Segurança da Informação e ISO 27001

O que é a ISO 27001?

A ISO 27001 é um padrão para sistemas de gestão da segurança da informação. A norma foi publicada em outubro de 2005 pelo ISO – International Organization for Standardization – e pela International Electrotechnical Commission.  Aqui, a norma será tratada como ISO 27001, mas o nome completo é ABNT NBR ISO/IEC 27001. Sendo que, a regulação dispõe sobre Tecnologia da Informação, técnicas de segurança e sistemas de gerência da segurança da informação.

A ISO 27001 foi elaborada com o intuito de viabilizar um modelo para SGSI – Sistema de Gestão de Segurança da Informação. Para isso, a norma padroniza questões de implantação, operação, monitoramento, análise, manutenção e melhoria da segurança. Assim como acontece com outros padrões ISO, a norma combina as melhores práticas do segmento e permite certificação.

No caso específico da ISO 27001, a certificação garante que a empresa implementou um sistema para gerência da segurança da informação, sendo um selo de credibilidade. Portanto, a certificação confere confiança à empresa e também parceiros, clientes e auditores. Com abrangência e validade internacional, a 1ª versão da ISO 27001, de 2005, foi desenvolvida com base na Norma Britânica BS 7799-2. A versão mais recente foi publicada em 2013, e seu título completo é ISO/IEC 27001:2013.

A implementação da ISO 27001 pode ser realizada em qualquer organização – pública ou privada -, de qualquer segmento e independente do tamanho. A metodologia pode ser aplicada na gestão da segurança e como procedimento para certificação. Como o foco é proteger a confidencialidade, integridade e disponibilidade da informação, a ISO 27001 tem relevância indiscutível. Afinal, cada vez mais, informação é um ativo de extremo valor para as empresas, fazendo com que a segurança seja uma necessidade crítica.

A seguir, detalharemos diversos aspectos da ISO 27001 para você possa conhecer detalhes sobre a reconhecida estrutura.

Breve histórico da ISO 27001.

Como mencionado sem profundidade acima, a ISO 27001 faz referência à BS 7799-2. Publicado em 1995, a British Standard 7799 foi revisada e deu origem a ISO/IEC 17799. Em 1999, foi criada uma segunda parte da BS 7799, a supracitada BS 7799-2, que normativa a implantação de um Sistema de Gestão de Segurança da Informação. Então, a partir daí, foi criada a ISO 27001 e estabelecida em 2005. Em 2013, foi publicado uma nova revisão da ISO 27001. O foco principal da atualização foram as adaptações para a nuvem, já que Cloud Computing passou a ser muito presente no universo de TI.

Principais características da ISO 27001.

Obviamente, a norma completa é extensa. Por isso, aqui, listo apenas as principais características a fim de sintetizar a ISO 27001. Para melhor entendimento das dinâmicas, vale situar que a segurança da informação é parte da gestão de riscos e tem conexões com cibersegurança, continuidade do negócio e gestão da TI. No geral, o foco da ISO 27001 é a avaliação e o tratamento de riscos. Sendo que, a norma usa o modelo PDCA – plan-do-check-act – como estrutura para todos os processos.

A norma tem 11 seções e 3 anexos (A, B e C). Destes, as seções 0, 1, 2 e 3 são introdutórias. Nas seções de 4 a 10 estão concentradas as obrigatoriedades. Ou seja, todos os requisitos descritos nestas seções devem ser implementados. Sobre os anexos, detalharei abaixo. Novamente, sintetizando, a ISO 27001 envolve análise de risco, comprometimento da alta gestão, planejamento de objetivos e estratégias, definição e disponibilização de recursos e gestão de processos de segurança.

Sobre riscos, a ISO 27001 exige análise periódica e em momentos de mudanças significativas. Como a premissa é manter a segurança da informação, a análise é criteriosa e estende-se para a avaliação de possíveis consequências e probabilidade de ocorrências. Também por isso, há responsabilização dos líderes, que precisam estar comprometidos com o SGSI, devendo garantir disponibilidade de recursos e orientação aos colaboradores. A eficiência da gestão ainda é atrelada à definição de objetivos claros e estratégias mensuráveis.

A norma estabelece uma série de competências necessárias, que precisam portanto ser atendidas com responsáveis certificados. Outra exigência importante é a documentação apropriada de toda a informação, que também é dependente de atualização constante e processos de formalização. Estes controles são inclusive úteis para o atendimento do acompanhamento, avaliação e mensuração dos objetivos, que viabilizam a análise e a melhoria contínua do SGSI.

Anexos da ISO 27001.

Como descrito acima, a ISO 27001 tem 3 anexos: A, B e C. O Anexo A é o mais conhecido, por ser normativo. Logo, é necessário que seja implementado. Já os Anexos B e C são de caráter informativo. Nos tópicos a seguir, você pode conhecer mais detalhes sobre cada anexo.

Anexo A da ISO 27001.

O Anexo A da ISO 27001 tem um catálogo de 114 controles de segurança, que a organização deve selecionar de acordo com a aplicabilidade. Aliás, o número de controles é uma das mudanças da versão 2013 em comparação com a de 2005.  Antes, o Anexo A tinha 133 controles, mas alguns requisitos foram excluídos da versão 2013, como ações preventivas e o requisito para documentar certos procedimentos. O conhecimento dos controles do Anexo A facilita na compreensão de que a segurança da informação não é restrita à TI. Artigos como Segurança em Recursos Humanos, Gestão de Ativos, Segurança Física e do Ambiente, Segurança nas Comunicações, e Relacionamento na Cadeia de Suprimento denotam a amplitude da ISO 27001.

Anexos B e C da ISO 27001.

Os Anexos B e C são informativos. O Anexo B concentra os Princípios da OECD – Organization for Economic Co-operation and Development. Esta organização tem a missão de promover políticas para melhorar questões econômicas e de bem-estar no mundo. Atuante no compartilhamento de experiências e busca por soluções para problemas comuns, a OECD publicou um documento com 9 princípios de Segurança da Informação. Destes, 7 princípios estão na ISO 27001: conscientização, responsabilidade, resposta, análise/avaliação de riscos, arquitetura e implementação de segurança, gestão de segurança e reavaliação.

Finalizando este trecho, o Anexo C tem uma tabela que apresenta a correspondência entre estas as normas de qualidade, gestão ambiental e de segurança. Portanto, um anexo útil para quem trabalha com um Sistema de Gestão Integrado – SGI.

Quais as vantagens da certificação na ISO 27001?

A implantação de um SGSI é uma decisão estratégica para uma organização. Como a norma pode ser usada para avaliar a conformidade por partes internas e externas, funciona para aferir e garantir a confiabilidade da empresa ou órgão. Outro ponto importante é a validade internacional e o reconhecimento global da ISO 27001. Ao mesclar estes dois cenários, as vantagens da certificação tornam-se nítidas e expressivas.

• Aumento da confiabilidade com todos os stakeholders;
• Mitigação de riscos e redução do impacto das ocorrências;
• Ágil adaptação, pois as informações estão documentadas e são facilmente gerenciadas;
• Ganhos para a organização interna, fluxos processuais e otimização da gestão;
• Conformidade legal e cumprimento de padrões de excelência;
• Redução de custos com a prevenção de incidentes;
• Vantagem competitiva frente à concorrência.

A certificação ISO 27001 para organizações também é vantajosa para os stakeholders da empresa ou órgão. Ou seja, os clientes, fornecedores e parceiros são beneficiados direta e indiretamente por terem um relacionamento com a organização certificada. Neste universo, a segurança da informação aproxima-se bastante da proteção de dados. Como a ISO 27001 certifica que há segurança na tratativa de informações, os stakeholders têm confiança no tratamento adequado de dados, inclusive aqueles sensíveis.

O compromisso com a proteção da informação estende-se às interações da organização certificada, portanto, as informações de terceiros serão tratadas de acordo com as melhores práticas e padrões internacionais.

Além das organizações, a certificação na ISO 27001 também é viável para indivíduos. Os benefícios de ser um profissional certificado são:

• Comprovação de conhecimento sobre SGSI;
• Possibilidade de gerenciamento de uma equipe de auditores;
• Aquisição de habilidades para planejamento e realização de auditorias em conformidade com o processo de certificação da ISO 27001;
• Reconhecimento internacional através da certificação com validade global;
• Iniciação e/ou avanço na carreira em Segurança da Informação;
• Alta demanda e mercado em ascensão.

Como as organizações se certificam na ISO 27001?

As organizações precisam provar que elas estão em conformidade com todas as cláusulas obrigatórias da norma para serem certificadas. Lembrando que, a certificação é resultado de um processo de adequação à ISO 27001. Portanto, de início, a organização precisa emergir nas exigências da norma e adaptar sua estrutura para cumprir os requisitos. Caso a empresa ou órgão prefira, este processo pode ser realizado com o suporte de consultoria especializada.

Então, a organização é submetida a uma auditoria realizada por organismo de certificação, conforme os seguintes estágios:

• Análise da documentação pelos auditores.
• Realização de auditoria no local para verificar se todas as atividades estão em conformidade com a ISO 27001 e com a documentação do SGSI.
• Emissão da certificação.
• Após o certificado ser emitido, durante os 3 anos de sua validade, os auditores verificam se a organização mantém seu SGSI em visitas de supervisão.

Obrigatoriedades para a certificação de organizações na ISO 27001.

Ainda sobre o processo de certificação para organizações, as seguintes documentações e requisitos obrigatórios precisam ser escritos e cumpridos:

• Escopo do SGSI;
• Política de segurança da informação e objetivos;
• Metodologia de avaliação de risco e de tratamento de risco;
• Declaração de aplicabilidade;
• Plano de tratamento de risco;
• Relatório de avaliação de risco;
• Definição de papéis e responsabilidades de segurança;
• Inventário de ativos;
• Uso aceitável dos ativos;
• Política de controle de acesso;
• Procedimentos operacionais para a gestão de TI;
• Princípios para projetar sistemas seguros;
• Política de segurança para fornecedores;
• Procedimento para gestão de incidente;
• Procedimentos de continuidade do negócio;
• Requisitos estatutários, regulatórios e contratuais.

Junto às documentações, os registros a seguir também são obrigatórios:

• Registros de treinamento, habilidades, experiência e qualificações;
• Resultados de monitoramento e medição;
• Programa de auditoria interna;
• Resultados de auditorias internas;
• Resultados de análises críticas pela direção;
• Resultados de ações corretivas;
• Registros (logs) de atividades de usuários, de exceções e de eventos de segurança.

Além disso, a organização pode complementar a documentação conforme necessário.

Como os indivíduos se certificam na ISO 27001?

A certificação de profissionais na ISO 27001 envolve curso e aprovação em exame. Há algumas opções de certificação, sendo que as mais comuns são Auditor Líder ISO 27001, Implementador Líder da ISO 27001 e Auditor Interno ISO 27001. A certificação atende auditores, gerentes de projetos, consultores e outros perfis que queiram dominar o processo de auditoria de um Sistema de Gestão de Segurança da Informação.

Detalharemos aqui a certificação para Auditor Líder ISO 27001 do PECB. O exame abrange o domínio das seguintes competências: princípios e conceitos fundamentais da segurança da informação; SGSI; conceitos e princípios fundamentais de auditoria; preparação de uma auditoria ISO 27001; realização de uma auditoria 27001; conclusão de uma auditoria ISO 27001 e gerenciamento de um programa de auditoria ISO 27001.

Auditor Líder ISO 27001.

A DARYUS Educação, em parceria com o PECB, realiza o curso Auditor Líder ISO 27001, que habilita profissionais no domínio técnico e desenvolvimento de competências para a condução de uma auditoria. Com 40h de duração, o curso engloba conhecimentos sobre a ISO 27001 e também sobre ISO 19011, ISO 17021 e ISO 27006.

Para saber mais, confira o whitepaper do curso Auditor Líder ISO 27001.