O que seria a norma ISO/IEC 27001 – Gestão da Segurança da Informação?
A ISO 27001 é uma norma internacional de Gestão de Segurança da Informação, que tem como princípio geral a adoção de um conjunto de requisitos, processos e controles, que visam gerir adequadamente os riscos de Segurança da Informação presentes nas organizações. A norma é elaborada por diversos especialistas da área, que contribuem com seu know-how e experiência para estabelecer um padrão estável e maduro de Gestão de Segurança da Informação.
A implementação da ISO 27001 busca garantir um elevado compromisso com a proteção da informação, que é uma das principais preocupações da atualidade, fornecendo às organizações um modelo de melhores práticas para identificar, analisar e, então, implementar controles para gerenciar riscos de segurança da informação e proteger a confidencialidade, integridade e disponibilidade de dados essenciais aos negócios.
Podemos afirmar que a norma é passível de ser aplicada em qualquer tipo de organização, com ou sem fins lucrativos, privada ou pública, e de qualquer porte, uma vez que a ISO 27001 representa um nível considerável de confiabilidade para organizações que interagem com uma empresa certificada.
Como funciona a implementação da ISO 27001? Qual o custo da implementação?
A implementação da ISO 27001 tem como premissa a adoção dos requisitos, políticas, processos, procedimentos, controles e práticas descritas e requeridas pela norma. É claro que, ajustadas a realidade da empresa como um todo. Sendo assim, o tempo de implementação varia de acordo com a realidade, maturidade, tamanho e cultura de cada organização. Mas não poderíamos deixar de citar as principais etapas da implementação:
- Obter apoio da alta direção e realizar o planejamento de todas atividades necessárias.
- Definir o escopo do Sistema de Gestão de Segurança da Informação.
- Definir a metodologia de identificação, avaliação e tratamento de riscos.
- Escrever a declaração de aplicabilidade que contenha os controles necessários.
- Escrever o plano de tratamento de riscos.
- Definir como será mensurado o nível de eficácia dos controles.
- Implementar todos os controles e procedimentos aplicáveis de acordo com a declaração de aplicabilidade.
- Implementar programas de treinamentos e conscientização.
- Executar todas as atividades diárias definidas pela documentação do Sistema de Gestão de Segurança da Informação.
- Monitorar e avaliar o Sistema de Gestão de Segurança da Informação.
- Realizar auditoria interna e análise crítica.
- Implementar ações corretivas caso seja necessário.
O custo da implementação varia de acordo com a realidade organizacional de cada organização e também alguns outros detalhes que podem influenciar diretamente na complexidade do plano de ação da implementação, como por exemplo: número de colaboradores, filiais, ativos de informação e dentre outros aspectos.
Benefícios da ISO 27001
Melhores práticas
A ISO 27001 fornece as melhoras práticas referente a Gestão da Segurança da Informação, seus controles são reconhecidos internacionalmente, além de abrangerem a Segurança da Informação em todos os níveis.
Conformidade
A norma exige que você esteja em conformidade com todas as leis e requisitos contratuais, impactando positivamente na gestão de riscos, redução de impacto e governança corporativa. Ou seja, a metodologia implementada pela ISO 27001 consegue colocar o negócio em conformidade com a maioria das legislações de proteção de dados vigentes.
Redução de riscos
Com a análise de riscos e seu plano de tratamento, os controles são planejados e direcionados para evitar que qualquer ponto fraco do sistema seja explorado.
Redução de custos
Com uma análise de riscos bem estruturada, os investimentos em sua grande maioria tornam-se mais eficientes por serem orientados aos riscos, ao invés de investimentos baseados apenas em tendências. Ou seja, os recursos serão aplicados para reduzir os riscos de forma geral, ao invés de focar em uma determinada área e deixar as demais expostas.
Vantagem competitiva
Seguir as práticas da ISO 27001 e até mesmo possuir a certificação ISO 27001 demonstra o compromisso da empresa com a Segurança da Informação. Sendo assim, a confiabilidade dos clientes em relação a empresa aumenta consideravelmente. Além disso, uma empresa certificada pode aumentar o número de oportunidades de negócios, tendo em vista que muitas empresas no momento da contratação exigem que seus fornecedores ou parceiros detenham a certificação como garantia de conformidade com as leis e um alto nível de preocupação referente a Segurança da Informação.
Organização interna da empresa
A ISO 27001 define que é necessário determinar as responsabilidades e seus responsáveis, acabando com aquela dúvida de quem decide ou cuida de determinado assunto. Ou seja, quando as ações são bem definidas e os objetivos esclarecidos, o desempenho operacional torna-se mais efetivo. Além disso, a norma aumenta os níveis de aderência da sensibilidade, participação e motivação dos colaboradores no que tange a Segurança da Informação
Melhoria contínua
É uma das principais características e ações definidas pela norma. A ISO deixa evidente que a empresa deve assumir o compromisso de melhorar seus processos de gestão sempre que necessário. Por isso, auditorias devem ser realizadas para a empresa ter a chance de rever, analisar e alterar seus processos caso seja necessário devido um surgimento de um gap ou oportunidade.
Integração de sistemas de gestão
Uma das bases da ISO 27001 é o ciclo PDCA (Planejar, Fazer, Verificar, Agir), que também faz parte de outras normas de sistemas de gestão. Consequentemente, fica mais simples desenvolver um sistema de gestão único que atenda aos requisitos de outras normas, por exemplo, a ISO 9001 – Sistema de Gestão da Qualidade.
Como uma empresa pode obter a certificação?
Para obter a certificação da ISO 27001, após passar pelas etapas de implementação, a empresa deve se submeter a uma auditoria externa de certificação através de uma organização credenciada. Essa auditoria possui os seguintes estágios:
- Estágio 1 (Análise de lacunas): é o estágio onde os auditores verificam se os procedimentos e controles da ISO 27001 foram desenvolvidos. A entidade certificadora compartilha os resultados e, se caso for identificada alguma lacuna, ela poderá ser sanada.
- Estágio 2 (Avaliação Formal): se todas as exigências estiverem sido cumpridas, a entidade certificada inicia o 2º estágio que consiste em avaliar a implementação dos procedimentos e controles de sua empresa para certificar que eles estão funcionando efetivamente conforme a certificação exige. Geralmente os auditores realizam uma visita no local para auditar se todas as atividades da organização estão em conformidade com a ISO 27001 e com a documentação analisada previamente.
- Visitas de supervisão: após emissão do certificado ISO/IEC 27001, e durante sua validade, a organização receberá visitas regulares dos auditores para garantir que seu sistema de gestão não apenas permaneça em conformidade, mas que também melhore continue.
Segurança de dados precisa ser uma prioridade
Seja através da implementação e certificação da ISO-27001 em sua empresa ou a utilização das melhores práticas, softwares e soluções de segurança, o fundamental é compreender que manter seus dados seguros precisa ser uma prioridade.
Em breve falaremos mais sobre a ISO-27001, mas sugiro que continue aprofundando seus conhecimentos com nosso blog. Temos muitos conteúdos sobre segurança da informação, infraestrutura de TI, telefonia IP e outros tópicos relacionados que podem agregar muito valor a sua empresa.
Clique aqui e acesse.
[wp-review id=”17480″]