Segurança da Informação

ISO 27001: tudo que você precisa saber sobre a certificação

Por Ulysses Dutra | 20.10.21
Selo da certificação ISO 27001. Ao lado, lê-se: "ISO 27001: tudo que você precisa saber sobre a certificação"

Saiba o que é a ISO 27001, sua importância na segurança da informação e como essa certificação pode ser um valioso diferencial competitivo para sua empresa

É difícil prever quando, como ou onde um ataque hacker pode acontecer e parar sua empresa. Ou pior, ameaçar a privacidade e segurança da informação com o vazamento de dados sensíveis, seus e de seus clientes. A boa notícia é que é possível se precaver contra ameaças desse tipo ou responder com agilidade quando for preciso, adotando as práticas do certificado ISO 27001.

Isso porque esta certificação define normas para implementar um Sistema de Gestão de Segurança da Informação robusto, capaz de proteger sua empresa, reduzindo o risco de prejuízos com multas e tempo de parada, ou downtime.

Portanto, vamos ver o que é a certificação ISO 27001, qual sua importância dentro da Gestão de TI, suas vantagens para a conformidade com a LGPD e como implantar essa norma para receber o selo de garantia de qualidade na proteção de dados e informações.

O que é a ISO 27001?

A certificação ISO 27001 é um conjunto de normas que estabelece o padrão internacional para a gestão da segurança da informação nas organizações. Ela tem como objetivo orientar a criação de um Sistema de Gestão de Segurança da Informação (SGSI) que atenda todos os requisitos, processos e controles necessários para proteger a privacidade, disponibilidade e integridade de dados, sistemas e informações sensíveis.

Além disso, a ISO 27001 também estabelece padrões para monitoramento, análise e revisão, com foco em melhorias contínuas na gestão da segurança da informação, bem como a conformidade com outras normas como a Lei Geral de Proteção de Dados (LGPD).

Por isso, hoje a ISO 27001 também representa um importante diferencial competitivo, já que muitas empresas exigem essa certificação de fornecedores e parceiros com quem fazem negócios.

Qual a origem da ISO 27001?

A ISO 27001 foi publicada originalmente em outubro de 2005 pelo International Organization for Standardization (ISO), que é a entidade responsável por promover as normas internacionais de padronização para produtos, processos e serviços.

No Brasil, ela foi traduzida e publicada pela ABNT em 2006, com o nome completo de ISO/IEC 27001 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos.

No que consiste a ISO 27001?

A norma ISO 27001 é dividida basicamente em dois pilares. O primeiro define as regras e requisitos da certificação, por meio dos seguintes pontos:

  • Contexto da organização – políticas, recursos e infraestrutura de segurança da informação;
  • Lideranças – quem são, funções e nível de comprometimento;
  • Planejamento – definição de objetivos e ações;
  • Suporte – recursos de documentação, comunicação e conscientização;
  • Operação – controles, planejamento e avaliação e tratamento de riscos;
  • Avaliação de desempenho – monitoração, análise, auditoria e revisão;
  • Melhoria – ações de conformidade e melhoria contínua.

O segundo, também chamado de ANEXO A da ISO 27001, é composto pelos protocolos e controles que devem ser adotados para os seguintes temas:

  1. Conformidade
  2. Políticas de segurança da informação
  3. Gestão da continuidade dos negócios
  4. Gestão de incidentes
  5. Organização da segurança da informação
  6. Segurança de recursos humanos
  7. Relações com fornecedores
  8. Gestão de bens
  9. Aquisição, desenvolvimento e manutenção de sistemas
  10. Controle de acessos
  11. Segurança de comunicações
  12. Criptografia
  13. Segurança de operações
  14. Segurança física e ambiental

Minha empresa precisa obter a ISO 27001?

Qualquer organização, seja pública ou privada, independente do seu segmento ou tamanho, pode adotar os padrões de qualidade estabelecidos na ISO 27001. Entretanto, como outros padrões do sistema ISO, a certificação ISO 27001 não é obrigatória. Porém, é inegável que ela oferece uma série de vantagens para as empresas, seus funcionários e clientes, como veremos em detalhes mais adiante.

No Brasil, somente 154 empresas possuem a certificação ISO 27001. É o que mostra a última pesquisa ISO, que traz o número de certificados válidos em 31 de dezembro de 2020. A maioria dessas empresas (72) faz parte do setor de tecnologia da informação.

Os vazamentos de dados têm crescido e gerado prejuízos cada vez maiores na imagem de diversas empresas, além de multas milionárias, como revela a pesquisa Cost of a Data Breach Report da IBM. Em sua edição mais recente, o estudo mostra que em 2020 o custo médio com um incidente subiu cerca de 10%, indo de US $3,86 milhões para US $4,24 milhões, a maior média registrada nos 17 anos em que o relatório é realizado.

Esses números só reforçam a importância da segurança da informação obtida com a ISO 27001, bem como a conformidade com as leis, em especial com a LGPD.

Qual a importância da ISO 27001 no contexto da LGPD?

No Brasil, a fragilidade da segurança da informação ficou ainda mais evidente com os gigantescos vazamentos de dados que aconteceram no início de 2021. Nessa ocasião, foram expostos os dados pessoais – como nome, sexo, CPF e renda – de 223 milhões de brasileiros.

Mas, apesar de toda visibilidade nos meios de comunicação sobre esses incidentes e os enormes prejuízos causados, de acordo com uma pesquisa do IDC apenas 50% das empresas afirmam estar avançadas na adequação à LGPD. Para 2/3 das organizações o maior desafio é o mapeamento e controle das informações, o que pode se tornar bem mais fácil com a implementação da ISO 27001.

No entanto, embora os objetivos principais das normas sejam semelhantes e elas sejam complementares, as duas diferem em alguns aspectos.

Qual a diferença entre a ISO 27001 e a LGPD?

A Lei Geral de Proteção de Dados ou Lei nº 13.709/2018 entrou em vigor em setembro de 2020 e foi criada para garantir a privacidade do cidadão, regulamentando práticas transparentes e seguras para o tratamento de dados pessoais.

Para isso, ela atua sob dois pilares básicos:

  1. Proporcionar às pessoas um controle maior sobre os seus dados pessoais;
  2. Assegurar que as empresas que coletam, armazenam e utilizam essas informações, ofereçam maiores garantias aos usuários na proteção e segurança de dados pessoais.

Ou seja, enquanto a LGPD se refere somente aos dados pessoais com os quais uma empresa lida, a ISO 27001 adota uma abordagem mais ampla sobre a segurança da informação. Isso inclui qualquer tema ou dado sensível para uma organização, tendo como bases a confidencialidade, integridade e disponibilidade.

Na prática, isso significa que vários requisitos, controles e processos estabelecidos pela ISO 27001 podem servir como ponto de partida e suporte ao processo de conformidade com a LGPD. Mas, apesar disso, é importante frisar que a certificação não torna uma empresa aderente à legislação automaticamente.

Embora a ISO 27001 cubra diversos pontos indispensáveis à conformidade, como padrões mínimos de segurança para dados pessoais e a gestão de incidentes, a LGPD possui exigências que transcendem a gestão da segurança da informação, como a transparência no relacionamento entre empresas e clientes, por exemplo.

Por outro lado, deve-se destacar que diante da Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável pela fiscalização do cumprimento da LGPD, um certificado ISO 27001 significa compromisso e foco na segurança da informação, o que pode até mesmo atenuar eventuais multas por incidentes.

Quais as vantagens da ISO 27001 para minha empresa e a segurança da informação?

De forma prática, a norma ISO 27001 fornece protocolos para fortalecer suas defesas e reduzir o impacto com incidentes, por meio de 114 controles para lidar com questões como:

  • Backup e restauração de arquivos;
  • Gestão de ameaças internas e externas;
  • Continuidade dos negócios;
  • Descarte seguro de equipamentos;
  • Ambientes seguros de operação;
  • Medição de indicadores como tempo de resposta e restabelecimento de sistemas.

Esse último ponto, por exemplo, pode definir toda a política de SLA e os serviços de terceiros utilizados para o backup de dados, informações e sistemas.

Imagine uma queda no caso de uma empresa de saúde ou financeira com o backup na nuvem, que para restabelecer o sistema encontra problemas de latência, velocidade de conexão e falta de informações sobre a localização de arquivos.

Em uma situação dessas, há prejuízos financeiros e também danos à imagem das empresas. Por isso, a disponibilidade é fundamental para qualquer negócio que baseia sua operação na tecnologia.

Sendo assim, a ISO 27001 oferece mais do que políticas, mas soluções práticas e úteis para a resolução de problemas, reduzindo os riscos, perdas e danos, além de oferecer outras vantagens competitivas importantes, como:

1) Maior credibilidade para seu negócio

Uma empresa com a certificação ISO 27001 demonstra ao mercado que possui um Sistema de Gestão de Segurança da Informação alinhado com os parâmetros aceitos internacionalmente para estabelecer um ambiente de negócios seguro.

Dessa maneira, seus clientes, parceiros e fornecedores ficam mais confiantes de que seus dados são tratados dentro de um alto padrão de segurança da informação. Afinal, a certificação ISO 27001 significa um importante aval de qualidade oferecido por uma entidade externa, independente e idônea.

2) Maior proteção para dados e informações sensíveis

Além dos dados pessoais, a ISO 27001 oferece mais proteção e segurança para informações confidenciais como dados financeiros, listas de dados de clientes e fornecedores e segredos industriais como códigos de software, por exemplo.

3) Melhora na experiência do usuário

As regras e processos para a certificação ajudam a melhorar a experiência do usuário, gerando mais satisfação para seus clientes, fornecedores e parceiros, o que impulsiona ainda mais os negócios.

4) Eficiência e consistência de entregas

A implementação dos controles estabelecidos na norma melhora sensivelmente a segurança e garante mais disponibilidade dos serviços. Como consequência, a empresa ganha eficiência operacional e consistência nas suas entregas.

5) Favorece a construção de uma cultura de segurança da informação

As práticas para a ISO 27001 criam um ambiente mais seguro, que fortalece o trabalho de equipe e onde os funcionários se sentem confortáveis e engajados na manutenção e melhoria contínua da segurança da informação.

Como preparar minha empresa para a certificação ISO 27001?

O tempo e o custo de implementação da norma ISO 27001 variam de acordo com a realidade, maturidade e a dimensão de cada empresa. Diversos fatores, como a estrutura de segurança da informação que a empresa já possui, o número de colaboradores e a capacidade de adaptação às mudanças, podem aumentar ou diminuir o prazo para obtenção do certificado.

Porém, tudo começa com um ponto crucial que é o engajamento dos executivos C-Level nesse projeto. Se a direção da empresa não encarar essa tarefa com seriedade, dificilmente todos os setores da empresa irão se engajar, o que é fundamental para o sucesso da implementação da ISO 27001.

Outro ponto importante, é a contratação de uma consultoria especializada, que pode guiar sua empresa em todas as etapas do processo para conquistar a ISO 27001.

Em geral, uma jornada para a certificação deve cumprir algumas etapas básicas, que podem ser divididas em 5 fases:

Fase 1 – Preparação

Antes de mais nada, aqui é preciso criar um grupo do Sistema de Gestão de Segurança da Informação (SGSI). Essa estrutura irá guiar o processo alinhado com as estratégias de negócio. Por isso deve definir os objetivos da certificação ISO 27001, bem como as responsabilidades, requisitos, ações e recursos necessários para conquistá-los.

O grupo do SGSI será responsável também por facilitar a colaboração entre os representantes de diferentes setores em funções importantes para o projeto, além de estimular o fortalecimento da cultura de segurança da informação na empresa.

Para isso podem ser feitos treinamentos, webinars, gamificação, debates e eventos, entre outras soluções para engajamento na melhoria da segurança da informação.

Fase 2 – Diagnóstico

Aqui é feita uma análise de brechas, ou Gap Analysis no inglês, um estudo que identifica o desempenho atual do SGSI e compara com o desempenho potencial ou desejado, segundo os critérios e padrões da ISO 27001.

Isso inclui uma avaliação completa e diagnóstico de riscos, além de um inventário de telecom e TI para identificar os seus ativos de comunicação e listar as ameaças e vulnerabilidades relacionadas a cada um, definindo um plano de tratamento de riscos com todos os protocolos, controles e processos.

Além disso, também é preciso fazer uma análise de impacto do negócio que prevê as consequências de possíveis incidentes para definir uma hierarquia baseada no nível de risco à segurança da informação. Ou seja, quanto maior o impacto, maior a prioridade.

Fase 3 – Implementação

Após obter um panorama geral, é o momento de definir e implementar as políticas de segurança para proteger os ativos de informação contra as ameaças e riscos identificados.

Talvez seja necessário tomar algumas ações imediatas para melhorias, bem como fazer uma revisão em algumas regras ou instruções. Tudo deve ser registrado na Declaração de Aplicabilidade (ou SoA, do inglês Statement of Applicability).

Esse documento lista os 114 controles sugeridos no anexo A da ISO 27001 para definir quais serão aplicados e quais não serão, as justificativas para cada escolha e os objetivos de cada um. Nem todos os controles são obrigatórios. Para selecionar aqueles que são válidos, deve-se usar como critério o levantamento de riscos associados, definidos nas cláusulas da ISO 27001, bem como o tipo de atividade econômica da sua empresa.

Por exemplo, o controle sobre desenvolvimento terceirizado pode ser marcado como não aplicável se a sua empresa desenvolve os próprios softwares. Ou então, caso não realize operações como transações financeiras eletrônicas, pode excluir o controle associado ao e-commerce.

Fase 4 – Operação

Com a implementação das novas políticas de segurança da informação, é preciso começar a monitorar o SGSI, fazer revisões periódicas e testar cada mudança para assegurar a efetividade das melhorias.

Nessa etapa, deve-se aplicar os indicadores de desempenho definidos para seus controles e verificar se os resultados estão sendo alcançados. Do contrário, é preciso fazer reparos ou tomar ações preventivas.

Uma auditoria interna do SGSI é capaz de fazer isso, mas sempre é melhor incluir um ponto de vista independente que pode ser mais ágil e eficiente na obtenção da ISO 27001.

Além disso, você também pode contar com a ajuda de uma consultoria especializada para realizar testes de intrusão, que simulam ataques para verificar como está sua defesa, validando mudanças e eliminando aquilo que se mostrou desnecessário.

Fase 5 – Certificação

Chega finalmente a hora de submeter a Declaração de Aplicabilidade a uma auditoria externa de certificação por meio de uma empresa credenciada.

Antes disso, o documento final, verificado e referendado pelo SGSI, deve ser redigido de forma clara e concisa, para uma fácil compreensão. Após ser aprovado na auditoria, sua empresa receberá o certificado ISO 27001 com validade de três anos.

Conclusão

A segurança de dados e informações sensíveis nas organizações é fundamental para o bom funcionamento da sua empresa, a credibilidade e a rentabilidade.

Portanto, é preciso garantir a redução de riscos de ataques, panes ou qualquer outro problema nesse setor que gera perdas, danos ou prejuízos, estabelecendo um alto padrão de segurança da informação.

O primeiro passo para isso é obter a ISO 27001, que permite organizar, gerenciar e proteger dados e ativos de informação, além de ampliar suas oportunidades de negócio.

Avatar Ulysses Dutra

Por

Ulysses Dutra


Redator, jornalista e músico, aficionado por tecnologia & inovação, geopolítica e rock’n’roll/blues/funk/reggae/samba/soul

wid.studio