Se seu objetivo é implementar em sua empresa uma boa política de segurança da informação, você certamente já ouviu falar da certificação ISO 27001.
Lidar com grandes quantidades de dados é um dos maiores desafios das organizações, principalmente com a nova Lei Geral de Proteção de Dados (LGPD). Por isso, é tão importante estabelecer normas de segurança da informação.
Mas, se você acha muito complicado obter a certificação ISO 27001, esse artigo vai te ajudar.
Na prática, essa norma tem a função de facilitar a sua gestão de segurança da informação, já que aponta diretrizes claras a serem seguidas de acordo com a realidade da sua empresa.
Nos próximos tópicos você vai entender o que é a norma ISO 27001, sua importância e como implementá-la em sua empresa.
O que é a ISO 27001?
Para implantá-la em sua empresa, primeiro você precisa compreender exatamente o que é a norma ISO 27001.
Ela foi publicada em 2005 pela International Electrotechnical Commission (ICE) e pelo International Organization for Standardization (ISO). Portanto, trata-se de uma norma internacional.
Seu objetivo é fornecer diretrizes que possibilitem aos gestores a implantação de uma política de segurança da informação adequada e eficiente.
Sendo assim, ela traça um padrão para que as empresas criem a sua política de segurança da informação com regras claras e objetivas.
Para implementar a ISO 27001, é preciso adotar uma série de requisitos, processos e controles, visando a uma gestão eficaz dos riscos de segurança da informação.
Quando uma empresa possui a certificação ISO 27001, ela assume um compromisso com a proteção das informações sob sua guarda.
E se sua empresa fica conhecida por se preocupar com a integridade e a disponibilidade dos dados essenciais ao funcionamento dos negócios, ela ganha credibilidade no mercado.
Isso acontece porque a segurança da informação torna-se cada vez mais um ativo de grande valor.
Então, é claro que vale a pena implementar normas de segurança da informação e a certificação ISO 27001. Com ela, você reduz riscos e custos e ganha vantagem competitiva.
E o melhor é que a ISO 27001 pode ser implantada em negócios de qualquer porte e de diferentes segmentos. Ou seja, certamente ela vai colaborar para a organização e a expansão da sua empresa.
Requisitos para obter a certificação ISO 27001
A implementação da ISO 27001 pressupõe a adoção de alguns requisitos. Vamos enumerar os principais deles em seguida.
- Criação de uma política de segurança da informação: ela permite o gerenciamento dos riscos de segurança e cumprimento das regulamentações relacionadas ao segmento em que o negócio se insere;
- Organização da segurança: a segurança da informação organizacional deve ser gerida de modo a manter a integridade dos dados e das instalações;
- Segurança física e ambiental: devem ser evitados danos à infraestrutura física da empresa, bem como o acesso físico não autorizado às informações e aos dados;
- Gestão de ativos: a preocupação e o cuidado com os ativos organizacionais devem ser uma constante e sua proteção tem de ser viabilizada e mantida em todas as situações;
- Gerenciamento de comunicações e operações: o processamento das informações deve ser feito da maneira certa, com a aplicação, por exemplo, de um backup seguro;
- Conformidade: os gestores devem garantir o cumprimento das leis, regulamentações e obrigações contratuais, além da conformidade dos sistemas. Para isso, é importante implantar padrões e políticas de segurança institucional;
- Controle de acesso: os acessos não autorizados aos aplicativos, às redes e aos dados devem ser impedidos, de modo a evitar roubos, danos ou ameaças à infraestrutura de TI.
Como implementar as diretrizes da ISO 27001
A implementação da ISO 27001 consiste no cumprimento de quatro passos chamados de ciclo PDCA (planejar, executar, verificar e agir).
Como gestor, você pode ter em mente que esses passos são um plano para a implementação de um sistema eficiente de gestão da segurança da informação.
Veja abaixo as etapas a serem cumpridas:
- Estudo de escopo: a definição do escopo do projeto, com a inclusão dos requisitos e departamentos específicos é o primeiro passo;
- Avaliação de riscos: faça um levantamento de todos os ativos de TI da empresa, com o apontamento das ameaças, riscos e vulnerabilidades. Em seguida, classifique essa lista de acordo com o risco que cada um dos pontos representa;
- Identificação das lacunas: revise o andamento do seu planejamento, veja como está a implementação dos requisitos da ISO 27001 e dos controles de segurança. Lembre-se que nem todos os controles definidos pela ISO 27001 serão aplicáveis ao seu negócio;
- Melhoria da segurança: sabendo como anda a segurança da informação em sua empresa, você pode desenvolver um programa para proteger seus ativos de TI das ameaças identificadas;
- Testes e auditoria interna: todas as ações colocadas em prática para melhorar a segurança da informação devem ser submetidas a testes, para a garantia de seus resultados positivos. Nesse cenário, as auditorias internas são muito bem-vindas;
- Revisão contínua: faça análises gerenciais e avaliações de desempenho. A melhoria contínua é um requisito para a manutenção dos padrões do sistema de gestão da segurança da informação.
Como obter a certificação ISO 27001
Depois de cumprir as etapas internas relacionadas à implementação da ISO 27001 na organização, o próximo passo é a auditoria externa de verificação.
Essa auditoria é feita por uma empresa credenciada e tem dois estágios: a análise de lacunas e a avaliação formal.
Você já terá passado por uma análise de lacunas internas, então sua empresa deve estar preparada.
A análise feita pelos auditores vai verificar se os gestores desenvolveram os controles e procedimentos da ISO 27001.
Assim, a empresa certificadora vai apontar as possíveis lacunas identificadas e os gestores poderão resolvê-las em tempo hábil.
Caso não existam lacunas ou elas já tenham sido resolvidas, é iniciado o segundo estágio da auditoria: a avaliação formal.
Nesse estágio é avaliada a implementação dos procedimentos e controles da ISO 27001 na empresa, para verificar sua conformidade com a norma.
Na prática, os auditores visitam a empresa nessa etapa e observam as atividades e processos corporativos, para se certificar de que eles estão de acordo com a documentação estudada previamente.
Se essa conformidade for identificada, é emitida a certificação ISO 27001. Mas o processo não termina aqui.
Durante todo o período de vigência da certificação, são feitas visitas de supervisão para garantir que os processos organizacionais continuam de acordo com as normas.
Depois de entender todo esse processo, se você acha que a obtenção da certificação ISO 27001 é interessante para a sua empresa por conta da credibilidade que ela vai gerar no mercado, certamente você também precisa implementar um controle de qualidade.
Com o controle de qualidade e a obtenção da ISO 27001, sua reputação junto aos clientes fica em alta e você gerencia muito melhor o seu negócio.
Por isso, agora que você já compreendeu o que é e como conseguir a certificação ISO 27001, recomendamos também uma visita ao nosso artigo sobre controle de qualidade. Boa leitura.