ISO 27001: A certificação de Segurança da Informação
ISO 27001: A certificação de Segurança da Informação

Blog

ISO 27001: A certificação de Segurança da Informação

Renê Chiari
Escrito por Renê Chiari
Faça parte de nossa comunidade

Entre para nossa lista VIP e receba conteúdos exclusivos e com prioridade sobre ITIL4 e gerenciamento de serviços

Vivenciar o dia a dia do setor de TI é entender a importância da gestão da Segurança da Informação. Impulsionado por acontecimentos recentes em grandes empresas do setor tecnológico, que viram dados sensíveis de clientes serem roubados ou vazados, o assunto dominou as pautas de todo mundo. Seja em empresas, em jornais e mesmo nos governos. Agora, certificações como a ISO 27001 são praticamente obrigatórias para empresas que buscam retomar a confiança do mercado e dos consumidores.

Só no primeiro semestre de 2019, a RiskBased calcula que foram expostos mais de 4 bilhões de diferentes dados. Não por menos, a Gartner, consultoria especializada em tecnologia, estima que em até dois anos os investimentos em cibersegurança batam a casa dos US$ 133 bilhões.

Sem dúvidas, são tempos de atenção para as empresas — especialmente com o olhar atento de governos e dos consumidores.

Na Europa, um dos principais reflexos disso foi a implementação da GDPR, norma de regulamentação da proteção de dados. No Brasil, movimento semelhante aconteceu: a LGPD (13.709/18 – Lei Geral de Proteção de Dados) foi aprovada e, em 2021, entrará em vigor.

Um dos principais passos para se adequar a essa nova realidade é a definição de diretrizes de gestão da segurança da informação. Para isso, nada melhor que a certificação internacional ISO 27001, conhecida e seguida mundo a fora.

Já que está aqui, que tal conhecer também a norma ISO 20000, própria para o gerenciamento de serviços de TI e totalmente alinhada ao ITIL®? Acesse nosso conteúdo!

O que é a norma ISO 27001?

O que é a norma ISO 27001?

A ISO 27001, cuja versão mais recente é de 2013 (ISO/IEC 27001:2013), é uma norma internacional publicada pela International Standardization Organization (ISO).

A norma ISO 27001 foi desenvolvida para guiar a gestão da segurança da informação em uma organização. Com ela, a empresa está apta a estabelecer, operar, monitorar e analisar um SGSI (Sistema de Gestão de Segurança da Informação).

Assim, terá como gerenciar todos os seus ativos tecnológicos de informação.

Ela tem como base a norma BS 7799-2 da British Standard.

Como obter a ISO 27001

A ISO 27001 pode ser certificada com base em uma análise conduzida por órgão competente e qualificado para a tarefa.

Segundo o próprio Senado Brasileiro, a implementação da ISO 27001 corresponde ao compliance em relação ao item de Segurança de Dados da LGPD.

O processo de obtenção da certificação ISO 27001 tem começo com algumas etapas internas de adequação e de verificação da documentação.

Após isso, é realizada a auditoria externa, que avalia as questões práticas relacionadas à Segurança da Informação na organização.

Fases de implementação da ISO 27001

O que é a norma ISO 27001?

E agora, como implementar a ISO 27001 no seu negócio? Para ajudar a direcionar o processo, vamos explicar os estágios e algumas das etapas que envolvem a conclusão da implementação que resulta na importante certificação.

Antes de abordar as fases em si, é preciso que sua empresa comece a se adequar.

  • Compreenda as necessidades da sua organização: estabeleça política de segurança da informação, bem como objetivos e metas.
  • Avalie riscos: é preciso repassar por todos os processos internos da empresa e listar os riscos à Segurança da Informação (importante também classificá-los).
  • Controle operacional: implemente controles nestes processos com riscos. O objetivo é mitigar ou diminuir os riscos, tendo como base sua classificação.
  • Analise o desempenho dos controles operacionais: recolha os dados de cada ação tomada. Em outras palavras, se trata da Auditoria Interna.
  • Melhore seus controles operacionais: a melhoria visa, justamente, entender o que deu certo e errado, bem como garantir que todos os controles estão sendo analisados, monitorando os riscos.

Esse processo deve ser repetido até quando você obtém a certificação. Lembrando também que indivíduos podem receber a certificação, mas com processo diferente.

Estágio um

No primeiro estágio, será realizada uma verificação de toda documentação necessária, além de uma análise informal do SGSI.

Entre os documentos principais, destacam-se a política de Segurança da Informação da empresa, o PTR (Plano de Tratamento de Risco) e o SoA (Declaração de Aplicabilidade).

Estágio dois

Se trata da auditoria principal e derradeira. É feita localmente, em sua empresa. O objetivo é analisar todas as atividades desempenhadas, verificando sua conformidade com a norma ISO 27001 e também com a documentação do SGSI apresentada.

Quais são os benefícios desta certificação?

De forma geral, uma empresa certificada com a ISO 27001 garante ao mercado e aos consumidores que segue processos reconhecidos internacionalmente para gestão da Segurança da Informação.

Ela confere integridade, confidencialidade e disponibilidade da informação de uma empresa.

Além disso, a adequação significa também uma infraestrutura de TI reforçada. Assim, falhas e problemas capazes de danificar algum aspecto da sua rede são eliminados, o que reduz custos. Esse é o papel da análise de riscos, um dos pilares da ISO 27001.

A organização é outro ponto a ser destacado. 

A ISO 27001 estabelece uma organização corporativa muito clara no que diz respeito às responsabilidades dentro do setor de Segurança da Informação. Dessa forma, não há desencontros internos: todos sabem o que devem fazer e, especialmente, como fazer.

Os parâmetros e indicadores propostos ajudam a organização a acompanhar o dia a dia, entendendo a aplicação dos controles operacionais e tirando dali insumos para melhorar seu negócio.

Quais os benefícios para clientes, fornecedores e parceiros?

A ISO 27001 é referência na padronização de diretrizes para gestão da Segurança da Informação. Isso significa que além da sua empresa, seu parceiro comercial pode ir atrás dela, bem como seu provedor de cloud provavelmente irá. 

Dessa forma, cria-se um padrão de proteção seguido em todo mercado e que garante um ecossistema de diferentes redes totalmente seguro. Softwares, plataformas, meios de comunicação, todos alinhados no quesito segurança, preservando ao máximo os dados.

E agora que você entende a importância e os passos para implementação da certificação ISO 27001, que tal começar agora o processo? Estabeleça-se de vez no mercado com um diferencial e tanto e conquiste a confiança dos clientes!

Além disso, para o profissional que lê este conteúdo, temos um recado: já ficou evidente que as certificações são importantes para o mercado.

Porém, e para você, elas ainda têm peso no currículo?

Em nosso relatório, buscamos essa resposta. Acesse e baixe agora “O poder das certificações” e descubra se esses documentos ainda são relevantes para o seu futuro profissional!

Opa,

o que você achou deste conteúdo? Conte nos comentários.

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Sobre

Rene A. Chiari Tecnologia da Informação ME / ITSM na Prática.

Av. Melchert, 37 – Chácara Seis de Outubro – São Paulo/SP.

CNPJ: 25.072.324/0001-66

Todos os direitos reservados. Termos de uso.

 

Fale Conosco

contato@itsmnapratica.com.br