Os fatos recentes apontam que ninguém está 100% protegido na WEB. A Norma ISO 27001 pode ajudar a melhorar a gestão e proteção dos dados.
Por que ninguém está totalmente protegido contra violações de dados?
Ao analisar os acontecimentos em 2021, que está apenas começando, pode-se perceber o quanto às organizações estão vulneráveis.
Não se trata, de afirmar que as empresas públicas ou privadas não estão preparadas; mas sim, que na medida que novas soluções de proteção são desenvolvidas; na outra ponta, os criminosos também, se aprimoram; pois são especialistas em encontrar os pontos fracos da cibersegurança.
Ainda, existem eventos de vazamentos de dados; que por vezes, não se pode concluir sobre a fonte; o que torna a investigação ainda mais desafiadora; como o que se está sendo investigado pelas agências reguladoras sobre Megavazamento de dados de 223 milhões de brasileiros , noticiado pelo G1, em 28 de janeiro de 2021.
O que é Norma ISO 27001 ?
A ISO 27001 (Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos) é uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a segurança da informação em uma organização. A norma foi publicada em 2013 e reconfirmada em 2019, estando em vigor.
A norma ISO 27001 possui várias outras normas explicativas e de suporte, que ajudam os profissionais de TI a entender e aplicar a norma em suas organizações. Para adquirir a norma e suas variantes, acesse ABNT Catalogo.
Como a ISO 27001 ajuda as empresas a se proteger contra ataques cibernéticos?
A ISO 27001 pode ser implementada em qualquer tipo de organização, com ou sem fins lucrativos, privada ou pública, pequena ou grande. Ela é escrita pelos melhores especialistas mundiais no campo de segurança da informação e provê metodologia para a implementação da gestão da segurança da informação em uma organização.
Ela também possibilita que organizações obtenham certificação, o que significa que um organismo certificador independente confirmou que uma organização implementou a segurança da informação em conformidade com a ISO 27001.
Como a ISO 27001 funciona?
O foco da ISO 27001 é proteger a confidencialidade, integridade e disponibilidade da informação de uma organização. Isto é feito identificando-se quais potenciais problemas podem ocorrer com a informação (avaliação de risco), e então definindo quais necessidades devem ser atendidas para prevenir tais problemas de ocorrerem ( mitigação de risco ou tratamento de risco).
Desta forma, a principal filosofia da ISO 27001 é baseada na gestão de riscos: descobrir onde os riscos estão, e então tratá-los sistematicamente.
As salvaguardas (ou controles) que são implementadas em geral estão na forma de políticas, procedimentos e implementações técnicas (software e equipamento).
Contudo, em muitos casos as organizações já possuem todo o hardware e software instalado, mas estão utilizando-os de forma insegura – desta forma, a maioria das implementações da ISO 27001 serão sobre definir as regras organizacionais (documentos escritos) que são necessárias de modo a prevenir brechas de segurança.
Uma vez que tal implementação irá requerer a gestão de múltiplas políticas, procedimentos, pessoas, ativos, etc., a ISO 27001 descreve como encaixar todos estes elementos de forma coerente no sistema de gestão de segurança da informação (SGSI).
Desta forma, gerir a segurança da informação não trata apenas de segurança em TI (fierwalls, anti-virus, etc.) mas também sobre gerenciar processos, proteção legal, recursos humanos, proteção física, etc.
Quais os benefícios a ISO 27001 traz para sua organização?
1 Conformidade com requisitos legais – existem cada vez mais leis, regulamentações e requisitos contratuais relacionados a segurança da informação, e a boa notícia é que muitos deles podem ser resolvidos pela implementação da ISO 27001 – esta norma dá a você uma metodologia perfeita para estar em conformidade com todos estes requisitos.
Isso inclui o atendimento à Lei Geral de Proteção de Dados-LGPD em vigor desde 2018.
2 Obter vantagem competitiva – se sua organização obtém a certificação e seus competidores não, você pode ter vantagem sobre eles na visão de clientes que são sensíveis a questão de manter suas informações seguras.
3 Reduzir custos – a principal filosofia da ISO 27001 é prevenir incidentes de segurança; e cada incidente, sendo este grande ou pequeno custa dinheiro – desta forma, ao prevenir incidentes sua organização reduz perdas, seja de reputação, dados, negócios ou penalidades legais . E a melhor coisa de tudo – investimento na ISO 27001 é muito menor do que a economia em custo que você obterá.
4 Melhorar o desempenho da organização – tipicamente, organizações que crescem rápido não tem tempo para fazer uma pausa e definir seus processos e procedimentos – e como uma consequência, muito frequentemente os empregados não sabem o que precisa ser feito, quando e por quem.
A implementação da ISO 27001 ajuda a resolver tal situação porque ela encoraja as organizações a escrever seus principais processos (mesmo aqueles que não são relacionados a segurança), possibilitando a elas reduzir a perda de tempo de seus empregados.
Onde a gestão da segurança da informação se encaixa em sua organização?
Essencialmente, a segurança da informação é parte da gestão geral de riscos em uma organização, com sobreposição em áreas de cyber segurança, gestão da continuidade do negócio e gestão de TI.
Como a ISO 27001 é estruturada?
A ISO / IEC 27001 é dividia em 11 seções e Anexo A, onde as seções de 0 a 3 são introdutórias (e não são obrigatórias para a implementação), enquanto as seções de 4 a 10 são obrigatórias – significando que todos os seus requisitos devem ser implementados em uma organização se ela quer estar em conformidade com a norma.
Controles do Anexo A devem ser implementados apenas se declarados como aplicáveis na Declaração de Aplicabilidade.
De acordo com o Anexo SL das Diretivas ISO / IEC da International Organization for Standardization, os títulos das seções da ISO 27001 segue a estrutura da nova ISO 9001:2015, e outras normas de gestão, permitindo uma integração mais fácil destas normas.
Seção 0: Introdução – explica o propósito da ISO 27001 e sua compatibilidade com outras normas de gestão.
Seção 1: Escopo – explica que esta norma é aplicável a qualquer tipo de organização.
Seção 2: Referência normativa – refere-se a ISO / IEC 27000 como uma norma onde termos e definições são dadas.
Seção 3: Termos e definições – novamente, refere-se a ISO / IEC 27000.
Seção 4: Contexto da organização – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos para o entendimento de assuntos externos e internos, partes interessadas e seus requisitos, e a definição do escopo do SGSI.
Seção 5: Liderança – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define as responsabilidades da Alta Direção, estabelecendo papéis e responsabilidades, e o conteúdo da política de segurança da informação de alto nível.
Seção 6: Planejamento – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos para a avaliação de risco, tratamento de risco, Declaração de Aplicabilidade, plano de tratamento de risco, e define os objetivos de segurança da informação.
Seção 7: Apoio – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos de disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros.
Seção 8: Operação – esta seção é parte da etapa execução (Do) do ciclo PDCA e define a implementação da avaliação e tratamento de risco, assim como controles e outros processos necessários para atingir os objetivos de segurança da informação.
Seção 9: Avaliação do desempenho – esta seção é parte da etapa verificação (Check) do ciclo PDCA e define requisitos para o monitoramento, medição, análise, avaliação, auditoria interna e análise crítica pela Direção.
Seção 10: Melhoria – esta seção é parte da etapa de atuação (Act) do ciclo PDCA e define requisitos para não conformidades, ações corretivas e melhoria contínua.
Como implementar a ISO 27001?
O caminho que você toma para a implementação da ISO 27001 depende de sua situação única. Não há impedimento para que um profissional de TI conduza o processo de implementação sozinho, mas certamente, não será um caminho fácil a percorrer. Portanto, contrate um Consultor Vertile e ganhe em escala e eficiência.
Para implementar a ISO 27001 em uma organização, você tem que seguir estas 16 etapas:
1) Obter apoio da Alta Direção
2) Utilizar metodologia de gerenciamento de projeto
3) Definir o escopo do SGSI
4) Escrever a política de segurança da informação de alto nível
5) Definir a metodologia de avaliação de risco
6) Realizar a avaliação de risco de o tratamento de risco
7) Escrever a Declaração de Aplicabilidade
8) Escrever o Plano de tratamento de risco
9) Definir como medir a eficácia de seus controles e do seu SGSI
10) Implementar todos os controles e procedimentos aplicáveis
11) Implementar programas de treinamento e conscientização
12) Realizar todas as operações diárias prescritas pela documentação do seu SGSI
13) Monitorar e medir seu SGSI
14) Realizar auditoria interna
15) Realizar análise crítica pela direção
16) Implementar ações corretivas
Como obter a certificação?
Existem dois tipos de certificação ISO 27001:
(a) para organizações, e (b) para indivíduos.
Organizações pode ser certificadas para provar que elas estão em conformidade com todas as cláusulas mandatórias da norma; indivíduos podem participar de cursos e passar em exames para obter o certificado.
Para obter a certificação, a organização deve implementar a norma e submeter-se a uma auditoria de certificação realizada por um organismo de certificação, a Vertile possui o organismo certo para você; o que facilita sua tomada de decisão e reduz seu esforça nesta busca.
Qual o valor do investimento para implementar e certificar minha empresa na ISO 27001?
O investimento para implementação e certificação vai depender da cultura da organização e outras variáveis do contexto organizacional, seus processos, número de colaboradores e quantidade de ativos de informação a considerar para certificação.