A ISO 27001 é uma norma certificável que atesta que sua empresa cumpre os requisitos do International Organization for Standardization (ISO) para gestão da segurança da informação. Seu conteúdo descreve o que é necessário para a implementação de um robusto Sistema de Gestão de Segurança da Informação (SGSI).
O crescente número de vazamentos de informações de usuários nos diversos sites e serviços de armazenamento como o Facebook, iCloud, etc., evidencia a importância da ISO 27001. Apenas em 2018, ocorreram 1505 violações de dados que levaram ao comprometimento de aproximadamente 5 bilhões de registros de dados no mundo inteiro (fonte Breach Level Index - Índice de Nível de Violação).
Conforme a BLI, o roubo de identidade continua sendo o principal tipo de violação de dados, seguido de acessos financeiros. O conjunto de requisitos descritos pela ISO 27001 auxiliar a organização a proteger-se contra esses problemas e vários outros perigos relacionados à segurança da informação. Neste artigo sobre ISO 27001 você poderá entender:
A ISO 27001 fornece todo um framework completo para ajudá-lo a implementar um sistema de gestão que protege os ativos de informação e a sua empresa, reduzindo risco de litígios e tempo de parada.
Com os dados da empresa cada vez mais acessíveis, é importante minimizar sua vulnerabilidade a violações de segurança. Independentemente do tipo de informação, seja ela dados financeiros, código de software de computador ou listas de clientes / fornecedores, ou como ela é armazenada, são necessários controles de segurança robustos.
Com uma estratégia de segurança clara, você pode garantir aos interessados, especialmente aos clientes, que suas informações pessoais estão sempre protegidas. A adoção da ISO 27001 demonstra que sua organização está usando uma abordagem de mitigação de risco para selecionar e implementar controles de segurança da informação.
Inicialmente, pode-se pensar que a implementação de um SGSI pode ser um dreno de recursos, oferecendo pouco retorno financeiro. Na prática, os custos serão compensados pela prevenção e redução do impacto e da frequência dos incidentes de segurança.
A ISO 27001 tornou-se um padrão comumente usado para criação de um SGSI e é cada vez mais especificado como requisito obrigatório para acordos contratuais.
A norma ISO 27001 é composta de cinco seções que estabelecem os requisitos principais e um apêndice que contém controles de segurança, cada um com objetivos e foco específicos, organizados nos seguintes grupos:
É importante ressaltar que a norma ISO 27001 também requer que os seguintes pontos sejam estabelecidos e mantidos:
Além destes ativos, os seguintes registros são obrigatórios para que a empresa se certifique na norma:
A implementação da norma ISO 27001 pode ser realizada utilizando os quatro passos do ciclo PDCA (Planejar, Executar, Verificar e Agir), podendo ou não ser gerenciado por outras metodologias mais específicas. É importante que a ISO 27001 seja vista como um projeto de implementação de um Sistema de Gestão da Segurança da Informação e siga alguns passos como, por exemplo:
Esta etapa inicial define o escopo do projeto. O escopo deve refletir os objetivos claros do negócio e do projeto de implementação da ISO 27001, incluindo quaisquer requisitos, locais e departamentos específicos. Este escopo irá guiá-lo mais adiante no processo, mantendo você focado em sua tarefa.
Uma avaliação de risco é usada para identificar todos os seus ativos de informação e considerar os riscos, ameaças e vulnerabilidades associados. Isso permitirá que você elabore uma lista de ameaças de informações, que podem ser priorizadas com base no nível de risco que elas representam aos seus ativos de informação.
Uma análise de lacunas é uma revisão do seu progresso até agora e analisa como você implementou os requisitos da ISO 27001 e os controles de segurança aplicáveis. Alguns controles definidos na ISO 27001 podem não se aplicar à sua organização e aos riscos de segurança da informação aos quais ela está exposta. Se determinadas atividades, como a realização de transações eletrônicas, não forem realizadas em sua organização, o controle associado poderá ser formalmente excluído.
A declaração de aplicabilidade deve listar todos os controles e referências a como e por que elas se aplicam ao seu escopo.
Por esta altura, você terá uma boa compreensão da sua situação de segurança da informação. Políticas e procedimentos revisados agora precisam ser desenvolvidos para proteger os ativos de informação contra os riscos que você identificou, como problemas de pessoal, recursos técnicos e melhorias. Alguns podem exigir uma ação imediata, enquanto outros simplesmente exigirão regras ou instruções atualizadas.
À medida que você realiza ações destinadas a melhorar a segurança das informações, cada ação ou mudança no processo deve ser testada para garantir que ela forneça as melhorias necessárias. Isso pode incluir uma avaliação externa, testes de penetração ou revisão por pares. Auditorias internas do SGSI também podem ser realizadas, mas uma visão de fora fará com que você tenha maior êxito na obtenção da ISO 27001.
Uma vez que suas políticas, procedimentos e controles tenham sido desenvolvidos, você precisará implantá-los. Como toda organização é diferente, as práticas de trabalho também diferem. A implementação de políticas pode ser auxiliada por treinamento, discussão e promoção. O envolvimento positivo da alta administração também é necessário para fazer essas mudanças.
A declaração de aplicabilidade (SOA) deve ser clara, concisa e de fácil compreensão. Como a ISO 27001 requer aprimoramento contínuo, sua documentação deve ser revisada e corrigida regularmente para refletir as mudanças nas práticas de negócios, nos processos e nos resultados de seu programa contínuo de melhoria de segurança.
A gerência deve revisar o SGSI da organização regularmente para garantir sua adequação e efetividade contínuas. A segurança da informação deve ser fundamental para as operações diárias de uma organização e ajustes feitos conforme apropriado para melhorar o desempenho geral do sistema.
Tal como acontece com todos os padrões do sistema de gestão, é necessário rever o que foi alcançado. Auditorias internas e análises gerenciais continuam a ser os principais métodos de avaliação do desempenho do SGSI e das ferramentas para a sua melhoria contínua. As não conformidades do SGSI precisam ser tratadas com ações corretivas para garantir que elas não ocorram novamente. Como em todos os padrões do sistema de gestão, a melhoria contínua é um requisito fundamental do padrão.
A norma ISO 27001 traz benefícios diretos e indiretos para a sua empresa, dentre eles estão:
Diante das crescentes ameaças à segurança da informação, a certificação ISO 27001 é um atestado que sua empresa cumpre os parâmetros necessários para uma boa gestão da segurança da informação.
Contar a experiência de uma consultoria especializada para obtenção da ISO 27001 será de essencial para encurtar sua jornada para criação do SGSI e tornará sua obtenção de certificação mais assertiva.
Saiba como está o sistema de gestão de segurança da informação da sua empresa, de acordo com a ISO 27001. Clique na imagem abaixo e realize um autodiagnóstico gratuitamente!
Quer saber mais sobre como obter a certificação da ISO 27001? A ProMove pode te ajudar! Entre em contato conosco.