O que é a ISO 27001? É o padrão internacionalmente reconhecido para o gerenciamento da segurança da informação em uma organização. É uma especificação para um sistema de gerenciamento de segurança da informação (ISMS). Um ISMS é uma estrutura de políticas e procedimentos que inclui todos os controles legais, físicos e técnicos envolvidos nos processos de gerenciamento de riscos de informações de uma organização.
Por que isso é importante?
A proteção de dados nunca foi uma parte tão importante dos processos de negócios como agora. Com o Regulamento Geral de Proteção de Dados (GDPR) da UE e a grande quantidade de violações de dados que chegam aos noticiários, é importante que sua empresa e seus fornecedores estejam preparados e tenham sistemas e processos de segurança implementados.
A ISO 27001 foi criada para ajudar as organizações a monitorar, analisar, manter e aprimorar seus sistemas de gerenciamento de segurança da informação. As normas ajudam a garantir que os riscos de segurança de uma empresa sejam gerenciados de forma econômica e enviam uma mensagem valiosa e importante aos clientes e parceiros comerciais: esta empresa faz as coisas da maneira correta.
O que realmente é necessário para obter uma certificação ISO 27001?
Talvez você saiba que alguns de seus fornecedores de software têm certificação ISO 27001. Mas o que isso realmente significa?
Se uma organização tiver a certificação 27001, isso significa que sua gerência e equipe estão comprometidas não apenas com a manutenção, mas também com a melhoria contínua do gerenciamento e dos controles de segurança da organização.
A ISO 27001 usa uma abordagem baseada em riscos e é neutra em termos de tecnologia. Ela inclui detalhes sobre documentação, responsabilidade da gerência, auditorias internas, melhoria contínua e ações corretivas e preventivas. No entanto, ela não descreve os controles específicos a serem usados, mas sim uma lista de verificação de recomendações.
Para se preparar para a certificação ISO 27001, a empresa precisa concluir as seis etapas a seguir:
- Definir uma política de segurança.
- Definir o escopo do ISMS.
- Realizar uma avaliação de riscos.
- Gerenciar os riscos identificados.
- Selecione os objetivos de controle e os controles a serem implementados.
- Prepare uma declaração de aplicabilidade.
A ISO 27001 também exige que a empresa avalie frequentemente o progresso e o desempenho de sua segurança da informação. Isso é dividido em três ações principais:
-
Monitoramento, medição, análise e avaliação
A organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da informação.
-
Auditoria interna
A organização deve conduzir auditorias internas em intervalos planejados para fornecer informações sobre se o sistema de gestão da segurança da informação:
-
Revisão da gerência
A alta administração deve revisar o sistema de gestão de segurança da informação da organização em intervalos planejados para garantir sua contínua adequação e eficácia.
Uma garantia de segurança da informação
A maioria das organizações e empresas terá algum tipo de controle para gerenciar a segurança das informações, mas eles geralmente são implementados de forma aleatória: alguns são introduzidos para fornecer soluções específicas para problemas específicos, enquanto outros são introduzidos simplesmente por uma questão de convenção. Em última análise, a ISO 27001 foi criada como um guia e uma lista de verificação para evitar que as organizações tenham lacunas em suas estruturas e controles de segurança. Ela foi criada para facilitar sua vida, evitando problemas de segurança no futuro.