Home / Artigo / Brasil engatinha quando o assunto é Segurança da Informação e Continuidade de Negócios
banner brasil e segurança da informação e continuidade
Brasil ainda anda devagar em relação a Segurança da Informação e Continuidade de Negócios

Brasil engatinha quando o assunto é Segurança da Informação e Continuidade de Negócios

De tempos em tempos, a ISO (International Organization for Standardization) realiza uma pesquisa mundial que aponta o total de certificações de empresas nos Sistemas de Gestão baseados no padrão  ISO, como ISO 9001 – um padrão altamente difundido no mundo que se refere a Qualidade, porém nesse artigo vamos comentar sobre os resultados de dois temas, Segurança da Informação e Continuidade de Negóciosque são norteados pela ISO através das normas 

  • ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements 
  • ISO/IEC 22301:2019 Security and resilience — Business continuity management systems — Requirements 

Dessa maneira, é necessário refletir sobre a maturidade das empresas brasileiras nesses temas, incluindo o próprio governo.  

É importante lembrarmos que essa pesquisa foi realizada por meio dos organismos de certificação, que são empresas credenciadas ao International Accreditation Forum (IAF), pois a ISO não realiza certificação diretamente, já que é um organismo independente e não governamental. 

Com isso, um total de 12 padrões ISO foram incluídos na pesquisa, que foi realizada com 168 países e apresentando o total de certificados válidos em 31 de dezembro de 2018, incluindo três conjuntos de dados separados:  

  • número de certificados válidos; 
  • número de setores abrangidos pelos certificados, por país; 
  • número de sites cobertos pelos certificados, por país. 

Na análise dos resultados das empresas certificadas na ISO/IEC 27001:2013, o Brasil ficou na 37ª posição, com uma diferença de 7.089 certificados a menos da primeira posição, a China. Ao menos ganhamos da Argentina, que ficou na 55ª posição do ranking. 

Brincadeiras à parte, essa amostragem revela o quanto estamos engatinhando frente a Gestão de Segurança da Informação, mesmo sabendo que muitas das empresas não certificadas pela ISO, ainda façam uso de boas práticas de Segurança da Informação, a falta de um SGSI indica a ausência de uma abordagem sistemática. 

De um total de 31.910 empresas certificadas na ISO 27001:2013, representadas por 39 setores (segmento de mercado), abaixo destacamos os dez setores que estão certificados na ISO 27001:2013. 

Esse apontamento é crítico, especialmente se comparado com o ano de 2017, onde o Brasil apresentava 170 certificados válidos. Ou sejativemos uma redução de mais de 35% de empresas que não renovaram a certificaçãopossivelmente perdendo boa parte do que foi construído para o SGSI. 

Enquanto na análise dos resultados das empresas certificadas na ISO/IEC 22301:2019, que tem uma quantidade significativamente inferior de empresas certificadas ao redor do mundoo Brasil ficou na 25ª posição, com uma diferença de 280 certificados da primeira posição. 

Enquanto para Segurança da Informação temos mais de 39 mil empresas certificadas e somente 1506 empresas estão certificadas na ISO 22301:2019 que trata sobre Continuidade de Negócios. 

Se comparado com total de 22 certificados válidos em 2017, isso significa uma redução de mais de 54% de empresas que não renovaram sua certificação. 

Confira os dez setores que destaco dos 39 setores avaliados. 

Essa amostragem demonstra que temos muito o que fazer para conquistar uma melhor posição frente a outros países na aplicação das melhores práticas de Segurança da Informação e Continuidade de Negócios

Os números apresentados também nos remetem a um questionamento importante: Será que a maioria dos negócios – e também seus clientes – ainda percebem investimentos em Segurança da Informação, Proteção de Dados Pessoais e Continuidade de Negócios como um custo desnecessário, do qual podem facilmente abrir mão para ter preços mais competitivos? 

Assim como as outras disciplinas mencionadas ao longo desse artigo, Segurança da Informação sempre parece ser algo excessivo, até o dia em que não é suficiente. Infelizmente muitas organizações somente percebem o valor de uma gestão efetiva de Segurança e Continuidade quando incidentes ou mesmo desastres se tornam uma realidade. Claro, uma vez que a experiência é o melhor professor, vivenciar na prática um incidente severo geralmente é muito enriquecedor e pode até servir de catalizador para o amadurecimento da organização. A grande questão é que esse aprendizado forçado pela dor implica em impactos desnecessários, que muitas vezes geram significativos prejuízos financeiros, operacionais, legais ou mesmo reputacionais. 

A verdade é que toda norma ISO é um compilado de diversas experiênciasconstruídas refletindo dores que já foram vivenciadas por organizações em todo o mundo. Sim, a experiência e a dor são grandes mestres, mas nada pode ser melhor do que aplicar as experiências e as dores já vivenciadas por terceiros, sem ter impacto em sua organização. Estudos recentes demonstram claramente que o investimento realizado em melhorias relacionadas à Segurança, Privacidade e Continuidade de Negócios, tem trazido amplo retorno para organizações ao redor do mundo, das quais mais de 40% reportaram consistentemente que o retorno tem sido mais do que o dobro do valor investido, dado o aumento na sua eficiência operacional, redução no número de incidentes e violações, maior agilidade e possibilidade de abraçar inovação e tecnologias disruptivas, e fortalecimento da marca. 

Quem sabe os números de 2021, referentes ao ano de 2020, apontem uma evolução na maturidade mundial, uma vez que temas latentes, tais como Privacidade e Proteção de Dados, e também a possibilidade de sanções que incluem desde multas multimilionárias, até a proibição do tratamento de dados pessoais. E claro, neste ano vivenciamos um cenário único, a crise pandêmica de COVID-19, que tem sido um catalizador extremamente efetivo na transformação digital, reforçando a ideia de que – na ampla maioria dos casos  seguimos preferindo aprender com a dor em primeira pessoa, do que pensar estrategicamente quando olhamos para o futuro. 

Seguimos pensando positivamente, e acreditamos que esses grandes eventoservirão para abrir mentes, tanto dos profissionais quanto das empresas que estes atuam, ambos pressionados seja por clientes, ou pela evolução das ameaças globais, a ter uma gestão e operação cada vez mais efetiva, algo que no atual contexto global não é viável sem uma apropriada Gestão da Segurança da Informação e a Continuidade de Negócios. 

Desde 2005 encaramos esse desafio de elevar o nível de maturidade empresarial frente a Gestão de Segurança da Informação e Gestão de Continuidade de Negócios, além de preparar o maior número de profissionais para atuar nessas áreas e com frequência realizamos eventos, participamos de congressos renomados e ofertamos muitas bolsas de estudos e materiais gratuitos para aprendizado.

O que fazem as normas ISO? 

De uma forma geral, normas são um consenso de alto nível sobre um tema específico. Isso significa que, por exemplo, as recomendações e requisitos presentes em qualquer norma ISO já foram amplamente testados e validados. Em outras palavras: Normas funcionam na prática e fornecem especificações de classe mundial para produtos, serviços e sistemas a fim de garantir qualidade, segurança e eficiência. Normas são fundamentais para facilitar o comércio internacional. A ISO publicou 23056 padrões internacionais (International Standards) e documentos relacionados, cobrindo quase todos os setores, desde tecnologia, segurança alimentar, agricultura, saúde e até mesmo inovação. Os padrões internacionais da ISO afetam a todos, em qualquer lugar.  

Se quiser entender melhor como funciona a atuação da ISos conceitos de proteção e privacidade de dados com a ISO 27701. Veja o webinar com nosso especialista Cláudio Dodt

Quem é a ISO? 

A história da ISO começou em 1946, quando delegados de 25 países se reuniram no Institute of Civil Engineers, em Londres, e decidiram criar uma nova organização internacional focada em “facilitar a coordenação internacional e a unificação dos padrões industriais”. Em 23 de fevereiro de 1947, a nova organização, ISO, iniciou oficialmente as operações. Desde então, publicou mais de 23056 padrões internacionais, cobrindo quase todos os aspectos de tecnologia e fabricação. Hoje, há membros de 164 países e 782 comitês e subcomissões técnicas para cuidar do desenvolvimento de padrões. Mais de 160 pessoas trabalham no Secretariado Central da ISO em Genebra, Suíça. 

Você sabe a origem do nome? 

Para encerrar, uma curiosidade. Como ‘Organização Internacional para Padronização’ teria siglas diversas em diferentes idiomas – IOS em inglês e OIN em francês (Organization Internationale de Normalization) -, os fundadores decidiram fornecer o formato abreviado de ISO. ISO é derivado do grego, língua na qual “isos” significa igual. Qualquer que seja o país, qualquer que seja o idioma, sempre é ISO. 

Agora que você sabe a importância dos certificados e como isso impacta os negócios  é hora de você investir em sua carreira. Veja nossos cursospós-graduações

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

7 passos para reduzir os custos da TI

A área de TI precisa estar alinhada com os objetivos estratégicos da empresa. A ideia do TI help desk já é bem …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *