O encurtamento das fronteiras propiciado pela globalização permitiu que empresas levassem seus produtos e processos a diferentes países, aprofundando o comércio mundial. Esse cenário trouxe uma série de benefícios ao desenvolvimento, mas também grandes desafios.
Entre esses desafios estava a necessidade de garantir que organizações de diferentes regiões do globo fossem capazes de garantir a qualidade e o uso de boas práticas. Como resposta a essa necessidade foram desenvolvidos programas de certificações com o objetivo de padronizar determinadas ações.
A International Organization Standardization, conhecida como ISO, é a instituição certificadora com maior credibilidade no mundo, contando com certificações amplamente reconhecidas, como a ISO 9001, voltada a gestão de qualidade e a ISO 14001, com foco na gestão ambiental.
Além destas, porém, a ISO conta com uma grande variedade de programas que quando aplicados permitem as empresas serem mais eficazes, competitivas e seguras. É o caso da ISO 27000, que estabelece normas e práticas para a implantação de um Sistema de Gestão da Segurança da Informação.
ISO 27000: a ISO da segurança da informação
Informação é poder. Essa é uma verdade válida desde os primórdios da humanidade e que se provou muitas vezes ao longo da história. Não à toa o controle da informação sempre foi um aspecto estratégico para os grupos dominantes.
Hoje contamos com a capacidade de produzir, armazenar e analisar informações como nunca. Em uma simples navegada na internet de alguns minutos você provavelmente consome mais informação do que indivíduos do século XVIII tinham durante toda sua vida.
Para as empresas, essa realidade vem sendo utilizada em prol da melhoria de processos, permitindo tomadas de decisões mais assertivas e precisas. Tanto assim que os dados foram elevados à mesma importância do petróleo em declarações públicas de alguns dos maiores executivos do mundo.
Mas se as ferramentas digitais da tecnologia da informação ampliaram de forma exponencial nossa capacidade de criar, armazenar e analisar dados, elas também trouxeram novos perigos e riscos a informação.
Os crimes cibernéticos são uma realidade com a qual todos precisamos enfrentar, sendo um risco de grandes prejuízos sejam eles financeiros ou mesmo para o nosso bem estar e saúde. Para as empresas não é diferente, com o acréscimo de que estas contam com um volume muito maior de informações sensíveis em comparação a uma pessoa física.
A ISO 27000 foi desenvolvida como foco na segurança da informação como um todo. Com a digitalização do mundo, porém, as sua ramificações, ISO 27001 e ISO 27002, que tratam da segurança dos dados digitais e sistemas de armazenamento eletrônico, ganharam maior destaque.
O que é a ISO 27001?
Vivemos um momento onde a segurança e uso de dados pessoais ganham cada vez mais a atenção de todos, na esteira de escândalos envolvendo gigantes da tecnologia, como o Facebook e o Google e do maior entendimento como essa nova realidade da era da informação vem afetando o mundo.
A ISO 27001, porém, surge em um momento muito anterior a esse processo, quando as soluções digitais ainda ganhavam terreno em boa parte do mundo, inclusive no Brasil.
O objetivo da norma a época, assim como hoje, é criar um modelo padronizado que permita estabelecer, implantar, operar, monitora, manter e melhorar os sistemas e processos voltados a segurança da informação de uma empresa. Ou seja, permitir que as organizações tenham um sistema de gestão da segurança da informação.
É importante ressaltar que nenhuma empresa é obrigada a ter a certificação, sendo opcional sua aplicação.
Para que serve a ISO 27001?
Ainda hoje é comum encontrar quem questione o porquê de buscar certificações nas empresas e com a ISO 27001 não é diferente. Por trás desses questionamentos costuma estar à desinformação sobre os benefícios que estas podem gerar.
Quando falamos especificamente da ISO 27001 podemos destacar:
- Implantação de um sistema de gestão da segurança da informação, levando a adoção de boas práticas e a melhoria contínua que permitam manter a integridade de sistemas e dados sensíveis de sua empresa e clientes.
- Permitir operar com maior segurança e previsibilidade, facilitando assim a busca pela inovação e o crescimento da organização como um todo.
- Contar com uma comprovação oficial que a empresa segue os mais altos padrões do setor de segurança da informação, gerando maior confiabilidade para a marca e assim abrindo a porta de parceiros e mercados.
Ter a segurança da informação como elemento estratégico em um mundo cada vez mais conectado e onde os dados cumprem papel essencial no desenvolvimento de processos, produtos e serviços.
Se você se perguntava para que serve a ISO 27001, agora sabe que com a certificação sua empresa fica mais segura e ganha uma importante vantagem competitiva.
ISO 27001 e Lei Geral de Proteção de Dados
Nesse momento você deve estar pensando como obter a certificação e conquistar todos esses benefícios, mas antes, precisamos fazer um adendo.
E 2018 é sancionada no Brasil a Lei Geral de Proteção de Dados, estabelecendo os critérios legais para o uso, tratamento e armazenamento de informações pelas empresas. A LGPD é um importante avanço para os direitos individuais no país assim como gera segurança jurídica para o mercado que cada vez mais trabalha e utiliza os dados.
A implantação das exigências da LGPD – que se aplicam a empresas de todos os tamanhos e atividades que prestem serviços no Brasil e coletem e tratem dados de pessoas localizadas no país – não leva a conquista da ISO 27001.
As empresas que contam com a ISO 27001, porém, estão mais preparadas para se adequar a legislação, uma vez que já contam com boas práticas que facilitam o alcance dos requisitos técnicos para reduzir riscos de violação da integridade dos dados.
Sendo assim, esse é um ótimo momento para obter a certificação, aproveitando que seus esforços estarão voltados para aos seus dados.
Como conseguir a ISO 27001?
Para uma empresa obter uma certificação ISO é preciso que ela comprove o cumprimento dos padrões estabelecidos pela norma em uma auditoria Mas essa é apenas a parte final do processo.
Se você deseja chegar a esse estágio é preciso passar por cinco etapas:
Análise de cenário:
Você conhece todos os softwares sua empresa possui? Quais os dados ela coleta e como eles são trabalhados? Quais são as políticas de segurança da informação já aplicadas? Essas são algumas perguntas que devem ser respondidas para entender o contexto atual da segurança da informação na sua empresa.
É a partir dessas informações que poderá entender o que funciona, e o que não, bem como aquilo que precisa ser feito.
Avaliação de riscos:
Após entender o cenário é preciso avaliar os processos internos e entender quais os riscos relacionados à segurança da informação. Os riscos levantados são então categorizados de acordo com seu grau de ameaça.
Aplicação de controles operacionais:
Com os riscos identificados é o momento de estabelecer os controles operacionais que permitirão controla-los, eliminá-los ou mitiga-los.
Análise de eficácia:
Nesse momento é realizada a análise do desempenho dos controles operacionais implantados visando à segurança das informações. É nessa etapa que ocorre a auditoria interna para a conquista da certificação.
Melhoria contínua:
Todos os processos ligados à segurança da informação devem ser constantemente avaliados, os riscos precisam ser monitorados e é preciso estar aberto à possibilidade de criação de novos controles operacionais, permitindo alcançar uma melhoria contínua. Mais do que fornecer um atestado de boas práticas, a ISO 27001 deve transformar a sua empresa e levar a uma gestão efetiva da segurança da informação.
O tempo de aplicação de todas essas etapas e obtenção da ISO depende sempre da dedicação da empresa ao projeto, seu tamanho e qualidade da força de trabalho envolvida, sendo que contar com a orientação de consultoria especializada é sempre uma ótima alternativa.
A orientação de consultores contribui para maior assertividade na realização do trabalho voltado a conquista da isso da segurança da informação, minimizando os riscos de erros e retrabalhos, que além de tempo, não raro exigem recursos financeiros.
Continue acompanhando nosso blog e saiba mais sobre a segurança da informação e as ameaças digitais!
Até a próxima!