Como parte do nosso plano de melhoria contínua, há alguns meses, nos desafiamos a certificar a ISO 27001, uma norma que define o estatuto de classe mundial em Segurança da Informação, e conseguimos realizá-la em menos de quatro meses! Isso representa um recorde para o setor, em que normalmente demora entre 6 e 24 meses. Mas não é só isso: também conseguimos certificar sem constatações – ou seja, não recebemos quaisquer observações durante o processo.
A ISO 27001 é uma norma internacional que protege a confidencialidade, a integridade e a disponibilidade da informação, proporcionando confiança em uma gestão de risco adequada. A certificação demonstra o compromisso das empresas em preservar a privacidade dos dados dos seus clientes, bem como em resguardar os seus processos internos de forma eficiente.
A Pomelo foi uma das primeiras empresas da América Latina a ser certificada na norma PCI-DSS nível 1 versão 4.0, que regulamenta e define os requisitos para operar com meios de pagamentos. E agora com a norma ISO 27001, cobrimos outra frente, os aspectos de gestão, pois busca conformar o que se chama de Sistema de Gestão de Segurança da Informação, também conhecido como SGSI.
Como é que certificamos a ISO 27001?
A primeira versão da ISO 27001 foi lançada em 2005 e, desde então, foi atualizada várias vezes. A última versão data de 2022 e define 4 áreas de interesse geral, que por sua vez definem 93 pontos de controle específicos.
Na Pomelo, foi possível certificar com base numa análise aprofundada para avaliar a melhor estratégia de abordagem do projeto. O caminho para a implementação do SGSI exigiu o esforço coletivo de várias áreas, que tiveram de trabalhar em conjunto para cumprir os objetivos deste quadro regulamentar.
Os desafios da certificação: o que aprendemos
Como em qualquer implementação inicial, enfrentamos desafios exigentes, mas, ao mesmo tempo, aprendemos algumas lições, que compartilhamos a seguir:
- Definir o âmbito exato: tal como no PCI-DSS 4.0, o objetivo inicial da certificação inclui a identificação do “caminho crítico” de todos os serviços e sistemas a serem revistos, de modo a ajustar e reforçar os controles onde são realmente necessários.
Para tal, nossas equipes trabalharam no planejamento das principais questões associadas à gestão da Segurança da Informação. A partir daí, foram estabelecidas prioridades e um calendário de tarefas que, juntamente com outras fontes de informação, como orçamentos, priorização de requisitos, projetos futuros, etc, definem o Plano Anual que estabelece a direção e o horizonte do SGSI. - Consolidar a documentação: como em qualquer sistema dedicado à gestão, a norma ISO 27001 exige que seja dada especial atenção à documentação de todos os processos, sistemas e serviços no seu âmbito. Para cumprir este objetivo, foi necessário reformular, atualizar ou gerar uma grande parte do quadro regulamentar associado ao âmbito do SGSI. Isto de forma a cobrir cada um dos aspectos exigidos pela norma, além de consolidar toda a documentação num novo portal interno, explicitamente dedicado à sua divulgação e disponibilização.
- Reforçar a Gestão do Risco: o processo de certificação incluiu a consolidação de um comitê dedicado à Segurança da Informação, no qual são abordados e definidos todos os riscos decorrentes do SGSI. Esta nova entidade governa de forma abrangente a Gestão do Risco Tecnológico, seja avaliando o impacto de eventuais novas ameaças, definindo o seu tratamento, seja informando a gestão dos resultados dessas análises.
- Governança do controle das alterações: uma parte fundamental do SGSI consiste em poder demonstrar uma rastreabilidade suficiente de cada alteração efetuada nos serviços abrangidos. As equipes de Segurança de Acesso e Plataforma trabalharam para obter um circuito de Controle de Acesso e Controle de Alterações refinado, respetivamente, integrado nos sistemas que constituem o núcleo do Pomelo, gerando as evidências necessárias para cumprir o objetivo.
- Classificar TODA a informação: foram ajustados e otimizados os critérios de classificação da informação definidos para o esquema PCI-DSS, alargando o âmbito de forma integral. Desta forma, se abrange todo o fluxograma desde onde trafegam, residem e são armazenados os dados alcançados pelos processos. Para além disso, foram incorporados os contratos comerciais, a documentação associada a terceiros e todos os circuitos internos de mensagens.
- Demonstrar como mantemos a continuidade do negócio: ao contrário do PCI-DSS, a ISO 27001 propõe controles associados à recuperação dos serviços em caso de incidentes que ameacem o seu funcionamento normal. Para cumprir estes requisitos, a Pomelo explora as capacidades de resiliência da cloud, tanto a nível multi-regional como multizonal, o que lhe permite obter tempos de resposta ágeis, suportados e demonstrados em testes de utilização precisos, devidamente documentados e programados.
- Documentar a relação com os fornecedores: para realizar as operações comerciais atuais da Pomelo, foi necessário estabelecer, em tempos, acordos de serviços com vários fornecedores, cada um especializado numa área específica. A norma ISO 27001 exige um detalhamento explícito e ordenado dos controles de segurança implementados por todos estes fornecedores, de modo a provar que cumprem os mesmos requisitos de segurança que a Pomelo e a detectar qualquer possível desvio ou situação irregular.
- Dominar o Mapa de Ameaças: como qualquer sistema de gestão, a natureza do nosso SGSI tem como objetivo mantê-lo como se fosse um sistema “vivo”, que é continuamente alimentado e adaptado ao aparecimento de novos riscos e ameaças.
Para conseguir esta dinâmica, fazemos parte de vários grupos de interesse especializados em diferentes áreas temáticas da Segurança da Informação e Cibersegurança, tanto a nível local como regional e global, que reportam continuamente todo o tipo de eventos relevantes. Na tarefa específica de Threat Intelligence, estes relatórios são classificados, identificados e documentados, sendo depois reportados às equipes internas que devem tomar medidas.
- Reforço da Monitorização de Incidentes: um dos pontos fortes da Pomelo reside na nossa capacidade de gerar alertas e tomar medidas imediatas em caso de eventos que ameacem o normal funcionamento dos serviços. É o que demonstra o painel de controle publicado em https://status.pomelo.laEstas tarefas e o seu funcionamento foram documentadas como parte do circuito de resposta a incidentes exigido pela norma ISO 27001, cobrindo mais do que o esperado a esta altura.
- Conduzir uma Ciberconsciencialização abrangente: Por fim, vale a pena mencionar o trabalho interno árduo realizado para divulgar os objetivos do SGSI. Ao longo do processo de certificação, todos os colaboradores foram informados, integrados e sensibilizados para as implicações da sua implementação, os controles que os envolvem e os ajustes esperados de cada um deles. A sua colaboração constante foi fundamental para a eficácia do sistema, fato que foi comprovado pelos vários testes e amostras concretas realizadas pelas equipes de auditoria externa.
Quais são os próximos passos?
O fato de termos obtido a certificação é apenas o ponto de partida! O SGSI requer uma atenção constante, que por natureza conduz a um plano de melhoria contínua, otimizando cada vez mais o processo para atingir os resultados esperados.
Ao longo do caminho, criámos uma nova frase que resume o espírito do que esta certificação representa para nós e que nos acompanhará daqui para a frente: Uma só Pomelo, uma só segurança!