Um dos bens mais valorizados pelas empresas, independentemente de sua envergadura ou segmento, é a informação. De encontro a esta demanda, duas organizações reconhecidas mundialmente (ISO e IEC) iniciaram o desenvolvimento de normas que padronizam atividades de implantação e operação de Sistemas de Gestão de Segurança da Informação (SGSI), dando origem à família ISO 27000. 

O que é ISO 27000? 

A família ISO 27000 corresponde a um conjunto de normas que determina requisitos para a construção de um Sistema de Gestão de Segurança da Informação (SGSI) eficiente e de qualidade. Ela é extremamente importante atualmente pois os sistemas de informações sem proteção são muito vulneráveis a fraudes, sabotagens e vírus de computadores, e os dados podem facilmente serem vazados. 

Dessa forma, a ISO 27000 cria parâmetros para a segurança dos dados digitais e armazenamento eletrônico. Com a LGPD em vigor, as organizações precisam reforçar sua preocupação com os dados tratados, criando parâmetros para a segurança dos dados digitais e armazenamento eletrônico. 

Leia também: LGPD – Lei de Proteção de Dados Pessoais

Quais empresas podem aplicar a ISO 27000? 

A ISO 27000 é aplicável em toda e qualquer empresa. Como o seu conceito e seus requisitos estão relacionados à segurança da informação em diferentes formatos, as organizações que recolhem e tratam dos mais diversos tipos de dados podem seguir suas exigências para criarem um SGSI eficiente.  

Dessa forma, a norma também pode ser aplicada por empresas de variados tamanho, desde multinacionais até empreendimentos de pequeno e médio porte. O fato de a ISO 27000 ter uma aplicação tão variável, faz com que as organizações precisem dar uma reforçada na etapa de contextualização, para que o SGSI seja especializado e atenda às necessidades contextuais desse negócio.  

curso lgpd

Como obter o certificado ISO 27000? 

A ISO 27001 é a norma da família ISO 27000 que estabelece as diretrizes de certificação. Nela, estão os critérios de boas práticas que a empresa que busca o certificado deve estar alinhada. Dessa forma, é imprescindível que a organização conheça as regras e procedimentos estipulados para, então, adequar seus processos referentes ao Sistema de Gestão de Segurança da Informação (SGSI). 

Após a implementação e conformidade com a norma, a empresa passa por um processo de auditoria para emissão do certificado. Nesse caso, ela deve procurar um organismo de certificação autorizado que, geralmente, divide o procedimento de certificação nas seguintes fases: 

01 – Análise inicial: 

Na fase de análise inicial, além de entrar em contato e contratar um organismo certificador, a empresa deverá estudar a norma por completo. Olhando para os requisitos que a ISO 27000 pede e para o seu contexto de armazenamento e tratamento das informações, a organização deve traçar um plano de adequação para que seus processos estejam em conformidade com a norma.  

02 – Adequação de procedimentos:  

A adequação dos procedimentos é a fase crucial na implantação da ISO 27000. Nesse momento, a organização precisa estar atenta ao seu contexto, para que os requisitos da norma sejam aplicados da forma mais eficiente possível. Algumas empresas de certificação ou de consultoria costumam fazer ajudar as empresas que querem se certificar a mudar seus processos para que eles atendam aos requisitos da norma.  

03- Auditorias: 

A quantidade de auditorias de certificação que devem ser realizadas vai variar de acordo com o contexto da empresa, com o organismo certificador e com a conformidade dos procedimentos. Geralmente se faz uma auditoria para listar todos os processos que precisam de modificação para se adequarem aos requisitos da norma; uma auditoria para verificar se todos os procedimentos estão em conformidade e, caso necessário, outra após a correção de erros.  

04 – Certificação:  

Após a auditoria formal, ou auditoria de certificação, o organismo certificador irá criar um documento com todas as informações coletadas durante a análise. Essas informações passarão por uma análise e, se todos os procedimentos relacionados ao Sistema de Gestão de Segurança da Informação estarem em conformidade com a norma, a certificadora emitirá um certificado ISO 27001 para a empresa avaliada. 

05 – Recertificação: 

O certificado ISO 27001 tem duração de 3 anos e, passado esse tempo, a organização deve se recertificar. A recertificação também acontece por meio de uma auditoria, que analisa se os procedimentos se mantêm em conformidade com os requisitos da norma e, se for o caso, foram atualizados de acordo com as novas exigências. Além disso, é possível a realização de auditorias de manutenção, justamente para assegurar conformidade após a emissão do certificado. 

Como implementar a ISO 27000? 

Para implementar a ISO 27000, as empresas devem considerar os pilares e os requisitos da norma. Os pilares são essenciais e acabam servindo como guias na hora de colocar em prática os requisitos que a ISO 27000 exige.  

Nesse sentido, a definição de escopo, a análise de risco, a construção e implantação do SGSI, a busca pela melhoria contínua e as outras exigências da norma devem seguir os pilares de confiabilidade, integridade e disponibilidade, tratamento dos dados pessoais e proteção da privacidade.  

Os pilares da ISO 27000 

Segundo a ISO 27000, os cinco pilares da segurança da informação são: confidencialidade, integridade, disponibilidade, tratamento dos dados pessoais e proteção da privacidade. Dessa forma, a construção de todo SGSI deve conter essas três características em todas as suas funções.  

1. Confidencialidade:

Quando a ISO 27000 fala sobre confiabilidade, ela se refere ao fato de que as empresas que tratam dados de seus usuários precisam garantir que o armazenamento desses dados sejam confiáveis. 

Assim, as organizações precisam adotar medidas de proteção e segurança contra o vazamento de dados e violação da confiança. Nesse sentido, os dados só devem ser acessados por pessoas autorizadas e não podem ser divulgados ou usados sem prévia autorização dos donos dessas informações.

2. Integridade:

O fator integridade significa, sobretudo, a garantia de que os dados não passaram por nenhum tipo de alteração. Assim, é possível assegurar que as informações tratadas são, de fato, confiáveis. Além disso, a norma defende que os dados devem ser armazenados de forma completa, evitando que as informações sejam, mesmo que parcialmente, perdidas ou corrompidas.

3. Disponibilidade:

As informações devem estar sempre disponíveis. Tal disponibilidade se dá tanto para as organizações, quanto para os usuários detentores das informações, que também têm o direito de editar ou excluir esses dados sempre que quiserem.  

Ter informações sempre disponíveis é especialmete relevante para empresas que precisam dos dados de seus clientes para executarem seus serviços com qualidade. Nesse sentido, é válido que essas organizações invistam em procedimentos que evitem a inviabilidade do uso dos dados (como backup e recuperação de dados e circuitos de rede e internet).  

4. Tratamento dos dados pessoais

O tratamento dos dados pessoais se refere às operações realizadas sobre as informações dos usuários que foram coletadas. Nesse caso, a empresa deve definir o ciclo de vida dos dados (como coleta – armazenamento – consulta – divulgação – disponibilização). Dessa forma, será mais fácil conseguir garantir confiabilidade, integridade e disponibilidade em cada um dos processos.  

5. Proteção da privacidade

A privacidade, assim como a proteção a ela, deve ser um valor compartilhado na empresa, agregado aos princípios e valores dessa organização. Nesse sentido, é imprescindível que os dados sejam privados e confidenciais durante todo o seu tratamento em sistemas de tecnologia da informação e comunicação.  

Etapas e requisitos da ISO 27000 

A implementação da ISO 27000 possui alguns requisitos que, por sua vez, se dividem em algumas etapas. São elas: 

  1. Apoio da alta direção: a alta direção tem um papel crucial para a manutenção da ISO 27000. Algumas das responsabilidades da liderança é estabelecer uma política de segurança da informação e dividir os cargos da equipe envolvida; 
  2. Definição do SGSI: todas as características do SGSI devem ser previamente definidas. Aqui, os envolvidos fazem avaliações que constroem o plano de ação de segurança da informação da empresa, enderençando riscos e oportunidades e até definindo os recursos de suporte; 
  3. Política da segurança da informação: a política da segurança da informação precisa, especialmente, considerar que o SGSI deve passar por um plano de comunicação e conscientização na empresa; 
  4. Metodologia de avaliação de risco: a construção da avaliação de risco precisa pensar na gravidade do problema e a probabilidade de ele acontecer; 
  5. Declaração de aplicabilidade: a declaração de aplicabilidade é um documento fundamental para a comunicação sobre o SGSI; 
  6. Tratamento de risco: a empresa deve destrinchar sobre os procedimentos e operações usadas para tratar os riscos considerados; 
  7. Controle do SGSI: etapa que a empresa irá controlar o SGSI, analisando se ele realmente está sendo efetivo ou não; 
  8. Documentação do SGSI: todas as definições do SGSI devem ser devidamente documentadas; 
  9. Auditorias internas: as auditorias internas são essenciais para acompanhamento do SGSI; 
  10. Ações corretivas e melhoria contínua: qualquer inconformidade ou ineficiência do SGSI deve passar por correção com ações corretivas para que, então, haja melhoria contínua. 

Objetivos e vantagens da ISO 27000 

O grande objetivo da ISO 27000 é propor diretrizes suficientes para a construção de um Sistema de Gestão de Segurança da Informação eficiente que evite o vazamento de informações e dados importantes para a empresa, principalmente se estes forem confidenciais. Além disso, esta norma tem como outros objetivos: 

  • Proporcionar o reconhecimento da organização com uma padronização internacional;  
  • Gerar uma maior credibilidade da empresa com seus clientes, colaboradores e fornecedores;  
  • Reduzir custos e riscos para as organizações;  
  • Assegurar a melhoria contínua do processo. 

Nesse sentido, uma vez que a empresa consegue a certificação ela pode ter a certeza de que documentos e informações estão em conformidade com todas as diretrizes de segurança da informação. Vale mencionar que aquelas empresas que já obedecem a algumas normas, como a ISO 9000, têm maior facilidade para obter ISO 27000, já que elas possuem melhor controle e qualidade em seus procedimentos. 

Para otimizar os processos de implementação da ISO 27000, a Docnix é a opção ideal para esse objetivo, com soluções como:

Conheça mais, acesse nosso blog.