K

kompar.ti

ISO 27001: A Base da Segurança da Informação

ISO 27001: A Base da Segurança da Informação

A ISO 27001 é a principal norma internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Ela fornece um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar continuamente a segurança da informação dentro de uma organização. Em outras palavras, a ISO 27001 não foca apenas na tecnologia, mas sim em um conjunto de pessoas, processos e tecnologias que trabalham juntas para proteger as informações, numa implementação cultural na organização dos fundamentos de segurança da informação.

A relevância da ISO 27001 é imensa no cenário atual, especialmente com o aumento das ameaças cibernéticas e a crescente preocupação com a privacidade de dados. No contexto brasileiro, ela se torna ainda mais crucial por atender diretamente aos requisitos do Art. 46 da Lei Geral de Proteção de Dados (LGPD), que exige que as organizações adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Por que a ISO 27001 é importante?

  • Proteção Abrangente: Aborda todos os tipos de informação (física, digital, verbal) e todos os ativos que as processam (sistemas, redes, pessoas).

  • Gestão de Riscos: Ajuda a identificar, avaliar e tratar os riscos de segurança da informação de forma sistemática.

  • Conformidade Regulatória: Facilita a conformidade com leis e regulamentações, como a LGPD, o que é fundamental para evitar multas e sanções.

  • Confiança e Credibilidade: Demonstra a parceiros, clientes e reguladores que a organização leva a segurança da informação a sério, aumentando a confiança e a reputação.

  • Melhoria Contínua: Promove um ciclo de melhoria contínua na gestão da segurança da informação.

  • Redução de custos: Ao prevenir incidentes de segurança, a certificação pode levar a uma redução de custos associados a violações de dados, paralisações e recuperação.

Como Conquistar a Certificação ISO 27001

A obtenção da certificação ISO 27001 é um processo estruturado que geralmente envolve as seguintes fases:

  1. Planejamento e Escopo:

    • Entendimento da Norma: Compreenda profundamente os requisitos da ISO 27001.

    • Definição do Escopo: Determine quais informações, sistemas, processos e locais serão incluídos no SGSI. É fundamental que o escopo seja claro e realista.

    • Análise de Lacunas (Gap Analysis): Avalie a situação atual da sua organização em relação aos requisitos da ISO 27001 para identificar as áreas que precisam de melhoria.

  2. Implementação do SGSI:

    • Política de Segurança da Informação: Desenvolve e documenta uma política clara que demonstre o compromisso da alta direção com a segurança da informação para que essa política alcance toda a organização.

    • Análise e Tratamento de Riscos: Identifique os ativos de informação, avalie os riscos aos quais estão expostos e determine as ações para mitigar esses riscos. Isso inclui a seleção de controles de segurança do Anexo A da norma (que contém 114 controles).

    • Documentação: Crie toda a documentação necessária, como procedimentos, instruções de trabalho e registros e mantenha a mesma atualizada e conhecida por todos da organização.

    • Controles de Segurança: Implemente os controles de segurança selecionados (ex: controle de acesso, criptografia, segurança física, gestão de incidentes, continuidade de negócios).

    • Treinamento e Conscientização: Treine e avalie todos os colaboradores sobre as políticas e procedimentos de segurança da informação para garantir que entendam suas responsabilidades.

  3. Monitoramento e Revisão:

    • Monitoramento: Acompanhe o desempenho do SGSI e a eficácia dos controles de segurança.

    • Auditorias Internas: Realize auditorias internas regulares para verificar a conformidade do SGSI com os requisitos da ISO 27001 e com as políticas internas.

    • Revisão pela Alta Direção: A alta direção deve revisar periodicamente o desempenho do SGSI para garantir sua adequação, eficácia e alinhamento com os objetivos da organização.

  4. Auditoria de Certificação (por um organismo externo):

    • Estágio 1 (Auditoria de Documentação): O organismo certificador revisa a documentação do seu SGSI para garantir que ela esteja completa, atualizada e em conformidade com a norma.

    • Estágio 2 (Auditoria no Local): Auditores do organismo de certificação visitam sua organização para verificar se o SGSI está implementado de forma eficaz e se as práticas estão alinhadas com a documentação e os requisitos da norma. Eles entrevistam funcionários, verificam registros e observam processos.

    • Ações Corretivas (se necessário): Se forem identificadas não conformidades, a organização terá um prazo para corrigi-las.

    • Emissão do Certificado: Uma vez que todas as não conformidades tenham sido resolvidas e a conformidade demonstrada, o certificado ISO 27001 é emitido.

  5. Manutenção e Melhoria Contínua:

    • A certificação é válida por três anos, mas exige auditorias de vigilância anuais para garantir a manutenção do SGSI.

    • A organização deve buscar a melhoria contínua do SGSI, adaptando-o a novas tecnologias, riscos e requisitos.

Quem Certifica a Empresa?

A certificação ISO 27001 é realizada por organismos de certificação independentes e credenciados. Essas são empresas terceirizadas que possuem a expertise e a autoridade para auditar o SGSI de uma organização e, caso ele esteja em conformidade com a norma, emitir o certificado.

É crucial que o organismo de certificação escolhido seja acreditado por um órgão de acreditação nacional ou internacional. No Brasil, o principal órgão de acreditação é o INMETRO (Instituto Nacional de Metrologia, Qualidade e Tecnologia). A acreditação garante a competência, imparcialidade e credibilidade do processo de certificação.

Alguns dos organismos de certificação mais renomados e atuantes no Brasil e globalmente incluem:

  • BSI (British Standards Institution): Um dos maiores e mais antigos organismos de normalização e certificação do mundo.

  • SGS: Líder mundial em inspeção, verificação, testes e certificação.

  • Bureau Veritas: Oferece serviços de teste, inspeção e certificação em diversas áreas.

  • DNV: Especializado em serviços de garantia e gestão de riscos.

  • TÜV Rheinland: Fornece serviços técnicos, de segurança e certificação em todo o mundo.

  • LRQA (Lloyd’s Register Quality Assurance): Focado em conformidade e otimização de sistemas de gestão.

Ao escolher um organismo certificador, é aconselhável verificar suas credenciais, experiência com o setor da sua empresa e a reputação no mercado para garantir um processo de certificação robusto e confiável.

crie uma imagem do selo de certificação da ISO 27001 de uma empresa brasileira
Detalhes

por

Camila L. Oliveira
em

Compartilhe nas redes:

+ da Kompa: