As empresas que armazenam e manipulam informações sensíveis devem estar em constante alerta e garantir a segurança desses dados. Seguir os direcionamentos da ISO 27001 é, dessa forma, uma forma de construir e colocar em prática um sistema de gestão da segurança da informação que atenda às demandas e necessidades dos stakeholders. E de quebra, essa também é uma maneira de estar em conformidade com as exigências da LGPD.
O que é ISO 27001?
A ISO 27001 é uma norma da família ISO 27000 que define as diretrizes e os requisitos para o gerenciamento de segurança das informações. Nesse sentido, ela é um padrão internacional que fornece orientação para a implementação e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI) que seja, de fato efetivo. Além disso, ela também trata de cibersegurança e de proteção da privacidade.
Dessa forma, a norma estabelece um processo sistemático para a identificação e avaliação dos riscos de segurança da informação. Assim, as empresas conseguirão implementar os controles de segurança apropriados e monitorar continuamento o seu programa, melhorando progressivamente o sistema de segurança da informação.
Portanto, ao seguir os requisitos da norma e obter a certificação, as organizações podem dizer e demonstrar com propriedade aos seus stakeholders que estão levando a segurança da informação a sério. Ademais, elas mostram seu compromisso com a proteção dos dados confidenciais e sensíveis que estão guardando.
Quais empresas atendem a ISO 27001?
Segundo a própria norma, a ISO 27001 é aplicável em todas as organizações, independentemente de seu tamanho, tipo ou natureza das atividades que realizam. O seu principal objetivo é ajudar essas empresas a protegerem seus ativos de informação, como dados confidenciais, propriedade intelectual e informações pessoais de clientes e colaboradores.
Dessa forma, a certificação acaba sendo especialmente importante para organizações que armazenam e utilizam informações sensíveis, como dados pessoais, informações financeiras ou mesmo segredos comerciais. Entretanto, empresas de todos os setores têm muito a ganhar, e também se beneficiam com a certificação da ISO 27001.
Mesmo não sendo obrigatória para nenhuma organização, empresas de todos os setores podem se beneficiar da certificação ISO 27001, como organizações governamentais, empresas de TI, instituições financeiras, empresas de saúde, empresas de varejo, empresas de manufatura e muitas outras. Assim, a decisão de buscar a certificação na norma deve ser tomada com base nas necessidades e nos objetivos da organização.
Os princípios da ISO 27001
Segundo a ISO 27001, o tratamento dos dados deve ser feito com base em três princípios: disponibilidade; integridade e confidencialidade. Nesse sentido, cada etapa do SGSI precisa levar em consideração esses aspectos em sua implementação.
1 – Disponibilidade:
É de suma importância que os donos dos dados tenham acesso irrestrito às suas informações. Além de poder acessar as informações que foram disponibilizadas, eles também têm o direito de deletar ou editar qualquer dado que desejar, sempre que quiser.
2 – Integridade:
As empresas não podem, de forma alguma, fazer qualquer alteração nos dados que lhes forem fornecidos. Por menor que possa ser uma alteração, os donos das informações (e até as organizações que irão usá-las) precisam ter certeza de que elas são verdadeiras.
3 – Confidenciabilidade:
Os donos das informações devem confiar na empresa que está tratando os seus dados. Dessa forma, é imprescindível que as organizações façam sua parte e assegurem que o armazenamento desses dados e que seu sistema de gestão de segurança da informação é realmente confiável e que nada irá vazar. É justamente esse o objetivo dos requisitos da ISO 27001.
Requisitos e etapas da ISO 27001
A elaboração de um SGSI passível de certificação segue alguns requisitos. Para que a construção do sistema fique mais clara e intuitiva, os requisitos se dividem nas seguintes etapas:
- Alta direção: a alta direção deve fazer da segurança da informação uma política dentro da empresa, além de dividir cargos e responsabilidades aos seus colaboradores e garantir os recursos necessários;
- Definir o SGSI: a definição do SGSI se dá, principalmente, com a análise dos riscos e oportunidades as quais as informações estão sujeitas. Nessa fase, é preciso construir o plano de ação do sistema e os recursos de suporte;
- Política da segurança da informação: toda a empresa deve estar consciente do plano de segurança da informação. Por isso, é tão importante a construção de uma política bem elaboradora;
- Metodologia de avaliação de risco: para avaliar o risco, a empresa precisa considerar o grau desse problema (se ele acontecer, quais são as consequências para a organização?) e a probabilidade desse risco acontecer;
- Declaração de aplicabilidade: este é o documento base para os procedimentos do SGSI, e ele que define a aplicabilidade do sistema;
- Tratamento de risco: definição de um plano de ação para lidar com os possíveis riscos que foram identificados;
- Controle do SGSI: acompanhamento do sistema para analisar se ele está atingindo suas metas e objetivos;
- Documentação do SGSI: o SGSI deve ter todas as suas etapas e definições documentadas;
- Auditorias internas: a empresa deve realizar auditorias internas para verificar se seu SGSI está se mantendo em conformidade com a ISO 27001;
- Ações corretivas e melhoria contínua: se forem notadas inconformidades durante as auditoras e os monitoramentos, a empresa deve pensar em ações corretivas e preventivas em busca de melhoria contínua.
Como obter o certificado ISO 27001?
O processo de certificação da ISO 27001 pode variar dependendo da organização e do organismo certificador escolhido para o trabalho. Entretanto, de forma geral, o processo se divide nas seguintes etapas:
1 – Conformidade com os requisitos da norma
A primeira etapa basicamente se resume ao planejamento do SGSI de acordo com os requisitos da norma. Nesse caso, a organização deve analisar o momento atual de seu sistema de gestão e determinar quais são os pontos de melhoria necessários. Nessa etapa, a empresa precisa:
- Analisar a situação atual: a organização deve identificar quais controles de segurança da informação já estão implementados e onde existem lacunas a serem preenchidas para atender aos requisitos da norma;
- Desenvolver um Sistema de Gestão de Segurança da Informação: a organização deve desenvolver o seu SGSI, incluindo os pontos de controle de segurança da informação que foram elaborados para preencher as lacunas identificadas durante a análise da situação atual;
- Implementar o SGSI: com seu SGSI pronto, a empresa poderá colocar implementar o sistema, colocando-o em prática;
- Auditoria interna: a auditoria interna serve para verificar se o GGSI está funcionando como pretendido, atendendo aos requisitos da norma e aos objetivos da empresa.
2 – Auditorias do organismo certificador
Depois de planejar e criar seu Sistema de Gestão de Segurança da Informação, a empresa deve selecionar o organismo certificadora. Este, irá administrar o processo de certificação e emitir o tão sonhado certificado ISO 27001. A empresa contratada irá:
- Realizar uma auditoria de conformidade: mesmo elaborando o SGSI com a norma debaixo do braço, é muito comum que alguns requisitos e pontos passem despercebido. Por isso, o organismo certificador geralmente faz uma auditoria inicial, anotando todos os processos inconformes à norma, que a organização deve alterar;
- Realizar uma auditoria de certificação: com todas as inconformidades corrigidas, o organismo certificador irá realizar mais uma auditoria e, se tudo estiver correto, poderá finalmente emitir o certificado ISO 27001.
3 – Acompanhamento do SGSI:
Uma vez certificada, a empresa deve fazer de tudo para manter seu SGSI em conformidade com as normas. Por isso, é essencial que ela realize auditorias de acompanhamento regulares (geralmente o organismo certificador oferece esse serviço).
Além disso, o certificado dura 3 anos e, passo esse tempo, a empresa certificada deverá realizar a auditoria de recertificação para garantir que o seu SGSI ainda segue as diretrizes da ISO 27001 e que foi atualizado conforme as novas determinações.
Objetivos e benefícios da ISO 27001
Os objetivos da implementação da ISO 27001 acabam melhorando consideravelmente os resultados da empresa, ou seja, eles também são benefícios; Entre os principais estão:
- Proteção dos ativos de informação: a implementação dos controles de segurança definidos na norma ISO 27001 ajuda a proteger os ativos de informação da organização, como dados confidenciais, propriedade intelectual e informações pessoais de clientes e funcionários;
- Conformidade com regulamentações: a certificação na ISO 27001 ajuda as organizações a cumprirem as regulamentações de privacidade e segurança da informação, como a Lei Geral de Proteção de Dados (LGPD) no Brasil e a GDPR na Europa;
- Aumento da confiança dos clientes: a certificação demonstra o compromisso da organização com a proteção dos dados de seus clientes. Assim, ela aumenta a confiança e a lealdade dos clientes;
- Melhoria da reputação: a certificação na ISO 27001 pode melhorar a reputação da organização e aumentar sua visibilidade no mercado, mostrando seu compromisso com a segurança da informação;
- Redução de riscos: a implementação dos controles de segurança da norma ajuda a reduzir os riscos de violação de segurança, interrupções no serviço e perda de dados;
- Melhoria da eficiência: a certificação ajuda as organizações a identificarem e eliminarem ineficiências e erros em seus processos de segurança da informação. Dessa forma, há melhorias na eficiência e redução de custos;
- Vantagem competitiva: a certificação na ISO 27001 pode fornecer uma vantagem competitiva sobre as organizações que não têm uma certificação de segurança da informação reconhecida e confiavél.
Em resumo, a ISO 27001 é uma norma importante e reconhecida internacionalmente que pode ajudar as organizações a gerenciarem seu sistema de gestão de segurança da informação de maneira eficaz, desde seu planejamento até às ações de melhoria contínua.