Não apenas o público se torna mais conectado a cada dia que passa, mas também as empresas ao redor do mundo inteiro. E, assim como é importante deixar seguro os dados de cada usuário (desde uma simples conversa com os parentes até mesmo senhas bancárias, por exemplo), se torna uma grave urgência gerenciar de forma segura os dados de uma organização (como planilhas de vendas, dados de acordos, contratos, etc).
Pensando nisso, o International Organization for Standardization e o International Electrotechnical Commission lançaram em 2005 o padrão focado para sistemas de gestão da segurança da informação, chamado comumente de ISO 27001.
Mas se você ainda não conhecia essa norma tão importante para a sua empresa, não se preocupe. Reunimos aqui as principais informações sobre a norma técnica para acabar de vez com as suas dúvidas!
O que é a ISO 27001
A Norma técnica ISO/IEC 27001 (também chamada apenas de ISO 27001) é uma norma internacional que atua na gestão da segurança da Informação de uma empresa, através de um conjunto de requisitos, controles e também processos empresariais.
Dessa forma, a ISO 27001 busca garantir uma série de referências e práticas capazes de auxiliar na identificação, análise e implementação de controles específicos para realizar o gerenciamento de riscos para a segurança da informação da empresa, protegendo a integridade, a confidencialidade e a disponibilidade de quaisquer dados de negócios essenciais para a organização.
Como funciona e quais são os objetivos da ISO 27001
Como explicado mais acima, o objetivo da ISO 27001 é de gerenciar e proteger a informação de uma empresa, ao utilizar a filosofia de gestão de riscos para isso. Serão então descobertos os possíveis riscos sofridos para ser realizada a implementação de salvaguardas.
Essas salvaguardas (também chamadas de “controles”) são inseridas em determinadas políticas, implementações e também procedimentos técnicos. Caso a empresa em questão já utilize softwares e hardwares para a função, a ISO 27001 então terá como foco definir ações para a prevenção de possíveis ”brechas” na segurança da organização.
De onde surgiu a ISO 27001?
A ISO 27001 tem uma história mais longa do que aparenta, fazendo referência direta com o British Standard 799, publicado em 1995 e que deu origem ao ISO 177799. Portanto, a ISO 27001 diz respeito a uma segunda parte da implementação de Sistemas de Gestão de Segurança da Informação presentes na BS 7799.
A ISO/IEC 27001 teve sua criação oficial em 2005 e, em 2013, sofreu revisões para inserir as necessidades de novas funções na área de TI, como é o caso da computação em nuvem, por exemplo.
As vantagens da implementação da ISO 27001
Depois de entender melhor o que é e como funciona a ISO 27001, descubra algumas das principais vantagens que essa norma técnica tem a oferecer para a sua empresa:
- Maior vantagem competitiva no mercado: ao ter o certificado ISO 27001, a sua empresa é capaz de demonstrar melhor o compromisso da organização com a Segurança da Informação da mesma e também de seus clientes. Com isso, há uma maior satisfação dos clientes e maiores oportunidades de negócio.
- Aumento da melhoria das organizações internas da empresa: ao ser capaz de determinar as atividades e os colaboradores responsáveis por elas, a ISO 27001 assegura uma melhora na organização interna e um aumento do desempenho e produtividade da empresa.
- Redução dos custos e riscos da empresa: ao precisar ter uma análise de riscos minuciosa, a ISO 27001 assegura investimentos eficientes e conscientes, reduzindo os riscos e custos da empresa.
- Facilidade em integrar Sistemas de Gestão: a principal base da ISO 27001 é o ciclo PDCA, o que pode facilitar a implementação desse e de outros Sistemas de Gestão dentro da empresa.
O que é preciso para implementar a ISO 27001 corretamente
- Receba o apoio da Alta Direção para a realização de todas as etapas de planejamento utilizando uma metodologia adequada para gerenciamentos de projetos;
- Defina o escopo do Sistema de Gestão de Segurança da Informação (SGSI);
- Defina toda a metodologia de avaliação e de tratamentos de riscos;
- Escreva a declaração de aplicabilidade, onde irá conter todos os controles/ações necessárias;
- Escreva um plano para tratamentos de possíveis riscos;
- Implemente os procedimentos e controles seguindo a declaração de aplicabilidade feita anteriormente;
- Ofereça treinamentos ou implemente ações com foco na conscientização das etapas;
- Defina como poderá ser mensurado a eficácia desses controles;
- Execute diariamente as ações pré-definidas no Sistema de Gestão da Segurança da Informação (SGSI);
- Monitore constantemente e avalie o Sistema de Gestão de Segurança da Informação (SGSI);
- Realize uma auditoria interna e faça a implementação de correções necessárias após uma análise.
Como obter a certificação ISO 27001
É preciso entender que há duas versões da certificação ISO 27001, e elas são divididas entre: (a) para organizações e a (b) para indivíduos.
Para uma organização receber a certificação, primeiro é preciso seguir à risca as etapas e conselhos para implementar a norma dentro da empresa. Depois de certificar que tudo está ocorrendo da forma como deveria, será necessário realizar uma auditoria com um dos organismos de certificação oficiais.
Essa auditoria é dividida entre três estágios diferentes, que são: 1) Análise completa da documentação; 2) Auditoria no local para verificação das atividades exercidas na empresa e se estão alinhadas com a proposta da ISO 27001; 3) Visitas de supervisão que irão ser realizadas durantes os três anos de validade da certificação.
Já os indivíduos que estejam procurando receber a certificação da ISO 27001, saiba que é possível recebê-la através de exames e cursos, com os principais sendo os: Curso de Implementador Líder da ISO 27001, Curso de Auditor Interno ISO 27001 e Curso de Auditor Líder ISO 27001.
Conclusão
Lançada oficialmente em 2005, a ISO/IEC 27001 foi criada com o intuito de fazer o gerenciamento de e a proteção da informação de empresas utilizando um sistema de gestão de riscos. Dessa forma, serão analisados possíveis riscos que possam acontecer e será realizada implementação de salvaguardas (ou controles).
Obter a certificação ISO 27001 não apenas garante a segurança da empresa, como também pode trazer benefícios como: maior facilidade na integração de Sistemas de Gestão; alta redução de custos e riscos; ganho de vantagens competitivas no mercado; maior satisfação dos clientes; melhoria nas organizações internas; etc.
Antes de pedir uma auditoria, é preciso seguir à risca o passo-a-passo da implementação correta da norma dentro da empresa.
E você, já conhecia a Norma ISO/IEC 27001? Como foi a sua experiência com ela? Deixe abaixo nos comentários.