Cibersegurança Gestão de TI LGPD
O que é a norma ISO 27001?

O que é a norma ISO 27001?

Um Sistema de Gestão de Segurança da Informação para ser implementado e operado de forma regulamentada, deve estar de acordo com os padrões internacionais e adequado a organizações de todos os portes e segmentos. Para isso, foi criada a ISO/IEC 27001:2013, que são normas ISO dedicadas à Segurança da Informação, contando com 16 publicações sobre a área.

Qualquer profissional de segurança que deseja ter uma compreensão abrangente de como lidar com esse assunto de forma sistemática, deve ler a ISO 27001. Contudo, há um custo para acessar a versão brasileira da norma, ideal para empresas que planejam certificar seu SGSI, e isso faz com que muitos estudantes e profissionais que não conseguem arcar com esses custos, recorram a versões gratuitas ou cópias não autorizadas.

Enquanto a ISO 9001 é uma referência internacional para a certificação da gestão da qualidade, a norma ISO 27001 é para a gestão da segurança da informação. A norma ISO 27001 tem sido continuamente melhorada ao longo dos anos, e é derivada do conjunto de normas anteriores, nomeadamente ISO 27001 e BS7799.

O princípio geral da norma é a adoção pela organização de um conjunto de requisitos, processos e mecanismos de controle, para limitar e gerenciar adequadamente o risco da organização. As práticas documentadas no Standard são utilizadas por múltiplas organizações, que usufruem dos benefícios de sua adoção e, além disso, espera-se que elas também possam ser certificadas para comprovar de forma íntegra, que cumprem os requisitos e processos contidos nas normas.

A certificação nesta norma é uma demonstração do quanto a empresa considera relevante a proteção da informação.

A utilização da norma ajuda as organizações a adotarem modelos apropriados para estabelecer, implementar, operar, monitorar, revisar e gerenciar sistemas de gestão de segurança da informação. De acordo com os princípios da norma ISO 27001, esse sistema é uma abordagem de segurança abrangente, independente da marca e dos fabricantes de tecnologia.

É abrangente pois engloba inúmeros temas relativos à Segurança da Informação, como telecomunicações, segurança de aplicativos, proteção do ambiente físico, recursos humanos, continuidade de negócios, licenciamento, etc.

É considerado independente do fabricante, pois visa estabelecer processos e procedimentos, que podem então ser incorporados à realidade de cada organização de diferentes formas e nas peculiaridades de cada tecnologia e ambiente organizacional.

Ainda que as entidades não se certifiquem, as práticas documentadas na norma trazem uma série de benefícios, como:

1. Demonstração de comprometimento da organização com a segurança da informação;

2. Aumenta a fiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade;

3. Garante a realização de investimentos mais eficientes e orientados ao risco, ao invés de investimentos com base em tendências;

4. Aumenta a sensibilidade, a participação e a motivação dos colaboradores da organização na área da Segurança da Informação;

5. Identificar e resolver oportunidades de melhoria continuamente;

6. Aumenta a confiança e satisfação dos clientes e parceiros, providenciando um maior potencial para realização de mais negócios;

7. A implementação de controles resultantes de padrões e análises de risco, melhora o desempenho operacional da organização;

8. A adoção de um sistema de gestão melhora a eficácia da organização. 

Uma das questões mais preocupantes hoje é o tratamento adequado de dados pessoais por uma organização. Os benefícios para os clientes, fornecedores ou parceiros, da implantação da norma ISO 27001, é um alto grau de comprometimento com a proteção da informação, que traz um conforto considerável para as organizações que interagem com as entidades certificadas. Além disso, existem outras formas de regulamentação e proteção de informação, como o Marco Civil da Internet e a Lei Geral de Proteção de Dados, com sua Política de Privacidade

Por fim, ter um Sistema de Gestão de Segurança da Informação hoje, não é mais uma questão de escolha, afinal o vazamento de dados e os ciberataques tem acontecido com frequência. Adotar as normas traz não só credibilidade para corporação, como gera confiança no cliente.