14.1 C
São Paulo
segunda-feira, julho 22, 2024
InícioCibersegurançaA ‘CNH’ das empresas: por que adotar a ISO 27001?

A ‘CNH’ das empresas: por que adotar a ISO 27001?

A ISO 27001 é o ‘padrão ouro’ às empresas que buscam o gerenciamento de segurança da informação. Desenvolvida pela International Organization for Standardization (ISO) e pela International Electrotechnical Commission (IEC), fornece uma estrutura abrangente e sistemática para estabelecer, implementar, operar, monitorar e analisar criticamente a segurança da informação em organizações de todos os tamanhos e setores.

No entanto, muitas empresas – dentro e fora do país – ainda não têm a ciência de que existe uma norma internacional voltada especificamente para implementação de um controle e um Sistema de Gestão da Segurança da Informação (SGSI). 

Inclusive, instituições que já estão alinhadas com outras diretrizes de processos e qualidades (como as previstas na série ISO 9000) ou para a gestão ambiental (como as previstas na ISO 14001), acabam não se preocupando com a questão da segurança da informação, deixando de lado a ISO 27001 por falta de conhecimento da norma.

As grandes empresas precisam enxergar a segurança da informação como um ponto crítico e buscar ferramentas para adotar a norma. Para ser didático, podemos fazer um paralelo com a CNH (Carteira Nacional de Habilitação), ou seja, quem tem a CNH não precisa falar ou comprovar que sabe dirigir, estacionar, acelerar, frear e trocar marcha: basta mostrar o documento e todos terão a certeza disto. Quem apresenta o certificado da ISO 27001 tem a mesma confiança, já que estará amparado pelo controle de boas práticas aplicadas na instituição.

Mais do que isso, a implementação também ajuda a estabelecer uma cultura organizacional e uma governança corporativa focada na proteção de informações críticas. Assim, conquista crédito no mercado e passa uma boa imagem aos fiéis e aos potenciais clientes. 

Histórico

Desde 1990, se nota a necessidade de buscar melhores práticas e controles visando apoiar o comércio e os governos na implementação e aprimoramento da segurança da informação. Naquele ano, o Departamento de Comércio e Indústria do Reino Unido formou um grupo de trabalho com o intuito de elaborar um “Código de Prática”, publicando o BS (British Standard) 7799. Atualmente, esses controles ainda são reconhecíveis na ISO 27001.

Cinco anos depois, foi elaborada a “Especificação de Segurança da Informação”, chamada de BS 7799-2 (fazendo com que a BS 7799 se tornasse a BS 7799-1). Com base nesses conceitos, a ISO 27001 foi criada em 2005. Desde então, passou por duas revisões para incluir novos dados. 

A primeira, em 2013, abordou novas funções na área de TI. Em 2022, uma nova edição foi feita, o que resultou na publicação da terceira edição da ISO 27001 em outubro de 2022. A principal alteração foi a reformulação da classificação dos controles, reduzindo em 21 o número total (passando de 114 a 93) e os categorizando em nove diferentes classificações.

Esta reformulação foi necessária para atualizar a norma frente aos avanços e as novas tendências tecnológicas, passando a incluir controles específicos para os temas big data, computação em nuvem, inteligência artificial, aprendizado de máquina e a crescente demanda de terceirização de serviços no âmbito da TI.

As normas ISO 27003, ISO 27004, ISO 27005, e várias diretrizes de orientação interpretativa específicas para setores, completam esta primeira. Todas normas ISO passam por revisão a cada cinco anos, com a finalidade de acompanhar os desenvolvimentos em diversas indústrias.

O que é a ISO 27001?

É um conjunto de requisitos normativos ao estabelecimento, implementação, operação, monitoramento e revisão de um SGSI. Ela define quais padrões são utilizados para garantir a confidencialidade, integridade e disponibilidade das informações. Seu escopo abrange a proteção de ativos de informação, incluindo dados físicos e digitais, além de processos e políticas relacionadas.

Este conjunto de requisitos previstos na ISO 27001 dizem respeito à seleção de controles de segurança adaptados às necessidades de cada organização, com base nas melhores práticas da indústria, sendo um processo reconhecido no mundo todo, definido e estruturado para gerenciar a segurança da informação. 

A norma, consequentemente, é internacional e também se aplica a todos os tipos de organizações, independentemente de seu tamanho ou setor de atuação (por exemplo, empresas comerciais, agências governamentais, organizações sem fins lucrativos, etc).

iso 27001
Imagem gerada por Inteligência Artificial (IA)

Quais as vantagens?

A implementação da norma ISO 27001 é de extrema importância às organizações, especialmente falando em um ambiente digital cada vez mais complexo e em um mundo cada vez mais conectado. 

Com este certificado, elas comprovam o comprometimento com a segurança através de estrutura reconhecida. Seu escopo é flexível e permite, caso a empresa queira, que ela seja aplicada apenas a um departamento ou área específica – e não à toda entidade. 

Ao evidenciar o fortalecimento de suas defesas contra ameaças cibernéticas, as instituições aumentam a confiança de seus clientes, parceiros de negócios e de outras partes interessadas preocupadas com a segurança.

A ISO 27001 ainda enfatiza a abordagem baseada em riscos. Ao identificar e avaliar os riscos de segurança da informação, uma organização pode tomar medidas proativas para mitigar ameaças potenciais. Com as instituições preparadas para lidar com incidentes de segurança da informação, a chance de incidentes de segurança e os possíveis impactos causados por ele caem.

Como as organizações revisam e aprimoram regularmente seus processos de segurança da informação, pensando em estar sempre à frente das ameaças, a adoção da ISO 27001 ainda favorece a melhoria contínua. 

A estrutura PDCA (sigla inglesa para Plan Do Check Act, que significa: planejar, fazer, checar e agir) incentiva a identificação de áreas de aprimoramento e de ajustes às práticas de segurança, conforme necessário.

O que precisa para implementar?

As empresas que desejam implementar a ISO 27001 precisam considerar algumas etapas antes de iniciar o projeto. O primeiro passo é definir e estabelecer o SGSI, pois ele será o alvo de estudo e da aplicação das diretrizes. 

Ele deve levar em conta o escopo da organização e seu contexto, como a implementação de políticas de segurança e a gestão de riscos a fim de obter aprovação da alta direção para a implementação da norma.

Em seguida, deve ser feita a seleção e implementação dos controles de segurança aplicáveis à organização, bem como implementar um plano de comunicação dentro do escopo do SGSI, desenvolver competências e conscientizar os colaboradores. 

O sistema deve ser monitorado e revisado com regularidade, passando inclusive por auditorias internas. Seus registros e as evidências de aplicação também devem ser medidos a fim de verificar indicadores e  análises quanto à sua execução devem ser extraídas.

A partir de então, o SGSI deve ser continuamente mantido e melhorado, considerando a estrutura PDCA que a norma sugere, garantindo assim a melhoria contínua dos controles aplicados ao contexto da organização. Não conformidades devem ser identificadas, documentadas e tratadas.

Douglas Lopes
Douglas Lopes
Possuo experiência em Desenvolvimento de Software (Web), Gerenciamento de Projetos, Implementação de Modelos de Desenvolvimento de Software (CMMI e MPS.BR), Gestão de Venda, Marketing e Expansão do Negócio.
Postagens recomendadas
Outras postagens