A ISO 27001 e a Segurança da Informação
A segurança da informação e a ISO 27001 é um tema que até recentemente estava restrito às rodas das empresas de TI. Porém com a transformação digital, com a indústria 4.0 e com a LGPD esse assunto virou prioridade nas mesas de reunião de C-Levels.
Nesse artigo vamos explicar em detalhes o motivo desse assunto ser tão relevante para a continuidade de negócios das empresas que querem que manter competitivas no mercado. Confira o que você aprender:
- A ISO 27001 e a Segurança da Informação
- A Segurança da Informação
- Quais empresas devem investir em Segurança da Informação?
- Por que investir em Segurança da Informação?
- Principais falhas de segurança já conhecidas
- Segurança da Informação x LGPD
- Segurança da Informação e Segurança de TI é a mesma coisa?
- A Segurança da Informação e a ISO 27001
- A ISO 27001
- O Anexo A
- A ISO 27002
- Quais são os requisitos de gestão da ISO 27001?
- Quais são as etapas de implementação da ISO 27001?
- Quais são as principais dificuldades na implementação da ISO 27001?
- Principais dúvidas na implementação da ISO 27001
- Mitos da ISO 27001
A Segurança da Informação
O que é informação?
Antes de começarmos a falar de segurança de informação ou ISO 27001, é importante que fique muito claro o que significa informação no contexto de negócios.
Para compreender melhor o significado de uma palavra é importante recorrer ao estudo da etimologia, pois isso nos traz uma clareza sobre significado original e sua evolução para os tempos atuais. Sendo assim, a palavra “Informação” tem a sua origem no latim “INFORMARE”, que significa ‘dar forma, modelar’.
O vocábulo latino, por sua vez, é formado pelo prefixo “in” mais o radical “formare”, de ‘formar’. Daí têm-se a acepção de ‘formar uma ideia de alguma coisa’, que mais tarde passou a ser ‘descrever’ e depois generalizou-se o uso de ‘contar algo a alguém sobre determinada coisa’.
Essa definição é especial porque em termos práticos a informação é justamente isso, um conjunto de dados e conhecimentos organizados, que nos contam algo, permitindo que possamos tomar decisões a partir de tal informação.
É por isso que informação se tornou o bem mais valioso em nossa era, conhecida como a era da informação.
As gigantes do mercado Apple, Google, Microsoft, Amazon e Facebook (as Top 5 em valor de mercado) há tempos veem percebendo isso, e trabalham incansavelmente no desenvolvimento de ferramentas de inteligência artificial, capazes de observar o comportamento de compras dos consumidores e realizar sugestões como base nesse perfil, dentre muitas outras estratégias.
Mas não é só na galáxia dessas grandes empresas que a informação é um bem precioso. A utilização de ferramentas de Inteligência Artificial tem se tornado cada vez mais comum em empresas de pequeno e médio porte por uma questão de estratégia empresarial.
Podemos assegurar isso com uma pequena busca de vagas no Linkedin para Analista de Dados ou Cientista de Dadose afins. Isso porque as empresas estão percebendo como é valioso extrair informações dos dados que elas geram ou coletar dados de maneira inteligente para que possam extrair as informações estratégicas para o negócio.
E nessa era que vivemos o que se espera de uma empresa competitiva é: que seus dados sejam capazes de retroalimentar o seu planejamento estratégico, que contem uma história e que ajude a empresa a decidir os próximos passos.
Se você não utiliza os dados para essa finalidade, você está tomando decisões sem estar informado e deixando de utilizar o bem mais precioso dessa nova era.
O que é Segurança da Informação?
Sendo a informação reconhecida como o bem mais precioso dessa era, sendo inclusive chamado de o ‘novo petróleo’, é evidente que precisamos protegê-la, certo? Mas protegê-la de quem, ou do quê?
Antes de avançarmos com os conceitos de segurança da informação vamos fazer algumas reflexões:
“Imagine que organizou os dados de anos de atendimento da sua empresa para extrair informações que foram essenciais para determinar o desenvolvimento de um novo produto, que será o novo carro chefe da empresa, e para qual farão grandes investimentos”.
Qual seria o controle que entenderia como sendo fundamental para evitar que essas informações sejam vazadas para um concorrente?
Certamente, essa é uma informação que deveria estar restrita somente aos envolvidos no projeto. Estamos falando aqui de confidencialidade. Então, se eventualmente essa informação vazar o primeiro pilar da segurança da informação estaria derrubado.
“Agora imagine que estas mesmas informações foram extraídas de um banco de dados inválido, fazendo com que as decisões estratégicas não estivessem alinhadas a necessidade real do mercado, seja porque, os dados não eram atualizados, ou porque foram incorretamente manipulados de maneira não intencional”.
Nesse caso estamos falando sobre a integridade, que é o segundo pilar da segurança da informação. Ou seja, as decisões foram tomadas com base em informações não íntegras.
“E por fim, vamos pensar que a empresa sequer foi capaz de lançar o produto antes do concorrente, pois uma pessoa chave na empresa, que detinha conhecimento e informações cruciais para a finalização do projeto se desligou, fazendo com que a empresa levasse tempo para reorganizar as informações e dar continuidade no projeto”.
Aqui, estamos falando sobre disponibilidade, ou o terceiro pilar da segurança da informação.
Com essas abordagens práticas fica mais fácil compreender que garantir a segurança da informação, em termos genéricos, é protegê-la de vazamentos e divulgações não autorizados, protegê-la de forma que permaneça sempre íntegra para que as informações possam ser confiáveis e protegê-la para que esteja sempre disponível quando necessário.
Jason Andress, em seu livro, The basics of information security, define segurança da informação como “metodologias e práticas que visam proteção das informações e dos sistemas de informações visando todos esses pilares, confidencialidade, integridade e disponibilidade”.
Quais empresas devem investir em Segurança da Informação?
Com a criação da LGPD (Lei Geral de Proteção de Dados), todas as empresas precisarão disponibilizar ou direcionar recursos para a implantação de práticas e controles que visam a garantir a segurança da informação.
Mas, muito além do atendimento de questões legais, todas as empresas que compreendem a importância dos ativos de informações que possuem, irão buscar formas de garantir que estas informações estejam seguras sobre a ótica dos pilares da segurança de informação, garantido que as informações estejam disponíveis para a tomada de decisão, que estejam íntegras para assegurar decisões assertivas ao negócio, e que estejam confidenciadas somente a quem é de direito.
Planilha – Mapeamento de Processos
Baixe nossa planilha preenchendo o formulário e entenda mais.
Por que investir em Segurança da Informação?
Não foram apenas as empresas que perceberam a informação como um ativo valioso. O número crescente de ataques cibernéticos, que teve ainda um aumento drástico durante a pandemia, demonstra o interesse de criminosos por esse tipo de crime.
De acordo com o relatório da Multinacional Trend Micro, empresa especializada em desenvolvimento de softwares de segurança corporativa para servidores, aponta o Brasil como o segundo país com mais ataques de ransomwares (aqueles em que os criminosos cobram valor para o resgate das informações) em 2020 em todo o mundo.
Com isso, vemos que as ameaças existem e estão cada vez mais sofisticadas, por isso a empresas precisam buscar formas de mitigar ao máximo o risco de se tornarem a próxima vítima desses criminosos.
Principais falhas de segurança já conhecidas
As ameaças de segurança de informação existem e sempre irão existir. Por definição, as ameaças não são algo que as empresas tenham controle. Já as vulnerabilidades, sim. Estas, se conhecidas e bem gerenciadas, podem mitigar e ou eliminar os riscos de segurança da informação.
É como uma bela casa. O proprietário não pode assegurar que não haja pessoas mal-intencionadas que queiram roubá-la. Mas, pode avaliar todas as vulnerabilidades que aumentam o risco que isso aconteça e estabelecer controles para minimizar ou diminuir esse risco, como a instalação de câmeras de segurança, cerca elétrica, muros altos, janelas e portas gradeadas e etc. Essas sim são ações que estão sob o seu controle.
Com a segurança da informação é a mesma lógica. Todos os ataques de segurança acontecem por meio de vulnerabilidades não conhecidas ou não gerenciadas.
A empresa pode não estar ciente da sua própria vulnerabilidade, mas há criminosos ou funcionários desatentos ou mal-intencionados, podem tornar públicas informações sigilosas da organização.
Em de novembro de 2020, o Hospital Albert Einstein foi notificado pelo o Procon-SP para explicar sobre o vazamento de lista que dava acesso a informações pessoais e médicas de pacientes testados, diagnosticados e internados por covid-19 e que ficaram expostos na internet durante um mês.
O vazamento ocorreu após um cientista de dados do Hospital Albert Einstein, em São Paulo, divulgar em um fórum uma lista de usuários e senhas que permitiam acessar dados de pessoas testadas. O hospital tinha acesso às informações por trabalhar em um projeto com o ministério.
Após a denúncia, a pasta disse que as chaves de acesso foram trocadas, e o hospital abriu investigação para apurar o caso.
Outro caso mais antigo, de 2001, revela que os vazamentos de informação não acontecem somente online. A empresa Procter & Gamble, para evitar processos judiciais, pagou à concorrente Unilever cerca de 10 milhões de dólares depois que teve um detetive contratado descoberto revirando o lixo da Unilever em buscar de informações.
Assim, vemos que as ameaças e vulnerabilidades podem estar para todo lado. Abaixo, listamos principais falhas de segurança de informação que precisam ser observadas pelas empresas.
- Falhas de segurança em sistema: As falhas de segurança em sistemas podem não ser conhecidas de imediato pelos próprios desenvolvedores, por isso é sempre importante garantir que as atualizações de softwares estejam em dia e que vulnerabilidades sejam investigadas periodicamente;
- Brechas na gestão de acessos: Não fazer o correto gerenciamento dos acessos aos sistemas de informações, a entradas de pessoas ao estabelecimento da empresa, ou até mesmo, a áreas importantes da empresa, permitindo que informações estejam disponíveis a mais pessoas do que o necessário, é aumentar o risco de segurança de informação;
- Falhas na gestão de backup das informações: Não realizar o backup das informações ou realizar com a periodicidade inadequada, frente a necessidade do negócio. Outro erro primário na gestão de backups é a proteção inadequada, mantendo o backup no mesmo local da informação original;
- Ausência de procedimentos relacionados a segurança da informação: Não documentar as práticas e controles necessário para a segurança da informação. É muito pouco provável que a empresa conseguirá perpetuar a adoção de controles, sem que isto esteja documentado e sirva como uma guia para quem quer que seja que adentre a organização.
- Falhas em treinamentos e conscientização: Por último, mas não menos importante a falta de treinamento e conscientização é uma das vulnerabilidades mais exploradas pelos hackers. Se as pessoas não estiverem conscientes das formas de ataque e dos procedimentos de controle, serão presas fáceis dos criminosos.
Segurança da Informação x LGPD
Com a aprovação da LGPD, em agosto de 2020, o tema de segurança da informação tem ficado muito mais evidente, assim como as repetidas denuncias de vazamento de dados pessoais.
Aqui é importante destacar que já é consenso para os estudiosos da lei que não será possível atendê-la integralmente, sem fazer o uso de boas práticas de segurança da informação.
[Post] LGPD: Conheça mais sobre a LGPD
Lembra dos pilares que explicamos anteriormente: Confidencialidade, Integridade e Disponibilidade? São pilares imprescindíveis para o atendimento a esta legislação.
O primeiro porque a empresa precisa garantir a confidencialidade dos dados dos titulares. A integridade, pois pela ótica da legislação, será responsabilidade da empresa garantir a qualidade dos titulares, ou seja, que estes sejam íntegros.
E, por fim, a disponibilidade, para que a empresa tenha sempre disponíveis os dados dos titulares, esta precisará atender integralmente a legislação de proteção de dados, sob pena de perder o acesso ao banco de dados em caso de tratamento do dado em desacordo com a lei.
Esta é uma das sanções previstas pela lei, outras sanções previstas são:
- Advertência, com a indicação de prazo para a adoção de medidas corretivas;
- Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50.000.000,00 por infração;
- Multa diária
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Segurança da Informação e Segurança de TI é a mesma coisa?
Quando se fala em segurança de informação ainda é comum associar o assunto ao universo de TI, quando na verdade, a tecnologia da informação é apenas uma parte do processo.
Isto porque, conforme vimos ao longo deste artigo, as informações da empresa podem estar disponíveis em outros meios que não digitais.
Lembra do caso, da Procter & Gamble procurando por informações no lixo da concorrente? Ou daqueles dados pessoais de colaboradores impressos e arquivado em pasta lá na sala do RH? Ou até mesmo daquela informação estratégica de um novo produto discutida na última reunião e vazadas de um funcionário para um amigo?
Para diferentes situações, controles distintos precisam ser aplicados, seja a implantação de um contrato de confidencialidade, com o apoio do jurídico, seja de controles práticos na rotina do RH, até mesmo o treinamento de conscientização.
Como as informações estão em diferentes formatos e disponível de diversas formas, são necessárias análises de vulnerabilidade de acordo com a realidade de cada empresa para que então seja possível identificar quais são os ativos que a organização necessita ou deseja proteger e os controles necessários para tal finalidade.
A Segurança da Informação e a ISO 27001
A ISO 27001 é a norma que traz princípios e controles de sistema de segurança da informação e evidencia o compromisso da empresa com a segurança da informação.
Como a própria norma define, é seu dever prover requisitos para estabelecer, implementar, manter e melhorar, continuamente, um sistema de gestão de segurança da informação por meio da aplicação de um processo de gestão de riscos e fornecer às partes interessadas confiança de que os riscos são adequadamente gerenciados.
A ISO 27001
Para começar vamos esclarecer que a ISO 27001 é a norma de governança corporativa. Isso quer dizer que ela indica um conjunto de políticas, processos e controles que visam regular a forma como a empresa administra e controla os riscos de informação.
É por isso que a ISO 27001 virou assunto de mesas de reuniões de C-levels. Já entendemos aqui que o principal ativo da organização são as informações e conhecer os riscos que os principais ativos da empresa estão expostos é o trabalho número 01 de qualquer bom gestor.
A norma é dividida em 02 grandes partes que para facilitar chamaremos de Requisitos de Gestão de Requisitos de Controle.
[Post] ISO 27001: Saiba mais sobre a ISO 27001
Os requisitos de gestão, como o nome já indica, estão relacionados com a forma como a empresa gerencia seus processos internos e tem o objetivo de garantir incorporação da cultura de segurança em toda operação da empresa.
Os requisitos de controle são os controles operacionais já indicados pela norma para garantir que consiga analisar e prevenir de forma objetiva as vulnerabilidades já conhecidas atualmente.
Aqui estamos falando do famoso Anexo A, que gera o relatório que os teóricos da norma chamam de SOA (Statement of Applicability ou Declaração de Aplicabilidade).
Quer conferir como a ISO 27001 pode ajudar o seu negócio? Clique aqui para assistir um Webinar exclusivo realizado pela Templum onde você vai aprender sobre a questão da informação e dados na empresa, questões globais que afetam a organização, o que é informação e quais os seus pilares, como a segurança da informação funciona na prática dentro das empresas, o caminho para a transformação e muito mais!
O Anexo A
O Anexo A são os controles aplicáveis que a ISO 27001 exige que sejam aplicados nas empresas. Esse anexo tem a tendência de assustar um pouco à primeira vista, uma vez que estamos falando de 114 controles de segurança que precisam ser analisados e adequados para diminuir a vulnerabilidade da empresa.
Mas, de forma geral o susto tende a diminuir quando entendemos que existe uma relação entre esses controles e que em muitos casos, empresas que já são minimamente organizadas e preocupadas com a segurança da informação já possuem alguns desses controles implementados, mesmo que de forma empírica.
Como exemplo, falamos em um tópico acima sobre o controle de senhas e acessos, que provavelmente as empresas já têm, mesmo que forma não tão estruturada como precisaremos organizar a partir de agora.
Também vamos ressaltar aqui que a empresa não precisa necessariamente aplicar os 114 controles do Anexo A, pois é possível que alguns itens não sejam aplicáveis a sua realidade. Alguns exemplos são:
Empresas que atuam 100% de forma remota que não aplicará requisitos de segurança do espaço físico ou empresas que não desenvolvem software que não aplicará os critérios de segurança em processo de desenvolvimento.
Vamos apenas destacar aqui que a empresa não pode escolher não aplicar um item do Anexo A. Os itens só podem ser excluídos do Sistema de Gestão de Segurança da Informação quando, de fato, não for aplicável ao contexto e ao escopo definido e sua justificativa deve ser incluído no famoso SOA.
Para facilitar a implementação do Anexo A e uniformizar o nível de exigência de cada requisito, foi criada a ISO 27002 que traz esse detalhamento de interpretação de cada um dos controles operacionais.
A ISO 27002
A ISO 27002 é a norma que tem como principal objetivo auxiliar as empresas na análise e implementação de todos os controles do Anexo A relacionados na ISO 27001.
A utilização da ISO 27002 ajuda a entender cada controle de forma mais ampla e clara e com isso é possível analisar quais são os controles aplicáveis para sua empresa, independente do ramo de atividade e tamanho.
Cabe destacar aqui que apesar da ISO 27002 orientar a interpretação do controle operacional, assim como qualquer norma ISO, ela indica o que convém a empresa fazer, mas não indica como a empresa pode implementar o controle.
E é aqui que entra o trabalho de consultorias como nós, da Templum Consultoria, que possuímos a expertise para realizar essa adequação levando em consideração o contexto da sua empresa e a relação com a parte 01 da norma, que são os Requisitos de Gestão.
Quais são os requisitos de gestão da ISO 27001?
Apesar de ser uma norma que foi lançada em 2013, a ISO 27001 já segue o famoso Anexo SL das normas ISO e por isso possui os requisitos abaixo:
- Contexto da Organização: Análise do contexto interno e externo da empresa para os assuntos de segurança da informação e entendimento de quais são as partes interessadas, os processos aplicáveis e a definição o escopo do sistema de gestão.
- Liderança: Retrata a necessidade de envolvimento da liderança, define a Política de Segurança da Informação e define as responsabilidades e autoridades.
- Planejamento: Análise, Avaliação e Tratamento de Riscos e Oportunidades de Segurança da Informação e estabelecimento de objetivos para atuação com base nos itens levantados até o momento.
- Apoio: Definição de requisitos de competências, comunicação, conscientização e controle de documentos para garantir o cumprimento dos objetivos de segurança da informação estabelecidos.
- Operação: Definição dos controles operacionais necessários para atender o Sistema de Gestão da Segurança da Informação, definição de controle de mudanças e assegurar o controle dos processos terceirizados. Na prática aqui é a operação de todos os do Anexo A somados a outros controles identificados em Riscos e Oportunidades para diminuir a vulnerabilidade da empresa.
- Avaliação do desempenho: Definição de sistemática de avaliação de desempenho da segurança da informação e eficácia do Sistema de Gestão da Segurança da Informação.
- Melhoria: Estratégias para manter e melhorar continuamente o Sistema de Gestão de Segurança da Informação implementado.
[Post] ISO 27001: Requisitos de gestão da ISO 27001
E qual seria o melhor caminho para realizar a implementação do Sistema de Gestão da Segurança da Informação? A seguir iremos tratar quais são as etapas de implementação da ISO 27001.
Quais são as etapas de implementação da ISO 27001?
Para que todos os requisitos citados acima sejam implementados da melhor forma, o ideal é seguir uma trilha e definir as etapas de implementação de forma evolutiva que permita passo a passo desenvolver um sistema de gestão que seja adequado a realidade da sua empresa.
Para isso indicamos as etapas abaixo:
- Diagnóstico Inicial
- Análise de Cenários e definições gerais
- Planejamento da Segurança da Informação
- Análise de equipamentos e infraestrutura predial
- Segurança em Redes e utilização de softwares
- Desenvolvimento de softwares (se houver)
- Gestão de Pessoas e comunicação
- Análise de Fornecedores
- Gestão de Melhoria e resultados
- Auditoria Interna
- Auditoria de Certificação
Quais são as principais dificuldades na implementação da ISO 27001?
Como toda implementação de normas ISO, a ISO 27001 tem as suas particularidades que podem dificultar o caminho da Certificação ISO 27001. Vamos detalhar aqui um pouco mais cada uma dessas pedras no caminho:
- Detalhamento das Informações: Por se tratar de um assunto em que o detalhe pode custar a vulnerabilidade da sua empresa, o nível de detalhes a serem trabalhos na implementação da ISO 27001 é bem grande. É por isso que é fundamental que tenha uma pessoa a frente desse projeto que seja muito detalhista para conseguirmos entender todas as minúcias dos processos.
- Falta de tempo: Pela complexidade do assunto é comum as empresas destacarem gestores para a condução operacional do projeto. Apesar desses papéis serem essenciais (falaremos sobre ele adiante), normalmente são cargos que não possuem tempo disponível em sua rotina para se dedicar ao nível de detalhe exigido e isso acaba impactando as análises necessárias. Então, além de ser uma pessoa detalhista, é importante que o responsável pelo projeto tenha tempo para se dedicar.
- Liderança: Se o responsável pelo projeto ser um gestor pode atrapalhar o projeto de certificação na ISO 27001, a falta dele inviabiliza a certificação. Isso porque, sendo uma norma de gestão de riscos, a análise de cenários e respostas rápidas às ameaças identificadas são cruciais para a segurança da informação e é por isso que ter um gestor que tenha autonomia de decisão para resposta rápida é essencial em qualquer norma de governança corporativa, principalmente na ISO 27001.
- Controles fora do papel: No decorrer da implementação definiremos controles para mitigar os riscos levantados e com isso aplicar os controles na prática para que de fato todos sejam seguidos dentro da empresa é um grande desafio, garantir que os controles estão sendo aplicados é um dos principais trabalhos do comitê de segurança durante e após a implementação.
- Mudança de cultura: Como toda norma, a ISO 27001 trará várias mudanças para a sua empresa que impactarão na mudança da cultura organizacional da sua empresa e como é sabido, qualquer mudança de cultura só acontece com muita supervisão e controle e por isso é um dos grandes desafios a longo prazo.
- Comunicação interna: A empresa precisará criar um canal exclusivo para segurança da informação e deverá criar métodos de para engajar os colaboradores e orientar sobre as mudanças aplicáveis. Esse canal de comunicação deve ser bem conduzido para garantir que seja transmitida uma mensagem clara a todos os colaboradores e seja uma via de mão dupla.
Principais dúvidas na implementação da ISO 27001
As dúvidas mais comuns antes de iniciar um projeto de certificação ISO 27001 são:
a) Quanto tempo demora para certificar a empresa na ISO 27001?
O tempo médio para implementar e certificar uma empresa na ISO 27001 é 01 ano.
b) Posso realizar a certificação apenas em um produto que oferto ao mercado?
Sim, é possível. A ISO 27001 diferente de outras normas de sistemas de gestão pode ter um escopo reduzido, ou seja, se sua empresa oferta mais de um produto para o mercado e você quiser certificar somente o produto que tem o maior percentual do seu faturamento, é possível.
A análise aqui é se vale a pena o escopo reduzido, uma vez que mesmo com a redução do escopo, alguns controles precisarão ser implementados de forma integral na empresa, como segurança física, por exemplo.
c) Posso implementar a ISO 27001 com meus colaboradores trabalhando home office?
Sim, inclusive é essencial nesse caso. A norma ajudará a estabelecer, padrões, políticas e controles que irá auxiliar a sua empresa a se adequar com a segurança da informação mesmo com os colaboradores em home office.
d) Será necessário apoio jurídico durante a implementação?
Sim, será necessário para que seja analisado a parte legal nas tratativas com colaboradores e fornecedores com relação a segurança da informação e demais definições dependendo do seu ramo de atuação.
c) O que a empresa precisa investir para implementar a ISO 27001?
Essa é uma resposta bem particular de cada empresa e só conseguiremos ter certeza desse investimento após a aplicação do Diagnóstico Inicial, porém alguns investimentos precisarão ser realizados de qualquer maneira, que são:
- Contratar uma consultoria para auxiliar a sua empresa na implementação.
- Fazer o Gap Analysis (Diagnóstico Inicial)
- Ter apoio jurídico na adequação de contratos
- Investir em segurança física das instalações e equipamentos
- Contratar um Pentest para assegurar a resposta às vulnerabilidades
- Realizar a auditoria interna ao final da implementação
- Realizar a auditoria de certificação com o Organismo Certificador
[Post] ISO 27001: Tudo sobre a implementação ISO 27001
Mitos da ISO 27001
Para finalizar vamos esclarecer alguns mitos da ISO 27001, são eles:
a) Somente empresa de tecnologia deve implementar a ISO 27001
A ISO 27001 pode ser implementada em qualquer ramo de negócio, não há restrições de ramos de atividade que não se encaixam na implementação da norma.
b) A ISO 27001 não pode ser implementada em empresas pequenas
Pode sim! Como não há restrições a ramos de atividades também não há restrições para tamanhos de empresas, a sua empresa pode ter 5 ou 1000 colaboradores (muitas vezes até mais) e pode implementar a ISO 27001.
c) A implementação da ISO 27001 é de responsabilidade da área de TI
Não, esse é um dos maiores mitos relacionados a ISO 27001, será necessário o apoio da área de TI, porém é uma norma relacionada a governança da empresa, será necessário definir um comitê de segurança multidisciplinar para realizar a implementação, sugiro que faça parte do comitê a direção, T.I., Jurídico e líderes dos principais processos da sua empresa.
d) Ter a certificação na ISO 27001 é um diferencial competitivo
Ter a certificação na ISO 27001 é um diferencial competitivo, porém é muito claro que está se tornando uma questão de sobrevivência, hoje analisando o mercado, grandes players que estão se adequando e já estão adequados a segurança da informação estão exigindo o mesmo dos seus fornecedores e a tendência é que se estenda por toda a cadeia de fornecedores, se sua empresa ainda não está sendo pressionada por seus clientes você está no momento ideal para certificar a sua empresa na ISO 27001, pois mais cedo ou mais tarde a exigência irá chegar também até você!