São Paulo/SP – 01 de agosto de 2022. Para ajudá-los a escolher o melhor modelo que enquadra as necessidades da sua organização fizemos um comparativo entre a certificação ISO 27001 e o Relatório de Conformidade SOC 2.
*Por Kelli Ribeiro
Devido à crescente onda de ataques cibernéticos, roubo de informações e exigências cada vez maiores de órgãos reguladores, fornecedores e clientes, as organizações buscam melhorar seus processos, produtos e serviços de forma a demonstrar às partes interessadas o compromisso em proteger suas informações privadas e/ou confidenciais e garantir a disponibilidade de seus sistemas.
Atualmente, as organizações precisam atender a inúmeras visitas dos auditores de seus clientes e responder a diversas solicitações para preencher questionários de segurança detalhados ou listas de verificação sobre o ambiente de controle.
As certificações podem, de maneira geral, ajudar a comprovar o compromisso de sua empresa com a segurança de suas informações, bem como sua eficácia em atender as necessidades de acordo com seus clientes fortalecendo sua confiança em um ambiente cada vez mais competitivo.
Para ajudá-los a escolher o melhor modelo que enquadra as necessidades da sua organização fizemos um comparativo entre a certificação ISO 27001 e o Relatório de Conformidade SOC 2.
Diferenças entre SOC2 e ISO 27001
1 – Atestado x Certificação
O SOC 2 é um relatório de testes dos controles de segurança, ou seja, um Relatório de Auditoria de Segurança.
O relatório SOC2 é dividido em dois tipos. O Tipo 1 requer uma descrição de gerenciamento dos controles de sua organização e eficácia de curto prazo. Já o relatório SOC2 Tipo 2 demanda um atestado provido pelo Instituto Americano de Contadores Públicos Certificados (AICPA) sobre os controles de segurança observados ao longo do tempo, em períodos de 6 ou 12 meses. Se ambos cumprirem os requisitos do AICPA e todos os controles de segurança atenderem aos “princípios de serviço de confiança”, um relatório de auditoria completo contendo a opinião do auditor é entregue à Organização.
Por outro lado, a ISO 27001 tem como foco o desenvolvimento e manutenção de um SGSI (Sistema de Gestão de Segurança da Informação), que é um método abrangente de gerenciamento de práticas de proteção de dados. Para estar em conformidade a organização deve realizar uma avaliação de risco, identificar e implementar controles de segurança e revisar regularmente sua eficácia.
A ISO27001 avalia o desempenho de todo o Sistema de Gestão de Segurança da Informação (SGSI) ao longo do tempo e fornece um Selo de Certificação.
Ao adotar a ISO27001 você terá um Sistema de Gestão de Segurança da Informação mais completo e poderá acelerar a escolha do SOC2, caso seja do interesse da organização. Essa ordem facilitará o processo, otimizando tempo e recursos, caso haja interesse em ambas as certificações para escolher a estrutura de segurança adequada para sua organização.
2 – Reconhecimento da Certificação
Ambas as certificações são reconhecidas globalmente, contudo o SOC 2 é amplamente utilizado nos Estados Unidos. Agora, se sua organização pretende fazer negócios internacionalmente, a ISO27001 é aceita e poderá facilitar sua entrada em novos mercados.
3 – Tempo de Implementação
Para determinar o tempo de implementação devemos avaliar o escopo e o nível de maturidade de cada organização. Normalmente o tempo de conclusão dos relatórios SOC2 dos Tipos I e II leva de 6 meses a um ano.
A ISO27001 geralmente leva de 06 a 12 meses para ser concluída, devido ao processo adicional e documentação necessários para implementação completa de um Sistema de Gestão de Segurança da Informação.
Conclusão
Concluímos que nenhuma estrutura de controles é única e podemos combinar ambas para agregar maior valor a organização e entregar um serviço mais seguro aos clientes. A Safeway pode ajudar a sua empresa no processo de implementação, bem como avaliar a melhor estrutura de certificação de acordo com o seu mercado, tipos de clientes e as exigências de seus fornecedores e órgãos reguladores.
— Kelli Ribeiro é Privacy Information Security Manager [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
