Skip to main content
Tempo de Leitura: 3 minutos

Com o advento da LGPD estamos percebendo uma movimentação no mercado em relação a Segurança da Informação. Tem sido mais comum as empresas solicitarem a seus fornecedores e parceiros, evidências de como tratam a segurança da informação e privacidade. Isso acontece através do preenchimento de inúmeros formulários de análise de riscos de segurança da informação, auditorias entre outros. Mas o que estamos notando como tendência é a solicitação de que o fornecedor possua a certificação ISO 27001, norma de gestão relacionada à segurança da informação. 

Neste cenário notamos um dos primeiro grandes mitos relacionados a implementação da ISO 27001, que está relacionado a ideia de que haverá a necessidade de realizar grandes investimentos para se adequar a esta norma. Vamos desmitificar o tema?

A norma como direcionamento

É verdade que o maior percentual dos controles do Anexo A da Norma são relacionados a TI. Estes correspondem a 37% do total de controles, enquanto os controles relacionados a empresa e documentação correspondem a 36%. Controles relacionados a segurança física correspondem a 13%, enquanto a porcentagem restante fica destinada a controles relacionado a proteção legal, fornecedores e segurança em recursos humanos. 

Todavia, mesmo nos controles relacionados a TI ou a segurança física, nem todos requerem investimentos. Isso porque, boa parte estão relacionados a adoção de procedimentos que visam a padronização de práticas que permitam reduzir os riscos relacionados à segurança da informação. 

Para exemplificar de forma simples esta questão, o controle A.9.2.1 traz isso claramente: o controle diz que a empresa deve implementar um processo formal de registro e cancelamento de usuário para permitir atribuição dos direitos de acesso. 

Dependendo da organização, essa será uma atividade que recairá sobre a equipe de TI, todavia, nenhum investimento tecnológico é obrigatório, mas adotar a prática informar o responsável pela remoção em tempo hábil será necessário, para evitar incidentes de segurança da informação.

Um outro exemplo que gostaria de apresentar é o controle A.3.8.1 relacionado ao gerenciamento de Mídias Removíveis: Procedimentos devem ser implementados para o gerenciamento de mídias removíveis, de acordo com o esquema de classificação adotado pela organização. Todavia, se a empresa não faz a utilização de mídias removíveis, esse controle não será aplicável. 

É obvio que existem práticas necessárias e comuns a todas a empresas, como a adoção de softwares de antivírus, firewalls, realização de backup das informações do negócio e etc, mas de modo geral uma análise do contexto da organização deverá ser realizada. 

Adequação e certificação ISO 27001, dois pontos centrais precisam ser analisados:

  • Primeiramente, será necessário avaliar a aplicabilidade de cada controle, pois a empresa só precisará realizar as adequações daquilo que for pertinente ao seu contexto. Isso se aplica, por exemplo, a questão do trabalho remoto, que pode requerer o uso de uma rede privada virtual para as empresas que permitem o trabalho nessa modalidade. 
  • Posteriormente, a empresa deverá considerar que os investimentos deverão ser proporcionais aos riscos envolvidos, desta forma, uma empresa que está localizada numa área sujeita à desastres naturais deverá realizar investimentos proporcionalmente maiores para garantir a segurança da informação e continuidade do negócio neste tipo de situação do que empresas é que estão instaladas numa região é que a possibilidade é mais remota. Para isso, uma metodologia de análise de risco deverá ser implementada para uma análise adequada. 

Outro ponto a ser considerado, é que pode haver controles que a empresa atenderá com os recursos que já tem disponível, apenas estabelecendo procedimentos e políticas para garantir uma implementação adequada dos controles. Isso é muito comum em controles de segurança físicas, pois muitas empresas já possuem controle de acesso físico, como controle de portaria, recepção, controle de acesso de funcionários através de crachá, biometria, câmeras etc. 

Portanto, numa análise de riscos de segurança da informação os controles de segurança já existentes nas empresas deverão ser avaliados quando à suficiência para que seja evitado investimentos desnecessários de infraestrutura.

Tem interesse em implementar a ISO 27001 em sua empresa? Clique aqui e fale com um especialista!