Sendo considerado o padrão e referência em Segurança da Informação, a norma ISO 27001 vem sendo aperfeiçoada de forma contínua, desde a sua origem em 1922, ligada a um documento sobre segurança da informação do governo Britânico.
Sua adoção cria um modelo holístico de segurança da informação ao tratar de diversos temas simultaneamente como: telecomunicação, recursos humanos, licenciamento, etc.
Com o diferencial de ser independente de fabricantes, já que seu foco é o estabelecimento de processos que podem ser materializados à realidade de cada organização.
Como a norma ISO 27001 é aplicada?
O método primário da ISO 27001 é basicamente descobrir os riscos e resolve-los de forma sistemática. Isso garante a confidencialidade, integridade e disponibilidade da informação da empresa a partir de um diagnóstico de riscos e definindo os métodos de proteção adequados para preveni-los, baseado em mitigação ou tratamento de riscos.
O foco desta norma não é passar uma série de recomendações que devem ser seguidas em todos os casos e sim se adequar as necessidades e realidade de cada organização.
O cerne da norma não é ser um passo a passo de mudanças e sim fornecer estrutura para que seja possível entender o tipo de abordagem mais adequado a determinada realidade.
Pense da seguinte forma: a norma não vai te recomendar a frequência com qual seu backup completo deve ser feito, mas vai te dar conhecimento para decidir a frequência e o tipo de backup a ser feito.
Tudo a partir de uma visão sistemática que permitirá que gestores possam prever possíveis falhas da segurança da informação no ambiente.
Qual a vantagem de uma empresa ser certificada pela norma ISO 27001?
Uma empresa certificada mostra que se preocupa e oferece o melhor em segurança da informação, o que significa que seus clientes e fornecedores podem confiar suas informações a ela.
Nos últimos anos vimos diversos grandes mercados criando legislações de proteção de dados, o que implica que as empresas que atuam nesse segmento devem se adaptar o quanto antes.
Mas a ideia principal, é que: não basta que uma empresa mantenha uma segurança forte, se as empresas e suas soluções não mantiverem um alto nível de proteção em seus sistemas de armazenamento. A certificação puxa toda a cadeia de fornecimento.
Por isso, qualquer empresa que deseje manter-se competitiva no mercado deve dar atenção a essa norma e atualizar seus métodos de segurança da informação.
Implementação da norma ISO 27001
A implementação da norma ISO 27001 é feita com base em etapas que são divididas da seguinte forma:
- Obter apoio dos administradores
Se a direção da empresa não levar a implementação a sério, a efetividade da norma estará comprometida. Pense que, mesmo que um gestor de TI defina uma política de privacidade sobre os documentos, essa política não será seguida em todos os setores sem uma ordem da direção.
- Gerenciar como um projeto
Por ser uma atividade complexa, que envolve diferentes setores e atividades, além de poder durar por meses, tudo que será feito deve ser definido com muita clareza, seguindo uma divisão de tarefas com critérios de quem fará o quê e com prazos definidos.
- SGSI (sistema de gestão de segurança da informação)
Nessa etapa é onde podemos ver as políticas de segurança da informação tomando forma, já que aqui são estabelecidos os objetivos e procedimentos para a gestão de segurança da informação. Aqui, podemos dividir os requisitos da norma ISO 27001 em:
- Definir a quais processos e setores o sistema de gestão de segurança da informação (SGSI) se aplica.
- Quais serão suas diretrizes e seus critérios ao avaliar os riscos e implementar controles.
- Qual será o método adotado na organização para identificar, analisar, avaliar e tratar os riscos.
- Declaração por parte da empresa sobre quais medidas foram consideradas mais adequadas para lidar com segurança da informação
. - Como serão aplicados os controles e com quais objetivos.
Descrever a política do SGSI
Aqui a ISO 27001 define que a Política do Sistema de Gerenciamento de Segurança da Informação seja tratado como o documento de maior nível e contenha em si: orientações sobre como estabelecer objetivos, considerando os requisitos ao alinhar-se com o gerenciamento de risco e definir um sistema com critérios de avaliação dos riscos.
Essa política deve ser curta, no máximo duas páginas.
Políticas mais detalhadas devem ser definidas com foco em uso operacional de setores específicos como: classificação, uso aceitável de informações, backup, etc.
Essas em geral são mais longas e detalhadas.
As demandas também incluem:
- Métodos para avaliar os riscos
Essa é sem dúvida a parte mais trabalhosa do processo, pois é aqui onde se criam as regras para identificar vulnerabilidades, suas consequências, chances de ocorrerem e o nível de risco aceitável.
É necessário atenção ao preparar a avaliação de riscos, pois uma metodologia mal feita pode inutilizar todo o processo.
- Avaliar os riscos e tratamentos de risco
Após definir os métodos é hora de aplicá-los, e esse ponto pode demorar meses para grandes empresas.
Também é neste ponto que será criado um relatório da avaliação de risco que registre todos os passos desse processo.
- Aplicabilidade
Após terminar a avaliação e o tratamento de risco, você estará ciente de quais dos controles da norma ISO 27001 você deverá dispor.
Aqui serão listados os controles e definidos quais são os que mais se aplicam na sua organização, quais não se aplicam e justificativa dessas decisões.
Além disso também é necessária uma descrição de como serão replicados os controles.
- Plano de tratamento de riscos
Esse é basicamente um documento onde serão descritos os planos para implementar os controles, com o objetivo de coordenar os próximos passos.
- Eficiência dos controles
Agora é a hora de definir como serão feitas as métricas de alcance dos objetivos que definiu, tanto para o SGSI, quanto para os controles considerados necessários a sua organização.
- Controles e procedimentos obrigatórios
Existem quatro procedimentos obrigatórios e controles aplicáveis da norma ISO 27001, presentes no Anexo A.
Este ponto é uma das tarefas mais delicadas, já em geral envolve uma série de novas tecnologias e implementos de comportamentos na empresa.
Obtendo a certificação
Para se obter a certificação como organização é necessária uma auditoria baseada em duas etapas:
1. Na primeira etapa serão analisadas as documentações criadas
2. Na segunda etapa é onde verificam as atividades de forma prática e sua adequação a documentação e norma ISO 27001.
Após isso, não basta apenas pegar o certificado, pois existem visitas de supervisão durante os período da sua validade, que equivale três anos.
Como tornar o trabalho remoto mais seguro?
Existem diversas camadas de proteção que possibilitam um trabalho remoto mais seguro. Pensando nisso, preparamos um guia com as principais camadas que podem facilitar empresa e colaboradores neste processo.
O trabalho remoto é para sua empresa?
Converse com um especialista da Compugraf e descubra como implementar um sistema de trabalho remoto seguro e estável.
