A ISO 27001 (ISO/IEC 27001) é uma norma que indica as diretrizes para uma boa gestão da segurança da informação. Seu objetivo é estabelecer um padrão para que as empresas criem suas políticas de segurança com regras claras.
Publicada em 2005 pela International Electrotechnical Commission (ICE) e pelo International Organization for Standardization (ISO), a norma envolve várias etapas relacionados à segurança da informação de uma empresa: implementação das diretrizes, estabelecimento, operação, monitoramento, análise crítica, melhoria dos sistemas etc.
Empresas que apresentam a certificação ISO 27001 ganham credibilidade no mercado, pois a segurança da informação tem se tornado um ativo fundamental. Neste post, vamos conhecer os requisitos e caminhos para que a sua empresa também obtenha a certificação ISO 27001. Confira!
Quais são os requisitos básicos para certificação ISO 27001?
A ISO 27001 apresenta 5 seções que indicam quais são os requisitos principais e um apêndice que apresenta os controles de segurança, cada um com seus objetivos e focos específicos. Veja quais são os principais requisitos.
Criação de uma política de segurança
A criação de uma boa política de segurança tem como objetivo a orientação de gerenciamento e suporte para a segurança da informação, obedecendo sempre as demandas de negócios, leis e regulamentos relevantes do ambiente em que a corporação está inserida.
Organização da segurança da informação
O gestor deve administrar a segurança da informação dentro da empresa, mantendo a segurança dos dados e das instalações de processamento que possam ser processadas, comunicadas, acessadas ou gerenciadas por terceiros.
Gestão de ativos
É necessário que seja alcançada e mantida a proteção dos ativos organizacionais. Com a transformação digital e as leis de proteção de dados, as empresas que não atendem a esse requisito ficam anacrônicas.
Segurança física e ambiental
Crie medidas para impedir o acesso físico não autorizado a dados da empresa, interferência e danos na infraestrutura física. É importante tomar todos os cuidados para evitar perda, roubo, comprometimento dos ativos e interrupção da produtividade corporativa.
Gerenciamento de comunicações e operações
O foco aqui é garantir que as informações tenham o seu processamento realizado de maneira correta, com estratégias de prevenção tradicionais, como o backup seguro e tratado de forma correta.
Controle de acesso
A empresa precisa implementar um bom controle de acesso aos dados, aplicativos e redes, bloqueando os acessos não autorizados, as eventuais ameaças, danos e roubos, que possam acontecer com a infraestrutura de TI.
Conformidade
A empresa deve sempre trabalhar para evitar todo tipo de violações às leis, regulamentos, obrigações estatutárias e contratuais de todos os requisitos de segurança. Além disso, é importante garantir a conformidade dos sistemas com a utilização de políticas e padrões de segurança corporativa.
Como implementar a ISO 27001 em minha empresa?
Para implementar a ISO 27001, a empresa pode utilizar os quatro passos do ciclo PDCA — Planejar, Executar, Verificar e Agir —, além de gerenciar outras metodologias específicas. A ISO 27001 deve ser enxergada como um projeto para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) e deve seguir as seguintes etapas.
Estudo de escopo
A primeira etapa da implementação deve definir o escopo do projeto, refletindo os objetivos claros dos negócios e do projeto para a implementação da ISO 27000, com a inclusão de todos os requisitos, departamentos e locais específicos. Com este escopo, você terá um guia para seguir o processo e possa focar em sua tarefa.
Avaliação de risco
A avaliação de riscos pode ser utilizada para que seja feita a identificação de todos os seus ativos de TI, considerando as ameaças, riscos e vulnerabilidades associados. Nesse cenário, você terá em mãos material necessário para criar uma lista de ameaças de informações, que poderão ser hierarquizadas de acordo com o nível de risco que elas apresentam para os ativos de TI de sua empresa.
Análise de lacunas
Com a análise de lacunas, você poderá fazer uma revisão de progresso de seu planejamento até o momento, analisando a implementação dos requisitos da ISO 27001 e os controles de segurança aplicáveis. Nem todos os controles que são definidos na ISO 27001 podem ser aplicados a sua organização e as ameaças de segurança que vocês enfrentam.
Programa de melhoria de segurança
Nesse momento, você já deverá ter uma boa consciência da situação da segurança da informação de sua empresa. Com as políticas e os procedimentos revisados, agora é hora de desenvolver esses processos para proteger os ativos de TI contra as ameaças identificadas, como problemas de pessoal, recursos técnicos e melhorias. Algumas dessas ameaças poderão exigir uma ação imediata e outras necessitarão de regras ou instruções atualizadas.
Teste, revisão e auditoria interna
Conforme você for realiza as ações que visam a melhoria da segurança das informações, todas as ações ou mudanças nesse processo deverão ser testadas para que haja a garantia das melhorias necessárias.
Nesse cenário, poderão ser realizadas avaliações internas, testes de penetração ou revisão por pares, além das auditorias internas do SGSI, mas uma visão externa dará um panorama mais distante, facilitando o êxito na obtenção da ISO 27001.
Melhoria contínua e ação corretiva
Como ocorre em todos os padrões de sistema de gestão, é necessário fazer uma revisão de tudo o que foi alcançado. Para fazer a avaliação do desempenho do SGSI e das ferramentas de melhoria contínua, o gestor precisa investir em auditorias internas e análises gerenciais.
Todas as não conformidades de SGSI encontradas deverão ser tratadas com as devidas ações corretivas, evitando reincidências. Assim como acontece com todos os padrões do sistema de gestão, a melhoria contínua também deve ser um requisito fundamental do padrão.
Como uma empresa pode obter a certificação ISO 27001?
Agora vamos entender de maneira prática como a empresa pode obter a certificação ISO 27001, depois de cumprir todas as etapas de implementação, a empresa deverá passar por uma auditoria externa de certificação, que deverá ser realizada por uma empresa credenciada. Vamos entender quais são os estágios dessa auditoria.
Estágio 1 — Análise de lacunas
Falamos da análise de lacunas internas, agora vamos entender a análise de lacuna feita pelos auditores, que verificarão se os controles e procedimentos da ISO 27001 foram desenvolvidos. Nesse cenário, a entidade certificadora compartilhará os resultados e, se for identificada uma lacuna, ela será sanada em tempo hábil.
Estágio 2 — Avaliação Formal
Caso as exigências sejam cumpridas, a entidade credenciada deve começar o estágio 2, que tem como foco a avaliação da implementação dos procedimentos e controles da organização, para garantir que eles estão em conformidade com o que a gestão exige.
Na maioria das vezes, os auditores realizam uma visita local para fazer a auditoria das atividades e identificar se os processos corporativos estão em conformidade com a ISO 27001 e com a documentação analisada previamente.
Visitas de supervisão
A emissão do certificado ISO 27001 não é a última etapa, pois, durante a sua vigência, a empresa receberá visitas regulares para garantir que os processos permaneçam em conformidade e que melhore continuamente.
Como vimos, a certificação ISO 27001 nasceu para oferecer diretrizes de segurança da informação. Com a sua implementação, uma empresa ganha o “selo de qualidade” que oficializa para colaboradores, fornecedores e clientes que ela passou por critérios rigorosos de segurança da informação, gerando um diferencial competitivo.
Gostou do post? Assine já a newsletter da Athena Security para receber em primeira mão as nossas dicas e novidades sobre segurança da informação.
