuja versão original é a mais importante para os negócios, esses eventos podem ser catastróficos.

Descarte impróprio: A destruição adequada de documentos em papel pode consumir muito tempo, e isso pode levar as pessoas a descartarem esses documentos de maneira a tornar seus conteúdos facilmente recuperáveis. O que pode acarretar em vários problemas, dependendo das informações descartadas, por exemplo o comprometimento das estratégias de negócios e a posição de marketing, ou até mesmo afetar a vida dos funcionários ou clientes.

Como a ISO 27001 pode ajudar a proteger informações em papel

A ISO 27001 é uma norma que visa proteger as informações independentemente de sua forma, o que significa que os requisitos em suas seções principais e seus controles, também podem ser aplicados a informações baseadas em papel. A seguir estão alguns elementos desse padrão para proteger informações armazenadas em mídia física:

  • Estabelecimento e conscientização de papéis e responsabilidades: Por meio de controles como funções e responsabilidades de segurança da informação, uso aceitável de ativos, conscientização, educação e treinamento em segurança da informação, os funcionários podem entender melhor seus papéis na proteção de informações, diminuindo assim as chances de comprometimento das informações.
  • Estabelecimento de práticas para controle de documentos e registros: A norma exige o estabelecimento de práticas apropriadas para criar, atualizar, aprovar, disponibilizar, revisar e descartar informações. Quando uma organização adota essas prática, incidentes como documentos perdidos são evitados ou facilmente detectados.
  • Classificação e manipulação de informações: Nem todas as informações devem ser tratadas da mesma maneira, e isso pode economizar custos e esforços para proteger as informações. Ao adotar os controles da são de classificação de informações, uma organização define, usando critérios relevantes para os negócios, quais são as informações mais importantes, como devem ser identificadas e como devem ser tratadas.

Como a ISO 27001 não fornece detalhes sobre como implementar controles, é importante entender a ISO 27002, um padrão de suporte que pode fornecer orientações e recomendações para a implementação de controles. Outras fontes de controle, como o National Institute of Standards and Technology (NIST) , também podem ser utilizadas.

Não esqueça que informações baseadas em papel precisam de proteção adequada

Hoje vivemos em um mundo conectado, com tantas informações nas pontas dos dedos, e é fácil esquecer que alguns negócios ou atividades ainda dependem muito de informações baseadas em papel. E esse esquecimento pode ser um grande risco para algumas organizações.

Clavis possui extensa experiência na avaliação de conformidade a padrões de segurança e entende que a conformidade não deve ser considerada de maneira arbitrária. Em outras palavras, para a Clavis, o conjunto de leis, normas e regulamentos a serem considerados em uma avaliação de conformidade irá depender do setor, da estratégia e da missão de cada empresa.

Neste sentido, a Clavis ajuda a selecionar os padrões e requisitos que fazem sentido para sua empresa e, a partir daí, a avaliar o grau de conformidade corrente, e a montar uma estratégia para alcançar o grau desejado de conformidade.

Conheça o serviço de Avaliação de Conformidade da Clavis, clique aqui.

Ao adotar a ISO 27001, um padrão que não depende de tecnologias específicas, as organizações podem criar uma estrutura com controles organizacionais, técnicos e físicos para proteger adequadamente suas informações em papel. Com o apoio de políticas, procedimentos, equipamentos e ambiente físico, adaptados às necessidades e objetivos do negócio, as organizações podem trabalhar dentro de riscos aceitáveis.

Para mais detalhes sobre a aplicação da ISO 27001 em informações baseadas em papel, clique aqui.