O que é ISO 27001?

A ISO 27001 é uma norma certificável que atesta que sua empresa cumpre os requisitos do International Organization for Standardization (ISO) para gestão da segurança da informação. Seu conteúdo descreve o que é necessário para a implementação de um robusto Sistema de Gestão de Segurança da Informação (SGSI).

O crescente número de vazamentos de informações de usuários nos diversos sites e serviços de armazenamento, como o Facebook, iCloud, etc., evidencia a importância da ISO 27001. Apenas em 2018, ocorreram 1505 violações de dados que levaram ao comprometimento de aproximadamente 5 bilhões de registros de dados no mundo inteiro (fonte: Breach Level Index – Índice de Nível de Violação).

Conforme a BLI, o roubo de identidade continua sendo o principal tipo de violação de dados, seguido de acessos financeiros. O conjunto de requisitos descritos pela ISO 27001 auxilia a organização a proteger-se contra esses problemas e vários outros perigos relacionados à segurança da informação. Neste artigo sobre ISO 27001, você poderá entender:

Porque razão devemos implementar os requisitos da norma ISO 27001

A ISO 27001 fornece todo um framework completo para ajudá-lo a implementar um sistema de gestão que protege os ativos de informação e a sua empresa, reduzindo risco de litígios e tempo de parada.

Com os dados da empresa cada vez mais acessíveis, é importante minimizar sua vulnerabilidade a violações de segurança. Independentemente do tipo de informação, seja ela dados financeiros, código de software de computador ou listas de clientes/fornecedores, ou como ela é armazenada, são necessários controles de segurança robustos.

Com uma estratégia de segurança clara, você pode garantir aos interessados, especialmente aos clientes, que suas informações pessoais estão sempre protegidas. A adoção da ISO 27001 demonstra que sua organização está usando uma abordagem de mitigação de risco para selecionar e implementar controles de segurança da informação.

Inicialmente, pode-se pensar que a implementação de um SGSI pode ser um dreno de recursos, oferecendo pouco retorno financeiro. Na prática, os custos serão compensados pela prevenção e redução do impacto e da frequência dos incidentes de segurança.

A ISO 27001 tornou-se um padrão comumente usado para a criação de um SGSI e é cada vez mais especificado como requisito obrigatório para acordos contratuais.

Requisitos para certificação ISO 27001

A norma ISO 27001 é composta de cinco seções que estabelecem os requisitos principais e um apêndice que contém controles de segurança, cada um com objetivos e foco específicos, organizados nos seguintes grupos:

• Política de segurança: fornecer orientação de gerenciamento e suporte para segurança de informações de acordo com os requisitos de negócios e leis e regulamentos relevantes.
• Organização da segurança da informação: Gerenciar a segurança da informação dentro da organização e manter a segurança das informações da organização e das instalações de processamento que são acessadas, processadas, comunicadas ou gerenciadas por terceiros.
• Gestão de ativos: Alcançar e manter a proteção de ativos organizacionais.
• Segurança de recursos humanos: Garantir que funcionários, contratados e terceiros entendam suas responsabilidades e sejam adequados para as funções para as quais são considerados, estejam cientes das ameaças à segurança das informações e saiam da organização ou troquem de emprego de maneira ordenada.
• Segurança física e ambiental: Impedir o acesso físico não autorizado, danos e interferência nas instalações e informações da organização. Para evitar perda, dano, roubo ou comprometimento de ativos e interrupção das atividades da organização.
• Gerenciamento de comunicações e operações: ajudar a garantir que as informações sejam processadas corretamente, com um backup seguro e tratadas adequadamente.
• Controle de acesso: ajudar a controlar o acesso a informações, redes e aplicativos, impedindo acesso não autorizado, interferência, danos e roubo.
• Aquisição, desenvolvimento e manutenção de sistemas de informação: garantir que a segurança seja parte integrante do sistema de informação, ajudando a proteger aplicações, arquivos e reduzindo vulnerabilidades.
• Gerenciamento de incidentes de segurança de informação: garantir que as violações e os problemas de segurança das informações sejam comunicados de forma consistente, de modo a permitir a tomada de ações corretivas em tempo hábil.
• Gerenciamento de continuidade de negócios: Garantir a neutralização de interrupções nas atividades de negócios e proteger processos críticos de negócios contra os efeitos de falhas ou desastres de sistemas de informações importantes.
• Conformidade: Evitar violações de qualquer lei, obrigação estatutária, regulamentar ou contratual e de quaisquer requisitos de segurança. Garantir a conformidade dos sistemas com políticas e padrões de segurança organizacionais.

É importante ressaltar que a norma ISO 27001 também requer que os seguintes pontos sejam estabelecidos e mantidos:

• Escopo do SGSI (cláusula 4.3)
• Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)
• Metodologia de avaliação de risco e de tratamento de risco (cláusula 6.1.2)
• Declaração de aplicabilidade (cláusula 6.1.3 d)
• Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
• Relatório de avaliação de risco (cláusula 8.2)
• Definição de papéis e responsabilidades de segurança (cláusulas A.7.1.2 e A.13.2.4)
• Inventário de ativos (cláusula A.8.1.1)
• Uso aceitável dos ativos (cláusula A.8.1.3)
• Política de controle de acesso (cláusula A.9.1.1)
• Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)
• Princípios para projetar sistemas seguros (cláusula A.14.2.5)
• Política de segurança para fornecedores (cláusula A.15.1.1)
• Procedimento para gestão de incidentes (cláusula A.16.1.5)
• Procedimentos de continuidade do negócio (cláusula A.17.1.2)
• Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)

Além destes ativos, os seguintes registros são obrigatórios para que a empresa se certifique na norma:

• Registros de treinamento, habilidades, experiência e qualificações (cláusula 7.2)
• Resultados de monitoramento e medição (cláusula 9.1)
• Programa de auditoria interna (cláusula 9.2)
• Resultados de auditorias internas (cláusula 9.2)
• Resultados de análises críticas pela direção (cláusula 9.3)
• Resultados de ações corretivas (cláusula 10.1)