Um Sistema de Gestão de Segurança da Informação para ser implementado e operado de forma regulamentada, deve estar de acordo com os padrões internacionais e adequado a organizações de todos os portes e segmentos. Para isso, foi criada a ISO/IEC 27001:2013, que são normas ISO dedicadas à Segurança da Informação, contando com 16 publicações sobre a área.
Qualquer profissional de segurança que deseja ter uma compreensão abrangente de como lidar com esse assunto de forma sistemática, deve ler a ISO 27001. Contudo, há um custo para acessar a versão brasileira da norma, ideal para empresas que planejam certificar seu SGSI, e isso faz com que muitos estudantes e profissionais que não conseguem arcar com esses custos, recorram a versões gratuitas ou cópias não autorizadas.
Enquanto a ISO 9001 é uma referência internacional para a certificação da gestão da qualidade, a norma ISO 27001 é para a gestão da segurança da informação. A norma ISO 27001 tem sido continuamente melhorada ao longo dos anos, e é derivada do conjunto de normas anteriores, nomeadamente ISO 27001 e BS7799.
O princípio geral da norma é a adoção pela organização de um conjunto de requisitos, processos e mecanismos de controle, para limitar e gerenciar adequadamente o risco da organização. As práticas documentadas no Standard são utilizadas por múltiplas organizações, que usufruem dos benefícios de sua adoção e, além disso, espera-se que elas também possam ser certificadas para comprovar de forma íntegra, que cumprem os requisitos e processos contidos nas normas.
A certificação nesta norma é uma demonstração do quanto a empresa considera relevante a proteção da informação.
A utilização da norma ajuda as organizações a adotarem modelos apropriados para estabelecer, implementar, operar, monitorar, revisar e gerenciar sistemas de gestão de segurança da informação. De acordo com os princípios da norma ISO 27001, esse sistema é uma abordagem de segurança abrangente, independente da marca e dos fabricantes de tecnologia.
É abrangente pois engloba inúmeros temas relativos à Segurança da Informação, como telecomunicações, segurança de aplicativos, proteção do ambiente físico, recursos humanos, continuidade de negócios, licenciamento, etc.
É considerado independente do fabricante, pois visa estabelecer processos e procedimentos, que podem então ser incorporados à realidade de cada organização de diferentes formas e nas peculiaridades de cada tecnologia e ambiente organizacional.
Ainda que as entidades não se certifiquem, as práticas documentadas na norma trazem uma série de benefícios, como:
1. Demonstração de comprometimento da organização com a segurança da informação;
2. Aumenta a fiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade;
3. Garante a realização de investimentos mais eficientes e orientados ao risco, ao invés de investimentos com base em tendências;
4. Aumenta a sensibilidade, a participação e a motivação dos colaboradores da organização na área da Segurança da Informação;
5. Identificar e resolver oportunidades de melhoria continuamente;
6. Aumenta a confiança e satisfação dos clientes e parceiros, providenciando um maior potencial para realização de mais negócios;
7. A implementação de controles resultantes de padrões e análises de risco, melhora o desempenho operacional da organização;
8. A adoção de um sistema de gestão melhora a eficácia da organização.
Uma das questões mais preocupantes hoje é o tratamento adequado de dados pessoais por uma organização. Os benefícios para os clientes, fornecedores ou parceiros, da implantação da norma ISO 27001, é um alto grau de comprometimento com a proteção da informação, que traz um conforto considerável para as organizações que interagem com as entidades certificadas. Além disso, existem outras formas de regulamentação e proteção de informação, como o Marco Civil da Internet e a Lei Geral de Proteção de Dados, com sua Política de Privacidade.
Por fim, ter um Sistema de Gestão de Segurança da Informação hoje, não é mais uma questão de escolha, afinal o vazamento de dados e os ciberataques tem acontecido com frequência. Adotar as normas traz não só credibilidade para corporação, como gera confiança no cliente.
Perfil do Autor
- Saulo Almeida
- Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.
Últimas Postagens
- Gestão e estratégia12 de março de 2024Avaliação de Risco: Por que a personalização é importante nessa estratégia?
- Gestão e estratégia8 de fevereiro de 2024Regulamentações de Compliance: Como a avaliação de riscos pode ajudar na conformidade das empresas
- Gestão e estratégia30 de janeiro de 2024Avaliação de Riscos: Descubra e mitigue riscos potenciais com uma estratégia abrangente
- Cibersegurança16 de janeiro de 2024A avaliação de riscos como aliada contra os perigos cibernéticos