A ISO 27001 é uma norma certificável que atesta que sua empresa cumpre os requisitos do International Organization for Standardization (ISO) para gestão da segurança da informação. Seu conteúdo descreve o que é necessário para a implementação de um robusto Sistema de Gestão de Segurança da Informação (SGSI).
No momento atual, marcado pela intensa troca e armazenamento de informações (grande parte delas sensíveis) e pela entrada em vigor da LGPD, surge um crescente interesse do mercado em utilizar a implementação dessa norma como um caminho para prevenir vazamentos de dados e, obviamente, evitar prejuízos financeiros e de reputação.
O conjunto de requisitos descritos pela ISO 27001 auxilia a organização a se proteger de forma eficaz contra esses problemas, bem como diversos outros perigos relacionados à segurança da informação. Neste artigo sobre ISO 27001 você poderá entender:
A principal razão que faz uma organização implementar um Sistema de Gestão de Segurança da Informação, em conformidade com os requisitos da ISO 27001, é minimizar sua vulnerabilidade a violações de segurança. Seja qual for do tipo de informação - dados financeiros, códigos de software, listas de clientes/fornecedores - e independentemente do modo como ela é armazenada, são necessários controles de segurança robustos.
Quantas vezes já ouvimos alguém que teve seu dispositivo pessoal roubado dizer que as informações contidas nele eram mais valiosas do que o próprio aparelho? A perda dessas informações não ocorre somente através do roubo físico, mas também pelos vazamentos ou mesmo sequestros lógicos das informações contidas neles.
Esses questionamentos são comuns entre usuários em geral: será que meus dados estão seguros com essa empresa? Será que poderei ter meus dados indevidamente usados para abertura de contas bancárias, tomada de empréstimos ou outras operações fraudulentas? Essa é uma realidade no Brasil, e também vemos exemplos fora do país de pessoas públicas que sofreram prejuízos de imagem devido a vazamentos de dados.
A ideia de implementar um SGSI (Sistema de Gestão da Segurança da Informação) é garantir às organizações e aos seus clientes que suas informações sensíveis e/ou estratégicas estejam sempre protegidas. A adoção da ISO 27001 demonstra que sua organização está usando uma abordagem de mitigação de riscos para selecionar e implementar controles de segurança da informação.
Inicialmente, pode parecer que a implementação de um SGSI representa um alto custo financeiro, com pouco retorno. Na prática, os custos serão compensados pela prevenção e redução do impacto e da frequência dos incidentes de segurança. Além disso, ter um SGSI tornou-se um requisito para contratação de fornecedores por empresas de grande porte, e ter um selo da ISO 27001 em geral já garante a essas organizações o seu comprometimento com a segurança dos dados.
A norma ISO 27001 é composta de cinco seções que estabelecem os requisitos principais e um apêndice que contém controles de segurança, cada um com objetivos e foco específicos, organizados nos seguintes grupos:
De forma bem simples, a implementação da norma ISO 27001 pode ser realizada de acordo com o bom e velho ciclo PDCA (Planejar, Executar, Verificar e Agir), podendo ou não ser gerenciado por outras metodologias mais específicas. Aqui, apresentamos um roadmap de etapas básicas que recomendamos para a adoção da norma:
Essa etapa inicial define o escopo do projeto, o qual deve refletir com clareza os objetivos tanto do negócio quanto da implementação da ISO 27001. Isso inclui quaisquer requisitos, locais e departamentos específicos que serão impactados pelo SGSI.
A definição desse escopo é uma etapa importante, pois determina também o tempo, esforço e custo da iniciativa de adequação à norma. Quanto maior o escopo organizacional abordado pelo SGSI, mais tempo leva para a adaptação, mais esforço de vários departamentos será necessário e maior será também o custo da certificação em si.
Uma análise de gaps (lacunas) consiste em uma revisão minuciosa de todos os ativos presentes ou ausentes na organização que contribuem para o atendimento aos requisitos da norma. Basicamente, o objetivo é saber o quanto a organização está aderente e onde estão os pontos principais que precisam de melhorias para atender aos requisitos da norma, e que obviamente irão reduzir o risco das ameaças mapeadas.
Essa é uma etapa delicada. A organização que deseja implementar um SGSI deve fazer uma avaliação criteriosa de riscos para identificar todos os seus ativos de informação e considerar os riscos, ameaças e vulnerabilidades associados a eles. Isso permitirá que a organização mapeie as possíveis ameaças e foque as ações do SGSI na mitigação desses riscos.
A declaração de aplicabilidade deve listar todos os controles definidos na norma, explicando como e por que elas se aplicam ao escopo da organização, bem como foram atendidos dentro desse escopo.
Alguns controles definidos na ISO 27001 podem não se aplicar à sua organização ou para os riscos de segurança da informação aos quais ela está exposta. Se determinadas atividades, como transações eletrônicas, não forem realizadas na organização, os controles associados poderão ser formalmente excluídos.
A declaração de aplicabilidade (SOA) deve ser clara, concisa e de fácil compreensão. Como a ISO 27001 requer melhoria contínua, a documentação deve ser revisada e corrigida regularmente para refletir as mudanças nas práticas de negócios, nos processos e nos resultados do programa de melhoria contínua de segurança.
Por esta altura, a organização já tem uma boa compreensão de sua conformidade com os requisitos da norma em termos de segurança da informação. Agora é hora de desenvolver políticas, procedimentos e controles técnicos agora precisam ser desenvolvidos para proteger os ativos de informação contra os riscos que você identificou. Alguns podem exigir ações imediatas, enquanto outros simplesmente exigirão atualizações de regras ou instruções.
Muitas vezes, a organização já possui uma série de ativos organizacionais que podem e devem ser aproveitados pelo SGSI em implantação. Ter um programa de melhorias e um comitê de segurança da informação é um fator crítico de sucesso nesse tipo de iniciativa. Lembre-se de que é necessário que toda a organização, incluindo diretores e colaboradores, reconheça as ações realizadas por esse grupo e compreenda sua importância para a organização.
Uma vez que políticas, procedimentos e controles tenham sido desenvolvidos, é necessário que a organização os implante e os torne disponíveis para todos. Como toda organização é diferente, as práticas de trabalho também variam. A implementação de políticas deve ser auxiliada por treinamento, discussões e promoção. O envolvimento positivo da alta administração também é necessário para garantir que essas mudanças sejam adotadas e se tornem parte da cultura organizacional.
À medida que você realiza ações destinadas a melhorar a segurança da informação, é essencial atestar cada ação ou mudança no processo para garantir que ela forneça as melhorias necessárias. Isso pode incluir avaliação externa, testes de penetração ou revisão por pares.
Além disso, auditorias internas do SGSI precisam ser realizadas para assegurar que a organização está de fato seguindo todas as diretrizes definidas e controles técnicos e de governança implantados. No entanto, uma visão de fora também fará com que você tenha maior êxito na institucionalização do SGSI e preparação para a certificação ISO 27001.
A gerência deve participar da revisão do SGSI da organização e contribuir ativamente para a sua adequação e efetividade contínuas. A segurança da informação deve ser fundamental para as operações diárias de uma organização, com ajustes feitos conforme necessário para melhorar o desempenho geral do sistema.
Neste contexto, análises críticas devem ser realizadas frequentemente para entender se os riscos que deram origem ao SGSI estão de fato sendo mitigados, se a organização está aplicando tudo que foi definido, identificar potenciais novas ameaças ao negócio, entre outros aspectos
Tal como acontece com todos os padrões do sistema de gestão, é necessário rever o progresso alcançado. Auditorias internas e análises gerenciais continuam a ser os principais métodos de avaliação do desempenho do SGSI e ferramentas para a sua melhoria contínua. As não conformidades do SGSI precisam ser tratadas com ações corretivas para garantir que não ocorram novamente. Como em todos os padrões do sistema de gestão, a melhoria contínua é um requisito fundamental.
A norma ISO 27001 traz benefícios diretos e indiretos para a sua empresa, dentre eles estão:
Diante das crescentes ameaças à segurança da informação, a certificação ISO 27001 é um atestado que sua empresa cumpre os parâmetros necessários para uma boa gestão da segurança da informação.
Contar a experiência de uma consultoria especializada para obtenção da ISO 27001 será essencial para encurtar sua jornada para criação do SGSI e tornará sua obtenção de certificação mais assertiva.
Saiba como está o sistema de gestão de segurança da informação da sua empresa, de acordo com a ISO 27001. Clique na imagem abaixo e realize seu autodiagnóstico!
A Promove possui uma equipe experiente e preparada para diagnosticar e acompanhar sua empresa na adequação das práticas de Segurança da Informação e Privacidade.
Nenhum comentário aprovado.
Deixe um comentário