Skip to main content

ISO 27001

*Diego Souza 

Em um mercado cada vez mais competitivo você pode se deparar com os seguintes dilemas. “O que fazer para ter um diferencial?”, “Como destacar a empresa em relação às concorrentes?”, “Meus investimentos estão surtindo o retorno esperado?”.

A evolução tecnológica trouxe à tona “problemas” para uns e “soluções” para outros, tais como: e-commerce, redes sociais, consumerização de TI/ utilização de equipamentos pessoais (smartphones, tablets, notebooks) gerando exposição e fuga de informações corporativas, uma vez que a organização não aplique controles em sua infraestrutura, ou não esteja preparada para a onda do BYOD – bring your own device e a devida conscientização de seus colaboradores.

Considerado um ativo estratégico para o negócio, a “informação” pode ser considerada um item de sobrevivência para a organização e deve receber um tratamento adequado, devendo ser protegida e gerenciada quanto ao seu armazenamento e utilização, evitando que pessoas indesejadas as acessem.

Com base nesses fatores muitas empresas buscam estar aderentes aos requisitos estabelecidos na ISO/IEC 27001, seja por uma preocupação do negócio com o vazamento de informações confidenciais, impactos tangíveis e intangíveis, ou até uma demanda proveniente de áreas comerciais ou marketing, visando a participações em editais, RFPs e/ ou maior visibilidade no mercado de atuação.

Mas, como proteger a informação? Muitas pessoas vão dizer que seria com implementação de Antivírus, Firewalls e ferramentas sofisticadas como DLP (Data Loss Prevention), o que na verdade seria a aplicação de controles apenas no pilar tecnologia. E os demais pilares (processos e pessoas), como ficam? Lembrando que quando falamos em Segurança da Informação, em um primeiro momento pensamos apenas da tecnologia, porém os pilares processos e pessoas também devem ser trabalhados, desta forma se faz necessário à aplicação de políticas e procedimentos claros, treinamentos e campanhas de conscientização, proteção legal, medidas disciplinares, entre outros métodos.

 

Por que implementar o SGSI (ISO 27001)?

Atualizada recentemente em 2013 por profissionais experientes a ISO/IEC 27001 e foi projetado para assegurar a seleção de controles de segurança adequados e para proteger os ativos de informação, além de propiciar confiança às partes interessadas.

A implementação do SGSI é composto pelo estabelecimento de objetivo de controles, diretrizes, normas, procedimentos, estrutura de trabalho e outras medidas administrativas que, de forma conjunta, definem como os objetivos de controles e controles estão implementados e gerenciados, como os ativos estão protegidos e como os riscos são gerenciados.

Os requisitos abordados na norma são genéricos e podem ser aplicados em todas as organizações, independentemente do tipo, tamanho ou natureza.

Os benefícios e retorno do investimento ao estabelecer o SGSI podem ser notados quando a organização consegue através do SGSI preservar a confidencialidade, integridade, e disponibilidade da informação. barbados Isto ocorre através da:

• Conformidade com regulamentos sobre a proteção de dados, governança de TI, instituição financeiras, telecomunicações e/ ou governamental;

• Maior confiança dos parceiros de negócio, partes interessadas e clientes;

• Redução dos custos de TI com despesas geradas com retrabalhos, processos desnecessários e/ou redundantes;

• Diminuição de incidentes com vazamento de informações e paralisação do ambiente.

Outra forma de se avaliar a geração de valor a partir da gestão de riscos implantada pelo SGSI, podendo ter:

• Governança Corporativa – Visão do negócio em nível estratégico;

• Gestão dos riscos operacionais e corporativos;

• Processos funcionais e documentados, por meio da implementação ou determinação de políticas e procedimentos;

• Apoio à gestão de segurança de infraestrutura física e lógica;

• Mecanismos para combinar recursos com outros Sistemas de Gestão, por exemplo, ISO/IEC 20000;

• Melhora na definição de papéis e responsabilidades;

• Melhoria continua utilizando o modelo PDCA;

Conclusão

Apesar da implementação do SGSI ser considerado por muitos um processo burocrático que engessa a operação com uma série de processos e controles, um SGSI bem estruturado traz tranquilidade a gestão, fazendo com que os cuidados com a Segurança da Informação sejam compartilhados e mantidos por todos colaboradores, direcionando de forma equilibrada os esforços.

Embora a implementação dos processos que compõe o SGSI possa trazer muitos benefícios para a sua organização, na maioria dos casos o investimento ocorre por uma demanda do mercado, desta forma a preocupação inicial é de fato com a certificação em si e as novas oportunidades que esta irá prover a organização, do que com os benefícios providos pela certificação.

Vale lembrar que a implementação do SGSI não possui custos exorbitantes uma vez que os custos operacionais são facilmente superados por seus inúmeros benefícios e, conforme processo de melhoria continua seus processos visam o aumento da maturidade da organização.

 

Deixe uma resposta