Dar prioridade à Ciber-segurança: Fluke Reliability Obtém Certificação ISO 27001

A Ciber-segurança é uma prioridade para a eMaint e toda a Fiabilidade da Fluke. Graças à dedicação do Gabinete de Segurança da Informação da Fluke, a Fluke Reliability recebeu a certificação ISO/IEC 27001:2013 em Outubro de 2021. A gestão eficaz dos riscos de segurança da informação é central para o sucesso da Fluke Reliability e dos seus clientes.

A ISO 27001 é uma das normas de segurança da informação internacionalmente reconhecidas. Oferece um quadro para a implementação de um sistema de gestão da segurança da informação (ISMS) que assegura a confidencialidade, integridade e disponibilidade dos dados da empresa. Isto inclui dados tais como informação financeira, propriedade intelectual, detalhes de empregados, e mesmo informação gerida por terceiros. Um SGSI eficaz protege contra ataques informáticos, fugas de dados e esforços de hacking ou roubo.

Matthew Hudon, director de segurança da informação da Fluke, explicou que a equipa do Gabinete de Segurança da Informação avaliou várias opções de certificação em 2020 antes de decidir sobre a ISO 27001. "Tem a ver com o sistema de gestão e não com quaisquer controlos específicos que possa ter em vigor", disse ele. "A Fluke já tem a certificação ISO 9001 para a sua engenharia de hardware, pelo que se enquadra no tema".

Um dos primeiros passos no processo de certificação foi a utilização da Publicação Especial NIST 800-53 "a fim de termos uma lista de verificação de coisas que precisávamos de implementar de uma perspectiva de segurança na nuvem", acrescentou Hudon.

Outro passo inicial no processo foi o lançamento de uma ferramenta de governação, risco, e conformidade (GRC). "Uma ferramenta GRC era onde podíamos acompanhar todo o nosso progresso, os controlos específicos a que tínhamos de aderir, e ser capazes de fornecer provas de que esses controlos eram seguidos", disse Josh Ciaramitaro, líder da GRC de segurança da informação para a Fluke. Isto envolveu a criação do fórum de segurança da informação de gestão (MISF), que é uma colecção dos departamentos e líderes que ajudaram a conduzir as iniciativas de cibersegurança. O MISF reuniu-se regularmente para colaborar nas tarefas que tinham de ser concluídas para obter a certificação ISO.

A obtenção da certificação, bem como todo o trabalho que foi feito para obter o certificado, reflecte a declaração de missão do Gabinete de Segurança da Informação:

A missão do Gabinete de Segurança da Informação da Fluke é proteger a confidencialidade, integridade e disponibilidade da informação dos clientes, funcionários e organizações, tornando a segurança da informação programática e cultural em toda a organização.

Uma vez concedida a certificação, esta dura três anos. A manutenção da certificação nesse período envolve auditorias regulares para assegurar que todas as acções e controlos adequados se mantêm em vigor.

"Se é o proprietário de um sistema como o Salesforce, quer ter a certeza de que, no mínimo trimestralmente, esse administrador de sistema está a fazer uma revisão de todos os que ainda estão activos nesse ambiente", explicou Ciaramitaro. "Portanto, se houver um empregado despedido ou transferido que já não necessite de acesso, isso está a ser respondido em tempo útil". Tais revisões reduzem o risco de potenciais violações.

Outros requisitos abrangem áreas tais como formação e sensibilização, segurança física do local, e testes de segurança de produtos.

Com a Fluke Reliability tendo obtido uma certificação de terceiros, os clientes e potenciais clientes podem ter acrescentado confiança nas normas e práticas de segurança cibernética FRS. "Não somos apenas nós a dizer-lhes que estamos a fazer algo, é uma terceira parte independente", disse Hudon. "A ISO é um organismo mundial que leva estas coisas muito a sério, pelo que os auditores têm de ser certificados. Há apenas um punhado de empresas no mundo que podem realmente emitir a certificação. Por isso, é-lhes assegurado que um terceiro independente, muito qualificado, entrou e verificou que o que dizemos é de facto verdade. Mas podem imaginar que isso apenas dá muito conforto aos departamentos de segurança dos nossos clientes".

A certificação abrange também processos relacionados com a recuperação de desastres. "Tudo, desde um evento cibernético a um desastre físico, passando por um furacão, o que quer que seja", disse Hudon. "A recuperação de desastres é uma parte realmente grande da ISO, e é também uma grande preocupação dos clientes, por isso querem garantir que temos os processos adequados em vigor, para que se algo acontecer, isso não afecte os seus serviços".

"O nosso RPO e RTO, que são objectivo de ponto de recuperação e objectivo de tempo de recuperação, são 12 e 24 horas. Assim, dizemos a um cliente: "Se algo acontecer, temos um evento de resgate, temos algum tipo de desastre, poderemos iniciar os seus serviços de volta dentro de 24 horas, e poderemos ter os dados que estão nesse ambiente de recuperação não menos de 12 horas". Portanto, de três em três meses, eles têm de testar isso para se certificarem de que, sim, os backups estão a funcionar, o processo está a funcionar, e isto pode de facto ocorrer se tivermos um desastre".

Os clientes interessados e potenciais clientes podem ver a Declaração de Aplicabilidade (SoA) através do portal de segurança da FRS. A SoA define o âmbito de aplicação da seguinte forma:

O FRS Information Security Management System (ISMS) é responsável pela gestão dos requisitos de segurança interna e externa para todos os Ambientes de Desenvolvimento, GQ, e Produção que apoiam todas as Soluções SaaS Globais Fluke Reliability.