Home / Artigo / Como gerenciar a segurança da informação com a ISO 27001?
Como gerenciar a segurança da informação usando a ISO 27001

Como gerenciar a segurança da informação com a ISO 27001?

Você deve estar se perguntando sobre o que é a norma ISO 27001e em algum momento provavelmente já ouviu o termo SGSI, que significa Sistema de Gestão de Segurança da Informação, certoE o que é a ISO 27001? 

A norma ISO 27001 é a principal norma ISO (www.iso.orgpara apoio as empresas no tema segurança da informação e está disponível desde 2013. Sim, ela é uma norma ISO como as conhecidas normas ISO 9001 (qualidade total) ou a ISO 14001 (gestão ambiental), muito conhecidas e utilizadas em vários segmentos, e principalmente na indústria. E qual o valor e importância de seguir uma ISO ao implementar a gestão da segurança da informação? 

A família de normas ISO 27001, que já existem traduzidas em língua portuguesa (www.abnt.org.br), é composta por normas que são uma referência para a implementação em qualquer tamanho ou segmento de empresa e ajuda a liderançaequipes de tecnologia da informação e demais equipes a entender, planejar, implementarverificar e prover melhoria contínua 

Além da norma que apresenta e orienta o “caminho a seguir”, esta família também é composta por outras normas que apoiam a análise, avaliação e tratamento dos riscos de segurança da informação, mas também para a Implementação e Proteção de Privacidade, através da norma ISO 27.701. 

Em dezembro de 2019, a norma ABNT NBR ISO/IEC 27701 – Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes, foi elaborada pelo Comitê Brasileiro de Computadores Processamento de Dados (ABNT/CB-021), a norma tem características especiais. Enquadra-se, perfeitamente, no conceito Market Driven Standard (MDS), ou seja, é uma norma que representa os anseios da sociedade, em decorrência do Regulamento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia, como também da nossa Lei Geral de Proteção de Dados Pessoais (LGPD).”, segundo o Sr. Ariosto Farias Jr., coordenador da Comissão de Estudo na ABNT (Associação Brasileira de Normas Técnicas) focado em segurança da informaçãocibersegurança e proteção da privacidade. 

A ABNT, traduziu a norma ISO 27701 ajudando as empresas nacionais a entender perfeitamente a valorosa contribuição ISO ao mercado. 

Decidir implementar a segurança da informação com base no caminho proposto pela ISO 27001 e 27701 trará muitos benefícios, reflexões, identificações de riscos antes ocultos, ajustes em políticas, normas internas, processos e melhoria contínua na maneira como se lida com as informações e dados em todo o negócio. 

O que é a LGPD – Lei Geral de Proteção de Dados?

LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, sancionada em agosto de 2018. Ela estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento. 

Com a LGPD, o país entra para o rol dos 120 países que possuem lei específica para a proteção de dados pessoais. A nova lei irá preencher lacunas para substituir e/ou complementar a estrutura de mais de 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados no país hoje.  

matriz cruzada da LGPD versus as normas ISO 27701, ISO 27001 e 27002

Mais informações na nossa matriz cruzada da LGPD versus as normas ISO 27701, ISO 27001 e 27002, uma planilha que cruza todos os dados e tem como objetivo permitir uma visualização fácil para o entendimento dos pontos comuns da lei.  

Implementar a Gestão de Segurança da Informação usando a ISO vai me ajudar com a LGPD?

Sim, principalmente se utilizar a ISO 27701 como complemento ao SGSI baseado na ISO 27001, que precisará ser implementado. Quando uma organização decide melhorar sua segurança da informação, o que a liderança deve compreender primariamente é que isso será muito mais que comprar um firewall ou antivírus, deverá ser uma mudança na forma de pensar sobre o tema e ajustes na cultura organizacional, ou seja, uma transformação positiva e necessária nos tempos atuaisÉ isso mesmo, segurança da informação não é somente segurança da tecnologia da informação (T.I.). 

Dados pessoais de clientes, funcionários, informações que permeiam processos, a forma com que este ciclo da informação é gerenciado e protegido, riscos na cadeia de suprimentos, riscos operacionais, cibernéticos, físicos e ambientais (local de trabalho e operação), educação e difusão do conhecimento para todos na empresa e a criação de um ambiente e ecossistema para uma proteção global do negócio, são alguns desses benefícios, que a médio prazo poderão se tornar valor percebido pelos clientes, acionistas ou investidores aumentando a qualidade do negócio, e melhorando a competitividade nacional e internacional. 

Um dos requisitos mais importantes que a LGPD nos traz como necessidade de adequação, é a capacidade da empresa em entender onde estão os dados e informações a serem protegidas, e obrigar as organizações a terem identificação dos riscos relacionados a privacidade, bem como, nomear um encarregado de dados (DPO) para promover educação e ser o promotor da gestão de riscos adequada para as informações privadas operadas ou controladas pela empresa.  

Além disso, a empresa precisa ter condições de minimizar os riscos relacionados através da implementação de controles de detecção, análise, resposta e gerenciamento de crises frente a ameaça de acesso ou vazamento de dados privados, sejam de clientes ou de funcionários. Uma condição empresarial é em grande parte endereçada quando se implementa um SGSI seguindo a ISO 27001 e 27701. 

Para que gerenciar os riscos cibernéticos ou de segurança da informação?

Gerenciar riscos é algo comum nas empresas, porém, nas últimas décadas com o avanço da internet os riscos cibernéticos e relacionados a tecnologias aumentaram exponencialmente. Segundo o Global Risk Report, relatório de riscos globais, gerado anualmente pelo WEF – World Economic Fórum, estes riscos estão 4 vezes maiores ano a ano, e com as novas tecnologias como 5G, IoT (Internet das coisas) e I.A. (Inteligência artificial), eles aumentarão ainda mais. Porém, ao mesmo tempo que os riscos aumentam, as oportunidades de negócios e novos negócios também aumentam para as empresas que sabem lidar adequadamente com essas ameaças e gerenciá-las. 

Um exemplo prático para entendermos o que é esse gerenciamento é se, por acaso, você compartilhar documentos confidenciais ou bases de dados privados, por e-mail ou na internet através de meios ou ambientes sem segurança. As chances desses documentos ou bases serem acessados por pessoas não autorizadas, hackeados ou vazados são maiores sem a segurança da informação ativa e contínuaUm bom SGSI combina equilibradamente controles normativos, processuais, tecnológicos e humanospermitindo que sua empresa faça isso de forma segura, monitorada e com qualidade. 

É como um airbag ou dispositivo de segurança instalado no seu carro que está lá pra protegê-lo, criando condições e detecções para que possa enfrentar as mais difíceis viagens com maior controle, autonomia e segurança. As empresas precisam entrar nesse novo momento socioeconômico e utilizar todos os recursos da internet, comércio eletrônico, dispositivos IOT, 5G, vídeo chamadas, home office seguro e etc. Tudo isso representa melhor eficiência, redução de custos, capacidade, capilaridade e aumento da competitividade, o que é ideal para empresas pequenas e médias. 

Gestão de segurança da informação e cibersegurança?

Por fim, o que podemos concluir? Primeiro, gestão de segurança da informação não é uma função unicamente técnica, ou de T.I, trata-se de uma mudança cultural, adequações de processos, envolvimento contínuo dos líderes, investimentos e educação para que todos na empresa sejam parte da segurança e do tratamento dos riscos continuamente. 

Quanto antes a empresa buscar conhecimento, apoio consultivo e educacional para treinar seus líderes e equipes, se tornará mais segura em consciência e atitude. E quanto antes começar a implementação, por conta própria ou com apoio consultivo de um SGSI usando as melhores práticas internacionais ISO (27001 e 27701) se tornará mais competitiva, resiliente, segura e aumentará seu valor no mercado. 

Se ficou interessado (a) e quer aprimorar sua carreira, conheça os cursos abaixo:

Assista ao Webinar: O papel do CSO durante crises e pós-crises: Como garantir a segurança de informações e processos, ministrado por Jeferson D’Addariopresidente do Grupo DARYUS, especialista em segurança da informação e cibersegurança, auditor líder nas normas ISO 27001 e 22301, professor e coordenador de MBA no tema, palestrante e consultor com mais de 20 anos de experiência em implementação de SGSI, Gestão de Riscos e Continuidade de Negócios.

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

Perícia Forense Digital

A Cadeia de Custódia na Perícia Forense Digital

O grande guia da custódia na forense digital é a ISO/IEC27037 (Tecnologia da Informação – Técnicas …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *