DARYUS 
De tempos em tempos, a ISO (International Organization for Standardization) realiza uma pesquisa mundial que aponta o total de certificações de empresas nos Sistemas de Gestão baseados no padrão ISO, como a ISO 9001 – um padrão altamente difundido no mundo que se refere a Qualidade, porém nesse artigo vamos comentar sobre os resultados de dois temas, Segurança da Informação e Continuidade de Negócios, que são norteados pela ISO através das normas:
- ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements
- ISO/IEC 22301:2019 Security and resilience — Business continuity management systems — Requirements
Dessa maneira, é necessário refletir sobre a maturidade das empresas brasileiras nesses temas, incluindo o próprio governo.
É importante lembrarmos que essa pesquisa foi realizada por meio dos organismos de certificação, que são empresas credenciadas ao International Accreditation Forum (IAF), pois a ISO não realiza certificação diretamente, já que é um organismo independente e não governamental.
Com isso, um total de 12 padrões ISO foram incluídos na pesquisa, que foi realizada com 168 países e apresentando o total de certificados válidos em 31 de dezembro de 2018, incluindo três conjuntos de dados separados:
- número de certificados válidos;
- número de setores abrangidos pelos certificados, por país;
- número de sites cobertos pelos certificados, por país.
Na análise dos resultados das empresas certificadas na ISO/IEC 27001:2013, o Brasil ficou na 37ª posição, com uma diferença de 7.089 certificados a menos da primeira posição, a China. Ao menos ganhamos da Argentina, que ficou na 55ª posição do ranking.
Brincadeiras à parte, essa amostragem revela o quanto estamos engatinhando frente a Gestão de Segurança da Informação, mesmo sabendo que muitas das empresas não certificadas pela ISO, ainda façam uso de boas práticas de Segurança da Informação, a falta de um SGSI indica a ausência de uma abordagem sistemática.
De um total de 31.910 empresas certificadas na ISO 27001:2013, representadas por 39 setores (segmento de mercado), abaixo destacamos os dez setores que estão certificados na ISO 27001:2013.
Esse apontamento é crítico, especialmente se comparado com o ano de 2017, onde o Brasil apresentava 170 certificados válidos. Ou seja, tivemos uma redução de mais de 35% de empresas que não renovaram a certificação, possivelmente perdendo boa parte do que foi construído para o SGSI.
Enquanto na análise dos resultados das empresas certificadas na ISO/IEC 22301:2019, que tem uma quantidade significativamente inferior de empresas certificadas ao redor do mundo, o Brasil ficou na 25ª posição, com uma diferença de 280 certificados da primeira posição.
Enquanto para Segurança da Informação temos mais de 39 mil empresas certificadas e somente 1506 empresas estão certificadas na ISO 22301:2019 que trata sobre Continuidade de Negócios.
Se comparado com o total de 22 certificados válidos em 2017, isso significa uma redução de mais de 54% de empresas que não renovaram sua certificação.
Confira os dez setores que destaco dos 39 setores avaliados.
Essa amostragem demonstra que temos muito o que fazer para conquistar uma melhor posição frente a outros países na aplicação das melhores práticas de Segurança da Informação e Continuidade de Negócios
- Confira as diferenças e características das ISO´s e como cada uma interagi com a LGPD – Lei Geral de Proteção de Dados. Acesse a matriz cruzada produzida pela DARYUS sobre a LGPD X ISO´s 27701,27001 e 27002
Os números apresentados também nos remetem a um questionamento importante: Será que a maioria dos negócios – e também seus clientes – ainda percebem investimentos em Segurança da Informação, Proteção de Dados Pessoais e Continuidade de Negócios como um custo desnecessário, do qual podem facilmente abrir mão para ter preços mais competitivos?
Assim como as outras disciplinas mencionadas ao longo desse artigo, Segurança da Informação sempre parece ser algo excessivo, até o dia em que não é suficiente. Infelizmente muitas organizações somente percebem o valor de uma gestão efetiva de Segurança e Continuidade quando incidentes ou mesmo desastres se tornam uma realidade. Claro, uma vez que a experiência é o melhor professor, vivenciar na prática um incidente severo geralmente é muito enriquecedor e pode até servir de catalizador para o amadurecimento da organização. A grande questão é que esse aprendizado forçado pela dor implica em impactos desnecessários, que muitas vezes geram significativos prejuízos financeiros, operacionais, legais ou mesmo reputacionais.
A verdade é que toda norma ISO é um compilado de diversas experiências, construídas refletindo dores que já foram vivenciadas por organizações em todo o mundo. Sim, a experiência e a dor são grandes mestres, mas nada pode ser melhor do que aplicar as experiências e as dores já vivenciadas por terceiros, sem ter impacto em sua organização. Estudos recentes demonstram claramente que o investimento realizado em melhorias relacionadas à Segurança, Privacidade e Continuidade de Negócios, tem trazido amplo retorno para organizações ao redor do mundo, das quais mais de 40% reportaram consistentemente que o retorno tem sido mais do que o dobro do valor investido, dado o aumento na sua eficiência operacional, redução no número de incidentes e violações, maior agilidade e possibilidade de abraçar inovação e tecnologias disruptivas, e fortalecimento da marca.
Quem sabe os números de 2021, referentes ao ano de 2020, apontem uma evolução na maturidade mundial, uma vez que temas latentes, tais como Privacidade e Proteção de Dados, e também a possibilidade de sanções que incluem desde multas multimilionárias, até a proibição do tratamento de dados pessoais. E claro, neste ano vivenciamos um cenário único, a crise pandêmica de COVID-19, que tem sido um catalizador extremamente efetivo na transformação digital, reforçando a ideia de que – na ampla maioria dos casos – seguimos preferindo aprender com a dor em primeira pessoa, do que pensar estrategicamente quando olhamos para o futuro.
Seguimos pensando positivamente, e acreditamos que esses grandes eventos servirão para abrir mentes, tanto dos profissionais quanto das empresas que estes atuam, ambos pressionados seja por clientes, ou pela evolução das ameaças globais, a ter uma gestão e operação cada vez mais efetiva, algo que no atual contexto global não é viável sem uma apropriada Gestão da Segurança da Informação e a Continuidade de Negócios.
Desde 2005 encaramos esse desafio de elevar o nível de maturidade empresarial frente a Gestão de Segurança da Informação e Gestão de Continuidade de Negócios, além de preparar o maior número de profissionais para atuar nessas áreas e com frequência realizamos eventos, participamos de congressos renomados e ofertamos muitas bolsas de estudos e materiais gratuitos para aprendizado.
O que fazem as normas ISO?
De uma forma geral, normas são um consenso de alto nível sobre um tema específico. Isso significa que, por exemplo, as recomendações e requisitos presentes em qualquer norma ISO já foram amplamente testados e validados. Em outras palavras: Normas funcionam na prática e fornecem especificações de classe mundial para produtos, serviços e sistemas a fim de garantir qualidade, segurança e eficiência. Normas são fundamentais para facilitar o comércio internacional. A ISO publicou 23056 padrões internacionais (International Standards) e documentos relacionados, cobrindo quase todos os setores, desde tecnologia, segurança alimentar, agricultura, saúde e até mesmo inovação. Os padrões internacionais da ISO afetam a todos, em qualquer lugar.
Se quiser entender melhor como funciona a atuação da ISO e os conceitos de proteção e privacidade de dados com a ISO 27701. Veja o webinar com nosso especialista Cláudio Dodt
Quem é a ISO?
A história da ISO começou em 1946, quando delegados de 25 países se reuniram no Institute of Civil Engineers, em Londres, e decidiram criar uma nova organização internacional focada em “facilitar a coordenação internacional e a unificação dos padrões industriais”. Em 23 de fevereiro de 1947, a nova organização, ISO, iniciou oficialmente as operações. Desde então, publicou mais de 23056 padrões internacionais, cobrindo quase todos os aspectos de tecnologia e fabricação. Hoje, há membros de 164 países e 782 comitês e subcomissões técnicas para cuidar do desenvolvimento de padrões. Mais de 160 pessoas trabalham no Secretariado Central da ISO em Genebra, Suíça.
Você sabe a origem do nome?
Para encerrar, uma curiosidade. Como ‘Organização Internacional para Padronização’ teria siglas diversas em diferentes idiomas – IOS em inglês e OIN em francês (Organization Internationale de Normalization) -, os fundadores decidiram fornecer o formato abreviado de ISO. ISO é derivado do grego, língua na qual “isos” significa igual. Qualquer que seja o país, qualquer que seja o idioma, sempre é ISO.
Agora que você sabe a importância dos certificados e como isso impacta os negócios é hora de você investir em sua carreira. Veja nossos cursos e pós-graduações
Atuo na área de Gerenciamento de Riscos a mais de 15 anos, e podemos perceber claramente como é baixa a maturidade das empresas frente aos temas: Segurança da Informação e Continuidade de Negócios, muitos executivos ainda enxergam estes projetos como despesas e não como investimentos.
Infelizmente, as empresas que procuram se adequar, normalmente, tiveram algum evento que demonstrou a fragilidade da companhia frente a estas temas, ou está sendo cobrada por força de contrato ou normativa.
Hoje, a Segurança da Informação já é o terceiro risco mais evidenciado mundialmente, e as empresas que não correrem para estar em compliance, terão muito em breve problemas para fechamento de novos contratos e renovações, pois as empresas querem trabalhar com parceiros seguros, e a melhor forma de se evidenciar isso é através de uma certificação ISO.
A orientação hoje é estar seguro!!! Quais são as ações que a sua companhia está adotando para mitigar os riscos e as vulnerabilidades frente a segurança da informação e privacidade de dados, principalmente, neste período onde muitos estão trabalhando home-office e hackers estão sedentos por invadir redes, coletar dados e bloquear acessos?
As empresas que nunca pararam para pensar no tema Continuidade de Negócios, com a crise do Covid 19, sentiram na pele a dificuldade de tomar decisões imediatas sem antes terem trabalhado as melhores alternativas, sem terem um plano de gestão de crise, previamente mapeado, é importante termos em mente que ninguém e nenhuma companhia está imune de um evento ou uma crise, e o que está sendo planejado para que quando isso ocorrer, a empresa não entre em colapso?
Este é o papel dos gestores de riscos, trazerem para as mesas dos executivas estes temas tão relevantes e que estudos demonstram claramente que o investimento realizado em melhorias relacionadas à Segurança, Privacidade e Continuidade de Negócios, tem trazido amplo retorno para organizações ao redor do mundo, das quais mais de 40% reportaram consistentemente que o retorno tem sido mais do que o dobro do valor investido, dado o aumento na sua eficiência operacional, redução no número de incidentes e violações, maior agilidade e possibilidade de abraçar inovação e tecnologias disruptivas, e fortalecimento da marca.