DARYUS 
Você deve estar se perguntando sobre o que é a norma ISO 27001, e em algum momento provavelmente já ouviu o termo SGSI, que significa Sistema de Gestão de Segurança da Informação, certo? E o que é a ISO 27001?
A norma ISO 27001 é a principal norma ISO (www.iso.org) para apoio as empresas no tema segurança da informação e está disponível desde 2013. Sim, ela é uma norma ISO como as conhecidas normas ISO 9001 (qualidade total) ou a ISO 14001 (gestão ambiental), muito conhecidas e utilizadas em vários segmentos, e principalmente na indústria. E qual o valor e importância de seguir uma ISO ao implementar a gestão da segurança da informação?
A família de normas ISO 27001, que já existem traduzidas em língua portuguesa (www.abnt.org.br), é composta por normas que são uma referência para a implementação em qualquer tamanho ou segmento de empresa e ajuda a liderança, equipes de tecnologia da informação e demais equipes a entender, planejar, implementar, verificar e prover melhoria contínua.
Além da norma que apresenta e orienta o “caminho a seguir”, esta família também é composta por outras normas que apoiam a análise, avaliação e tratamento dos riscos de segurança da informação, mas também para a Implementação e Proteção de Privacidade, através da norma ISO 27.701.
“Em dezembro de 2019, a norma ABNT NBR ISO/IEC 27701 – Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes, foi elaborada pelo Comitê Brasileiro de Computadores Processamento de Dados (ABNT/CB-021), e a norma tem características especiais. Enquadra-se, perfeitamente, no conceito Market Driven Standard (MDS), ou seja, é uma norma que representa os anseios da sociedade, em decorrência do Regulamento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia, como também da nossa Lei Geral de Proteção de Dados Pessoais (LGPD).”, segundo o Sr. Ariosto Farias Jr., coordenador da Comissão de Estudo na ABNT (Associação Brasileira de Normas Técnicas) focado em segurança da informação, cibersegurança e proteção da privacidade.
A ABNT, traduziu a norma ISO 27701 ajudando as empresas nacionais a entender perfeitamente a valorosa contribuição ISO ao mercado.
Decidir implementar a segurança da informação com base no caminho proposto pela ISO 27001 e 27701 trará muitos benefícios, reflexões, identificações de riscos antes ocultos, ajustes em políticas, normas internas, processos e melhoria contínua na maneira como se lida com as informações e dados em todo o negócio.
O que é a LGPD – Lei Geral de Proteção de Dados?
LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, sancionada em agosto de 2018. Ela estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
Com a LGPD, o país entra para o rol dos 120 países que possuem lei específica para a proteção de dados pessoais. A nova lei irá preencher lacunas para substituir e/ou complementar a estrutura de mais de 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados no país hoje.
Mais informações na nossa matriz cruzada da LGPD versus as normas ISO 27701, ISO 27001 e 27002, uma planilha que cruza todos os dados e tem como objetivo permitir uma visualização fácil para o entendimento dos pontos comuns da lei.
Implementar a Gestão de Segurança da Informação usando a ISO vai me ajudar com a LGPD?
Sim, principalmente se utilizar a ISO 27701 como complemento ao SGSI baseado na ISO 27001, que precisará ser implementado. Quando uma organização decide melhorar sua segurança da informação, o que a liderança deve compreender primariamente é que isso será muito mais que comprar um firewall ou antivírus, deverá ser uma mudança na forma de pensar sobre o tema e ajustes na cultura organizacional, ou seja, uma transformação positiva e necessária nos tempos atuais. É isso mesmo, segurança da informação não é somente segurança da tecnologia da informação (T.I.).
Dados pessoais de clientes, funcionários, informações que permeiam processos, a forma com que este ciclo da informação é gerenciado e protegido, riscos na cadeia de suprimentos, riscos operacionais, cibernéticos, físicos e ambientais (local de trabalho e operação), educação e difusão do conhecimento para todos na empresa e a criação de um ambiente e ecossistema para uma proteção global do negócio, são alguns desses benefícios, que a médio prazo poderão se tornar valor percebido pelos clientes, acionistas ou investidores aumentando a qualidade do negócio, e melhorando a competitividade nacional e internacional.
Um dos requisitos mais importantes que a LGPD nos traz como necessidade de adequação, é a capacidade da empresa em entender onde estão os dados e informações a serem protegidas, e obrigar as organizações a terem identificação dos riscos relacionados a privacidade, bem como, nomear um encarregado de dados (DPO) para promover educação e ser o promotor da gestão de riscos adequada para as informações privadas operadas ou controladas pela empresa.
Além disso, a empresa precisa ter condições de minimizar os riscos relacionados através da implementação de controles de detecção, análise, resposta e gerenciamento de crises frente a ameaça de acesso ou vazamento de dados privados, sejam de clientes ou de funcionários. Uma condição empresarial é em grande parte endereçada quando se implementa um SGSI seguindo a ISO 27001 e 27701.
Para que gerenciar os riscos cibernéticos ou de segurança da informação?
Gerenciar riscos é algo comum nas empresas, porém, nas últimas décadas com o avanço da internet os riscos cibernéticos e relacionados a tecnologias aumentaram exponencialmente. Segundo o Global Risk Report, relatório de riscos globais, gerado anualmente pelo WEF – World Economic Fórum, estes riscos estão 4 vezes maiores ano a ano, e com as novas tecnologias como 5G, IoT (Internet das coisas) e I.A. (Inteligência artificial), eles aumentarão ainda mais. Porém, ao mesmo tempo que os riscos aumentam, as oportunidades de negócios e novos negócios também aumentam para as empresas que sabem lidar adequadamente com essas ameaças e gerenciá-las.
Um exemplo prático para entendermos o que é esse gerenciamento é se, por acaso, você compartilhar documentos confidenciais ou bases de dados privados, por e-mail ou na internet através de meios ou ambientes sem segurança. As chances desses documentos ou bases serem acessados por pessoas não autorizadas, hackeados ou vazados são maiores sem a segurança da informação ativa e contínua. Um bom SGSI combina equilibradamente controles normativos, processuais, tecnológicos e humanos, permitindo que sua empresa faça isso de forma segura, monitorada e com qualidade.
É como um airbag ou dispositivo de segurança instalado no seu carro que está lá pra protegê-lo, criando condições e detecções para que possa enfrentar as mais difíceis viagens com maior controle, autonomia e segurança. As empresas precisam entrar nesse novo momento socioeconômico e utilizar todos os recursos da internet, comércio eletrônico, dispositivos IOT, 5G, vídeo chamadas, home office seguro e etc. Tudo isso representa melhor eficiência, redução de custos, capacidade, capilaridade e aumento da competitividade, o que é ideal para empresas pequenas e médias.
Gestão de segurança da informação e cibersegurança?
Por fim, o que podemos concluir? Primeiro, gestão de segurança da informação não é uma função unicamente técnica, ou de T.I, trata-se de uma mudança cultural, adequações de processos, envolvimento contínuo dos líderes, investimentos e educação para que todos na empresa sejam parte da segurança e do tratamento dos riscos continuamente.
Quanto antes a empresa buscar conhecimento, apoio consultivo e educacional para treinar seus líderes e equipes, se tornará mais segura em consciência e atitude. E quanto antes começar a implementação, por conta própria ou com apoio consultivo de um SGSI usando as melhores práticas internacionais ISO (27001 e 27701) se tornará mais competitiva, resiliente, segura e aumentará seu valor no mercado.
Se ficou interessado (a) e quer aprimorar sua carreira, conheça os cursos abaixo:
- MBA em Gestão e tecnologia em Segurança da Informação, o curso que vem demandando cada vez mais atenção das empresas.
- Auditor Líder ISO 27001, o treinamento que vai te ajudar a obter conhecimento e habilidade na hora de realizar auditorias internas e externas.
Assista ao Webinar: O papel do CSO durante crises e pós-crises: Como garantir a segurança de informações e processos, ministrado por Jeferson D’Addario, presidente do Grupo DARYUS, especialista em segurança da informação e cibersegurança, auditor líder nas normas ISO 27001 e 22301, professor e coordenador de MBA no tema, palestrante e consultor com mais de 20 anos de experiência em implementação de SGSI, Gestão de Riscos e Continuidade de Negócios.
