Saiba o que é a ISO 27001, sua importância na segurança da informação e como essa certificação pode ser um valioso diferencial competitivo para sua empresa
É difícil prever quando, como ou onde um ataque hacker pode acontecer e parar sua empresa. Ou pior, ameaçar a privacidade e segurança da informação com o vazamento de dados sensíveis, seus e de seus clientes. A boa notícia é que é possível se precaver contra ameaças desse tipo ou responder com agilidade quando for preciso, adotando as práticas do certificado ISO 27001.
Isso porque esta certificação define normas para implementar um Sistema de Gestão de Segurança da Informação robusto, capaz de proteger sua empresa, reduzindo o risco de prejuízos com multas e tempo de parada, ou downtime.
Portanto, vamos ver o que é a certificação ISO 27001, qual sua importância dentro da Gestão de TI, suas vantagens para a conformidade com a LGPD e como implantar essa norma para receber o selo de garantia de qualidade na proteção de dados e informações.
A certificação ISO 27001 é um conjunto de normas que estabelece o padrão internacional para a gestão da segurança da informação nas organizações. Ela tem como objetivo orientar a criação de um Sistema de Gestão de Segurança da Informação (SGSI) que atenda todos os requisitos, processos e controles necessários para proteger a privacidade, disponibilidade e integridade de dados, sistemas e informações sensíveis.
Além disso, a ISO 27001 também estabelece padrões para monitoramento, análise e revisão, com foco em melhorias contínuas na gestão da segurança da informação, bem como a conformidade com outras normas como a Lei Geral de Proteção de Dados (LGPD).
Por isso, hoje a ISO 27001 também representa um importante diferencial competitivo, já que muitas empresas exigem essa certificação de fornecedores e parceiros com quem fazem negócios.
A ISO 27001 foi publicada originalmente em outubro de 2005 pelo International Organization for Standardization (ISO), que é a entidade responsável por promover as normas internacionais de padronização para produtos, processos e serviços.
No Brasil, ela foi traduzida e publicada pela ABNT em 2006, com o nome completo de ISO/IEC 27001 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos.
A norma ISO 27001 é dividida basicamente em dois pilares. O primeiro define as regras e requisitos da certificação, por meio dos seguintes pontos:
O segundo, também chamado de ANEXO A da ISO 27001, é composto pelos protocolos e controles que devem ser adotados para os seguintes temas:
Qualquer organização, seja pública ou privada, independente do seu segmento ou tamanho, pode adotar os padrões de qualidade estabelecidos na ISO 27001. Entretanto, como outros padrões do sistema ISO, a certificação ISO 27001 não é obrigatória. Porém, é inegável que ela oferece uma série de vantagens para as empresas, seus funcionários e clientes, como veremos em detalhes mais adiante.
No Brasil, somente 154 empresas possuem a certificação ISO 27001. É o que mostra a última pesquisa ISO, que traz o número de certificados válidos em 31 de dezembro de 2020. A maioria dessas empresas (72) faz parte do setor de tecnologia da informação.
Os vazamentos de dados têm crescido e gerado prejuízos cada vez maiores na imagem de diversas empresas, além de multas milionárias, como revela a pesquisa Cost of a Data Breach Report da IBM. Em sua edição mais recente, o estudo mostra que em 2020 o custo médio com um incidente subiu cerca de 10%, indo de US $3,86 milhões para US $4,24 milhões, a maior média registrada nos 17 anos em que o relatório é realizado.
Esses números só reforçam a importância da segurança da informação obtida com a ISO 27001, bem como a conformidade com as leis, em especial com a LGPD.
No Brasil, a fragilidade da segurança da informação ficou ainda mais evidente com os gigantescos vazamentos de dados que aconteceram no início de 2021. Nessa ocasião, foram expostos os dados pessoais – como nome, sexo, CPF e renda – de 223 milhões de brasileiros.
Mas, apesar de toda visibilidade nos meios de comunicação sobre esses incidentes e os enormes prejuízos causados, de acordo com uma pesquisa do IDC apenas 50% das empresas afirmam estar avançadas na adequação à LGPD. Para 2/3 das organizações o maior desafio é o mapeamento e controle das informações, o que pode se tornar bem mais fácil com a implementação da ISO 27001.
No entanto, embora os objetivos principais das normas sejam semelhantes e elas sejam complementares, as duas diferem em alguns aspectos.
A Lei Geral de Proteção de Dados ou Lei nº 13.709/2018 entrou em vigor em setembro de 2020 e foi criada para garantir a privacidade do cidadão, regulamentando práticas transparentes e seguras para o tratamento de dados pessoais.
Para isso, ela atua sob dois pilares básicos:
Ou seja, enquanto a LGPD se refere somente aos dados pessoais com os quais uma empresa lida, a ISO 27001 adota uma abordagem mais ampla sobre a segurança da informação. Isso inclui qualquer tema ou dado sensível para uma organização, tendo como bases a confidencialidade, integridade e disponibilidade.
Na prática, isso significa que vários requisitos, controles e processos estabelecidos pela ISO 27001 podem servir como ponto de partida e suporte ao processo de conformidade com a LGPD. Mas, apesar disso, é importante frisar que a certificação não torna uma empresa aderente à legislação automaticamente.
Embora a ISO 27001 cubra diversos pontos indispensáveis à conformidade, como padrões mínimos de segurança para dados pessoais e a gestão de incidentes, a LGPD possui exigências que transcendem a gestão da segurança da informação, como a transparência no relacionamento entre empresas e clientes, por exemplo.
Por outro lado, deve-se destacar que diante da Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável pela fiscalização do cumprimento da LGPD, um certificado ISO 27001 significa compromisso e foco na segurança da informação, o que pode até mesmo atenuar eventuais multas por incidentes.
De forma prática, a norma ISO 27001 fornece protocolos para fortalecer suas defesas e reduzir o impacto com incidentes, por meio de 114 controles para lidar com questões como:
Esse último ponto, por exemplo, pode definir toda a política de SLA e os serviços de terceiros utilizados para o backup de dados, informações e sistemas.
Imagine uma queda no caso de uma empresa de saúde ou financeira com o backup na nuvem, que para restabelecer o sistema encontra problemas de latência, velocidade de conexão e falta de informações sobre a localização de arquivos.
Em uma situação dessas, há prejuízos financeiros e também danos à imagem das empresas. Por isso, a disponibilidade é fundamental para qualquer negócio que baseia sua operação na tecnologia.
Sendo assim, a ISO 27001 oferece mais do que políticas, mas soluções práticas e úteis para a resolução de problemas, reduzindo os riscos, perdas e danos, além de oferecer outras vantagens competitivas importantes, como:
1) Maior credibilidade para seu negócio
Uma empresa com a certificação ISO 27001 demonstra ao mercado que possui um Sistema de Gestão de Segurança da Informação alinhado com os parâmetros aceitos internacionalmente para estabelecer um ambiente de negócios seguro.
Dessa maneira, seus clientes, parceiros e fornecedores ficam mais confiantes de que seus dados são tratados dentro de um alto padrão de segurança da informação. Afinal, a certificação ISO 27001 significa um importante aval de qualidade oferecido por uma entidade externa, independente e idônea.
2) Maior proteção para dados e informações sensíveis
Além dos dados pessoais, a ISO 27001 oferece mais proteção e segurança para informações confidenciais como dados financeiros, listas de dados de clientes e fornecedores e segredos industriais como códigos de software, por exemplo.
3) Melhora na experiência do usuário
As regras e processos para a certificação ajudam a melhorar a experiência do usuário, gerando mais satisfação para seus clientes, fornecedores e parceiros, o que impulsiona ainda mais os negócios.
4) Eficiência e consistência de entregas
A implementação dos controles estabelecidos na norma melhora sensivelmente a segurança e garante mais disponibilidade dos serviços. Como consequência, a empresa ganha eficiência operacional e consistência nas suas entregas.
5) Favorece a construção de uma cultura de segurança da informação
As práticas para a ISO 27001 criam um ambiente mais seguro, que fortalece o trabalho de equipe e onde os funcionários se sentem confortáveis e engajados na manutenção e melhoria contínua da segurança da informação.
O tempo e o custo de implementação da norma ISO 27001 variam de acordo com a realidade, maturidade e a dimensão de cada empresa. Diversos fatores, como a estrutura de segurança da informação que a empresa já possui, o número de colaboradores e a capacidade de adaptação às mudanças, podem aumentar ou diminuir o prazo para obtenção do certificado.
Porém, tudo começa com um ponto crucial que é o engajamento dos executivos C-Level nesse projeto. Se a direção da empresa não encarar essa tarefa com seriedade, dificilmente todos os setores da empresa irão se engajar, o que é fundamental para o sucesso da implementação da ISO 27001.
Outro ponto importante, é a contratação de uma consultoria especializada, que pode guiar sua empresa em todas as etapas do processo para conquistar a ISO 27001.
Em geral, uma jornada para a certificação deve cumprir algumas etapas básicas, que podem ser divididas em 5 fases:
Antes de mais nada, aqui é preciso criar um grupo do Sistema de Gestão de Segurança da Informação (SGSI). Essa estrutura irá guiar o processo alinhado com as estratégias de negócio. Por isso deve definir os objetivos da certificação ISO 27001, bem como as responsabilidades, requisitos, ações e recursos necessários para conquistá-los.
O grupo do SGSI será responsável também por facilitar a colaboração entre os representantes de diferentes setores em funções importantes para o projeto, além de estimular o fortalecimento da cultura de segurança da informação na empresa.
Para isso podem ser feitos treinamentos, webinars, gamificação, debates e eventos, entre outras soluções para engajamento na melhoria da segurança da informação.
Aqui é feita uma análise de brechas, ou Gap Analysis no inglês, um estudo que identifica o desempenho atual do SGSI e compara com o desempenho potencial ou desejado, segundo os critérios e padrões da ISO 27001.
Isso inclui uma avaliação completa e diagnóstico de riscos, além de um inventário de telecom e TI para identificar os seus ativos de comunicação e listar as ameaças e vulnerabilidades relacionadas a cada um, definindo um plano de tratamento de riscos com todos os protocolos, controles e processos.
Além disso, também é preciso fazer uma análise de impacto do negócio que prevê as consequências de possíveis incidentes para definir uma hierarquia baseada no nível de risco à segurança da informação. Ou seja, quanto maior o impacto, maior a prioridade.
Após obter um panorama geral, é o momento de definir e implementar as políticas de segurança para proteger os ativos de informação contra as ameaças e riscos identificados.
Talvez seja necessário tomar algumas ações imediatas para melhorias, bem como fazer uma revisão em algumas regras ou instruções. Tudo deve ser registrado na Declaração de Aplicabilidade (ou SoA, do inglês Statement of Applicability).
Esse documento lista os 114 controles sugeridos no anexo A da ISO 27001 para definir quais serão aplicados e quais não serão, as justificativas para cada escolha e os objetivos de cada um. Nem todos os controles são obrigatórios. Para selecionar aqueles que são válidos, deve-se usar como critério o levantamento de riscos associados, definidos nas cláusulas da ISO 27001, bem como o tipo de atividade econômica da sua empresa.
Por exemplo, o controle sobre desenvolvimento terceirizado pode ser marcado como não aplicável se a sua empresa desenvolve os próprios softwares. Ou então, caso não realize operações como transações financeiras eletrônicas, pode excluir o controle associado ao e-commerce.
Com a implementação das novas políticas de segurança da informação, é preciso começar a monitorar o SGSI, fazer revisões periódicas e testar cada mudança para assegurar a efetividade das melhorias.
Nessa etapa, deve-se aplicar os indicadores de desempenho definidos para seus controles e verificar se os resultados estão sendo alcançados. Do contrário, é preciso fazer reparos ou tomar ações preventivas.
Uma auditoria interna do SGSI é capaz de fazer isso, mas sempre é melhor incluir um ponto de vista independente que pode ser mais ágil e eficiente na obtenção da ISO 27001.
Além disso, você também pode contar com a ajuda de uma consultoria especializada para realizar testes de intrusão, que simulam ataques para verificar como está sua defesa, validando mudanças e eliminando aquilo que se mostrou desnecessário.
Chega finalmente a hora de submeter a Declaração de Aplicabilidade a uma auditoria externa de certificação por meio de uma empresa credenciada.
Antes disso, o documento final, verificado e referendado pelo SGSI, deve ser redigido de forma clara e concisa, para uma fácil compreensão. Após ser aprovado na auditoria, sua empresa receberá o certificado ISO 27001 com validade de três anos.
A segurança de dados e informações sensíveis nas organizações é fundamental para o bom funcionamento da sua empresa, a credibilidade e a rentabilidade.
Portanto, é preciso garantir a redução de riscos de ataques, panes ou qualquer outro problema nesse setor que gera perdas, danos ou prejuízos, estabelecendo um alto padrão de segurança da informação.
O primeiro passo para isso é obter a ISO 27001, que permite organizar, gerenciar e proteger dados e ativos de informação, além de ampliar suas oportunidades de negócio.
[MATERIAL GRATUITO] Saiba como usar a tecnologia de forma estratégica no seu negócio. Entenda como controlar os recursos tecnológicos da empresa, conheça as principais atribuições da gestão de TI e outras dicas.
|
|
Por
Ulysses Dutra
Redator, jornalista e músico, aficionado por tecnologia & inovação, geopolítica e rock’n’roll/blues/funk/reggae/samba/soul