O que é a ISO 27001 e como obter essa certificação?

ProMoveCertificaçãoO que é a ISO 27001 e como obter essa certificação?
ISO 27001

A ISO 27001 é uma norma certificável que atesta que sua empresa cumpre os requisitos do International Organization for Standardization (ISO) para gestão da segurança da informação. Seu conteúdo descreve o que é necessário para a implementação de um robusto Sistema de Gestão de Segurança da Informação (SGSI).

O crescente número de vazamentos de informações de usuários nos diversos sites e serviços de armazenamento como o Facebook, iCloud, etc.,  evidencia a importância da ISO 27001. Apenas em 2018, ocorreram 1505 violações de dados que levaram ao comprometimento de aproximadamente 5 bilhões de registros de dados no mundo inteiro (fonte Breach Level Index – Índice de Nível de Violação).

Gráfico Violação de Dados

Conforme a BLI, o roubo de identidade continua sendo o principal tipo de violação de dados, seguido de acessos financeiros. O conjunto de requisitos descritos pela ISO 27001 auxiliar a organização a proteger-se contra esses problemas e vários outros perigos relacionados à segurança da informação. Neste artigo sobre ISO 27001 você poderá entender:

Porque razão devemos implementar os requisitos da norma ISO 27001

A ISO 27001 fornece todo um framework completo para ajudá-lo a implementar um sistema de gestão que protege os ativos de informação e a sua empresa, reduzindo risco de litígios e tempo de parada.

Com os dados da empresa cada vez mais acessíveis, é importante minimizar sua vulnerabilidade a violações de segurança. Independentemente do tipo de informação, seja ela dados financeiros, código de software de computador ou listas de clientes / fornecedores, ou como ela é armazenada, são necessários controles de segurança robustos.

Com uma estratégia de segurança clara, você pode garantir aos interessados, especialmente aos clientes, que suas informações pessoais estão sempre protegidas. A adoção da ISO 27001 demonstra que sua organização está usando uma abordagem de mitigação de risco para selecionar e implementar controles de segurança da informação.

Inicialmente, pode-se pensar que a implementação de um SGSI pode ser um dreno de recursos, oferecendo pouco retorno financeiro. Na prática, os custos serão compensados pela prevenção e redução do impacto e da frequência dos incidentes de segurança.

A ISO 27001 tornou-se um padrão comumente usado para criação de um SGSI e é cada vez mais especificado como requisito obrigatório para acordos contratuais.

Requisitos para certificação ISO 27001

A norma ISO 27001 é composta de cinco seções que estabelecem os requisitos principais e um apêndice que contém controles de segurança, cada um com objetivos e foco específicos, organizados nos seguintes grupos:

  • Política de segurança: fornecer orientação de gerenciamento e suporte para segurança de informações de acordo com os requisitos de negócios e leis e regulamentos relevantes.
  • Organização da segurança da informação: Gerenciar a segurança da informação dentro da organização e manter a segurança das informações da organização e das instalações de processamento que são acessadas, processadas, comunicadas ou gerenciadas por terceiros.
  • Gestão de ativos: Alcançar e manter a proteção de ativos organizacionais.
  • Segurança de recursos humanos: Garantir que funcionários, contratados e terceiros entendam suas responsabilidades e sejam adequados para as funções para as quais são considerados, estejam cientes das ameaças à segurança das informações e saiam da organização ou troquem de emprego de maneira ordenada.
  • Segurança física e ambiental: Impedir o acesso físico não autorizado, danos e interferência nas instalações e informações da organização. Para evitar perda, dano, roubo ou comprometimento de ativos e interrupção das atividades da organização.
  • Gerenciamento de comunicações e operações: ajudar a garantir que as informações sejam processadas corretamente, com um backup seguro e tratado adequadamente.
  • Controle de acesso: ajudar a controlar o acesso a informações, redes e aplicativos, impedindo acesso não autorizado, interferência, danos e roubo.
  • Aquisição, desenvolvimento e manutenção de sistemas de informação: garantir que a segurança seja parte integrante do sistema de informação, ajudando a proteger aplicações, arquivos e reduzindo vulnerabilidades.
  • Gerenciamento de incidentes de segurança de informação: garantir que as violações e os problemas de segurança das informações sejam comunicados de forma consistente, de modo a permitir a tomada de ações corretivas em tempo hábil.
  • Gerenciamento de continuidade de negócios: Garantir a neutralização de interrupções nas atividades de negócios e proteger processos críticos de negócios contra os efeitos de falhas ou desastres de sistemas de informações importantes.
  • Conformidade: Evitar violações de qualquer lei, obrigação estatutária, regulamentar ou contratual e de quaisquer requisitos de segurança. Garantir a conformidade dos sistemas com políticas e padrões de segurança organizacionais.

É importante ressaltar que a norma ISO 27001 também requer que os seguintes pontos sejam estabelecidos e mantidos:

  • Escopo do SGSI (cláusula 4.3)
  • Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)
  • Metodologia de avaliação de risco e de tratamento de risco (cláusula 6.1.2)
  • Declaração de aplicabilidade (cláusula 6.1.3 d)
  • Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
  • Relatório de avaliação de risco (cláusula 8.2)
  • Definição de papéis e responsabilidades de segurança (cláusulas A.7.1.2 e A.13.2.4)
  • Inventário de ativos (cláusula A.8.1.1)
  • Uso aceitável dos ativos (cláusula A.8.1.3)
  • Política de controle de acesso (cláusula A.9.1.1)
  • Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)
  • Princípios para projetar sistemas seguros (cláusula A.14.2.5)
  • Política de segurança para fornecedores (cláusula A.15.1.1)
  • Procedimento para gestão de incidente (cláusula A.16.1.5)
  • Procedimentos de continuidade do negócio (cláusula A.17.1.2)
  • Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)

Além destes ativos, os seguintes registros são obrigatórios para que a empresa se certifique na norma:

  • Registros de treinamento, habilidades, experiência e qualificações (cláusula 7.2)
  • Resultados de monitoramento e medição (cláusula 9.1)
  • Programa de auditoría interna (cláusula 9.2)
  • Resultados de auditorías internas (cláusula 9.2)
  • Resultados de análises críticas pela direção (cláusula 9.3)
  • Resultados de ações corretivas (cláusula 10.1)
  • Registros (logs) de atividades de usuários, de exceções e de eventos de segurança (cláusula A.12.4.1 e A.12.4.3)

Como implementar a ISO 27001

A implementação da norma ISO 27001 pode ser realizada utilizando os quatro passos do ciclo PDCA (Planejar, Executar, Verificar e Agir), podendo ou não ser gerenciado por outras metodologias mais específicas. É importante que a ISO 27001 seja vista como um projeto de implementação de um Sistema de Gestão da Segurança da Informação e siga alguns passos como, por exemplo:

1: Estudo de escopo

Esta etapa inicial define o escopo do projeto. O escopo deve refletir os objetivos claros do negócio e do projeto de implementação da ISO 27001, incluindo quaisquer requisitos, locais e departamentos específicos. Este escopo irá guiá-lo mais adiante no processo, mantendo você focado em sua tarefa.

2: Avaliação de risco

Uma avaliação de risco é usada para identificar todos os seus ativos de informação e considerar os riscos, ameaças e vulnerabilidades associados. Isso permitirá que você elabore uma lista de ameaças de informações, que podem ser priorizadas com base no nível de risco que elas representam aos seus ativos de informação.

3: Análise de lacunas

Uma análise de lacunas é uma revisão do seu progresso até agora e analisa como você implementou os requisitos da ISO 27001 e os controles de segurança aplicáveis. Alguns controles definidos na ISO 27001 podem não se aplicar à sua organização e aos riscos de segurança da informação aos quais ela está exposta. Se determinadas atividades, como a realização de transações eletrônicas, não forem realizadas em sua organização, o controle associado poderá ser formalmente excluído.

4: Declaração de aplicabilidade

A declaração de aplicabilidade deve listar todos os controles e referências a como e por que elas se aplicam ao seu escopo.

5: Programa de melhoria de segurança

Por esta altura, você terá uma boa compreensão da sua situação de segurança da informação. Políticas e procedimentos revisados ​​agora precisam ser desenvolvidos para proteger os ativos de informação contra os riscos que você identificou, como problemas de pessoal, recursos técnicos e melhorias. Alguns podem exigir uma ação imediata, enquanto outros simplesmente exigirão regras ou instruções atualizadas.

6: Teste, revisão e auditoria interna

À medida que você realiza ações destinadas a melhorar a segurança das informações, cada ação ou mudança no processo deve ser testada para garantir que ela forneça as melhorias necessárias. Isso pode incluir uma avaliação externa, testes de penetração ou revisão por pares. Auditorias internas do SGSI também podem ser realizadas, mas uma visão de fora fará com que você tenha maior êxito na obtenção da ISO 27001.

7: Implementação

Uma vez que suas políticas, procedimentos e controles tenham sido desenvolvidos, você precisará implantá-los. Como toda organização é diferente, as práticas de trabalho também diferem. A implementação de políticas pode ser auxiliada por treinamento, discussão e promoção. O envolvimento positivo da alta administração também é necessário para fazer essas mudanças.

8: Documento final

A declaração de aplicabilidade (SOA) deve ser clara, concisa e de fácil compreensão. Como a ISO 27001 requer aprimoramento contínuo, sua documentação deve ser revisada e corrigida regularmente para refletir as mudanças nas práticas de negócios, nos processos e nos resultados de seu programa contínuo de melhoria de segurança.

9: Revisão da gestão

A gerência deve revisar o SGSI da organização regularmente para garantir sua adequação e efetividade contínuas. A segurança da informação deve ser fundamental para as operações diárias de uma organização e ajustes feitos conforme apropriado para melhorar o desempenho geral do sistema.

10: Melhoria contínua e ação corretiva

Tal como acontece com todos os padrões do sistema de gestão, é necessário rever o que foi alcançado. Auditorias internas e análises gerenciais continuam a ser os principais métodos de avaliação do desempenho do SGSI e das ferramentas para a sua melhoria contínua. As não conformidades do SGSI precisam ser tratadas com ações corretivas para garantir que elas não ocorram novamente. Como em todos os padrões do sistema de gestão, a melhoria contínua é um requisito fundamental do padrão.

Resultados da ISO 27001

A norma ISO 27001 traz benefícios diretos e indiretos para a sua empresa, dentre eles estão:

  1. Menores custos com tratamento de incidentes de segurança da informação.
  2. Maior credibilidade da marca, pois demonstra preocupação com os dados do cliente.
  3. Risco gerenciado por políticas de segurança claras e documentadas.

Diante das crescentes ameaças à segurança da informação, a certificação ISO 27001 é um atestado que sua empresa cumpre os parâmetros necessários para uma boa gestão da segurança da informação.

Contar a experiência de uma consultoria especializada para obtenção da ISO 27001 será de essencial para encurtar sua jornada para criação do SGSI e tornará sua obtenção de certificação mais assertiva.

Quer saber mais sobre como obter a certificação da ISO 27001? A ProMove pode te ajudar! Entre em contato conosco.

Sobre o Autor

Sócio-Fundador da ProMove - Business Innovation, empresa que presta consultoria em melhoria de processos de software em organizações de todo o Brasil. Trabalho com TI desde 2003, quando fiz parte do grupo de qualidade da COPPE-UFRJ. Já fui desenvolvedor .Net, C# e atualmente ajudo empresas que desejam melhorar sua cultura de engenharia de software para obter maior produtividade e qualidade em suas entregas de software ou de serviços de TI. Também sou especialista em modelos de maturidade e qualidade como CMMI, MPS.Br, ISO, CERTICs e entusiasta de métodos ágeis e de produção enxuta como Lean e Kanban.