Como parte do nosso plano de melhoria contínua, há alguns meses, nos desafiamos a certificar a ISO 27001, uma norma que define o estatuto de classe mundial em Segurança da Informação, e conseguimos realizá-la em menos de quatro meses! Isso representa um recorde para o setor, em que normalmente demora entre 6 e 24 meses. Mas não é só isso: também conseguimos certificar sem constatações – ou seja, não recebemos quaisquer observações durante o processo.
A ISO 27001 é uma norma internacional que protege a confidencialidade, a integridade e a disponibilidade da informação, proporcionando confiança em uma gestão de risco adequada. A certificação demonstra o compromisso das empresas em preservar a privacidade dos dados dos seus clientes, bem como em resguardar os seus processos internos de forma eficiente.
A Pomelo foi uma das primeiras empresas da América Latina a ser certificada na norma PCI-DSS nível 1 versão 4.0, que regulamenta e define os requisitos para operar com meios de pagamentos. E agora com a norma ISO 27001, cobrimos outra frente, os aspectos de gestão, pois busca conformar o que se chama de Sistema de Gestão de Segurança da Informação, também conhecido como SGSI.
A primeira versão da ISO 27001 foi lançada em 2005 e, desde então, foi atualizada várias vezes. A última versão data de 2022 e define 4 áreas de interesse geral, que por sua vez definem 93 pontos de controle específicos.
Na Pomelo, foi possível certificar com base numa análise aprofundada para avaliar a melhor estratégia de abordagem do projeto. O caminho para a implementação do SGSI exigiu o esforço coletivo de várias áreas, que tiveram de trabalhar em conjunto para cumprir os objetivos deste quadro regulamentar.
Como em qualquer implementação inicial, enfrentamos desafios exigentes, mas, ao mesmo tempo, aprendemos algumas lições, que compartilhamos a seguir:
Definir o âmbito exato: tal como no PCI-DSS 4.0, o objetivo inicial da certificação inclui a identificação do "caminho crítico" de todos os serviços e sistemas a serem revistos, de modo a ajustar e reforçar os controles onde são realmente necessários. Para tal, nossas equipes trabalharam no planejamento das principais questões associadas à gestão da Segurança da Informação. A partir daí, foram estabelecidas prioridades e um calendário de tarefas que, juntamente com outras fontes de informação, como orçamentos, priorização de requisitos, projetos futuros, etc, definem o Plano Anual que estabelece a direção e o horizonte do SGSI.Consolidar a documentação: como em qualquer sistema dedicado à gestão, a norma ISO 27001 exige que seja dada especial atenção à documentação de todos os processos, sistemas e serviços no seu âmbito. Para cumprir este objetivo, foi necessário reformular, atualizar ou gerar uma grande parte do quadro regulamentar associado ao âmbito do SGSI. Isto de forma a cobrir cada um dos aspectos exigidos pela norma, além de consolidar toda a documentação num novo portal interno, explicitamente dedicado à sua divulgação e disponibilização.Reforçar a Gestão do Risco: o processo de certificação incluiu a consolidação de um comitê dedicado à Segurança da Informação, no qual são abordados e definidos todos os riscos decorrentes do SGSI. Esta nova entidade governa de forma abrangente a Gestão do Risco Tecnológico, seja avaliando o impacto de eventuais novas ameaças, definindo o seu tratamento, seja informando a gestão dos resultados dessas análises.Governança do controle das alterações: uma parte fundamental do SGSI consiste em poder demonstrar uma rastreabilidade suficiente de cada alteração efetuada nos serviços abrangidos. As equipes de Segurança de Acesso e Plataforma trabalharam para obter um circuito de Controle de Acesso e Controle de Alterações refinado, respetivamente, integrado nos sistemas que constituem o núcleo do Pomelo, gerando as evidências necessárias para cumprir o objetivo.Classificar TODA a informação: foram ajustados e otimizados os critérios de classificação da informação definidos para o esquema PCI-DSS, alargando o âmbito de forma integral. Desta forma, se abrange todo o fluxograma desde onde trafegam, residem e são armazenados os dados alcançados pelos processos. Para além disso, foram incorporados os contratos comerciais, a documentação associada a terceiros e todos os circuitos internos de mensagens.Demonstrar como mantemos a continuidade do negócio: ao contrário do PCI-DSS, a ISO 27001 propõe controles associados à recuperação dos serviços em caso de incidentes que ameacem o seu funcionamento normal. Para cumprir estes requisitos, a Pomelo explora as capacidades de resiliência da cloud, tanto a nível multi-regional como multizonal, o que lhe permite obter tempos de resposta ágeis, suportados e demonstrados em testes de utilização precisos, devidamente documentados e programados.Documentar a relação com os fornecedores: para realizar as operações comerciais atuais da Pomelo, foi necessário estabelecer, em tempos, acordos de serviços com vários fornecedores, cada um especializado numa área específica. A norma ISO 27001 exige um detalhamento explícito e ordenado dos controles de segurança implementados por todos estes fornecedores, de modo a provar que cumprem os mesmos requisitos de segurança que a Pomelo e a detectar qualquer possível desvio ou situação irregular.Dominar o Mapa de Ameaças: como qualquer sistema de gestão, a natureza do nosso SGSI tem como objetivo mantê-lo como se fosse um sistema "vivo", que é continuamente alimentado e adaptado ao aparecimento de novos riscos e ameaças.Para conseguir esta dinâmica, fazemos parte de vários grupos de interesse especializados em diferentes áreas temáticas da Segurança da Informação e Cibersegurança, tanto a nível local como regional e global, que reportam continuamente todo o tipo de eventos relevantes. Na tarefa específica de Threat Intelligence, estes relatórios são classificados, identificados e documentados, sendo depois reportados às equipes internas que devem tomar medidas.
Reforço da Monitorização de Incidentes: um dos pontos fortes da Pomelo reside na nossa capacidade de gerar alertas e tomar medidas imediatas em caso de eventos que ameacem o normal funcionamento dos serviços. É o que demonstra o painel de controle publicado em https://status.pomelo.laEstas tarefas e o seu funcionamento foram documentadas como parte do circuito de resposta a incidentes exigido pela norma ISO 27001, cobrindo mais do que o esperado a esta altura.Conduzir uma Ciberconsciencialização abrangente: Por fim, vale a pena mencionar o trabalho interno árduo realizado para divulgar os objetivos do SGSI. Ao longo do processo de certificação, todos os colaboradores foram informados, integrados e sensibilizados para as implicações da sua implementação, os controles que os envolvem e os ajustes esperados de cada um deles. A sua colaboração constante foi fundamental para a eficácia do sistema, fato que foi comprovado pelos vários testes e amostras concretas realizadas pelas equipes de auditoria externa.O fato de termos obtido a certificação é apenas o ponto de partida! O SGSI requer uma atenção constante, que por natureza conduz a um plano de melhoria contínua, otimizando cada vez mais o processo para atingir os resultados esperados.
Ao longo do caminho, criámos uma nova frase que resume o espírito do que esta certificação representa para nós e que nos acompanhará daqui para a frente: Uma só Pomelo, uma só segurança!
Somos a equipe de especialistas no mercado financeiro que está por trás da voz, ou melhor, das Words da Pomelo. Contaremos tudo sobre o mercado, tendências, produtos, tecnologias, práticas recomendadas e histórias de pessoas do nosso time em primeira mão.
Agende uma reunião com o nosso time.
