fbpx

Tudo sobre a ISO 27001: a norma que guiará sua empresa na implantação de um sistema de gestão de segurança da informação

Nos últimos tempos, tem sido comum ouvir nos noticiários que determinada empresa foi alvo de ataques cibernéticos. Essas ações são muitas vezes comandadas por hackers que “sequestram” informações importantes do ambiente violado em troca de dinheiro.

Geralmente, durante os ataques, os hackers sequestram milhares de informações sensíveis e sigilosas da organização, e as deixam vazar. O que acaba causando prejuízo de proporções inestimáveis à empresa violada.

Um exemplo real do prejuízo causado por estes ataques é o caso que envolveu a empresa Adobe em 2019. Nessa ocasião os hackers roubaram informações pessoais de mais de 153 milhões de usuários, como nome, senha, e números de cartão de crédito. Por sorte da empresa, esses dados estavam criptografados e não puderam ser utilizados pelos criminosos. Esta invasão custou à Adobe um total de US$1 milhão, a título de indenização em favor dos usuários afetados.

A alta recorrência de crimes virtuais no mundo tem feito com que cada vez mais empresas se preocupem com a segurança de suas informações digitais. Inclusive, atualmente contamos com auditorias internas realizadas exatamente com esta finalidade: mensurar e averiguar o quanto a organização se preocupa e investe na gestão de segurança de informações.

Em razão do número recorrente de crimes virtuais que vem assombrando organizações em volta do mundo, o requisito segurança das informações tem sido, cada vez mais, alvo de consideráveis investimentos pelas organizações.

E, quando o assunto é segurança de informações virtuais, vale a pena citar a ISO 27001, norma técnica de alcance internacional, que visa padronizar a gestão de segurança da informação das organizações. Além disso, essa norma dispõe sobre controles que operacionalizam muitos dos regulamentos de privacidade e proteção de dados ao redor do mundo.

Assim, tendo em vista que o cenário atual tem feito com que a procura pela certificação nesta ISO seja cada vez maior no meio empresarial. No artigo de hoje vamos explorar os pontos mais quentes sobre a ISO 27001, e assim, sanar de uma vez por todas qualquer dúvida que você ainda tenha sobre o tema!

O QUE É SEGURANÇA DA INFORMAÇÃO?

É a preservação da confidencialidade, integridade e disponibilidade das informações, três atributos que se tratam dos pilares da ISO 27001.

A confidencialidade consiste na propriedade de que determinadas informações e dados não são disponibilizadas para indivíduos e organização não autorizados.

A integridade significa que os dados protegidos são válidos. Eles estão alinhados de acordo com realidade, são manipulados de maneira correta e somente por pessoas autorizadas.

Disponibilidade é a garantia de que as informações são plenamente acessíveis e utilizáveis, sob demanda, por uma organização autorizada.

COMO A NORMA ISO 27001 PODE SER APLICADA?

Basicamente, o primeiro passo é implantar, dentro da empresa, uma Política de Segurança da Informação, e iniciá-la através do mapeamento de todos os dados digitais que estão sob responsabilidade da empresa. Em seguida, detectar eventuais falhas de segurança e de privacidade existentes no armazenamento e manipulação destes dados.

Diga-se de passagem, podem ser consideradas falhas de segurança a deficiência na gestão de acesso, erro na frequência de backups, ausência de procedimento corretos de segurança; ausência de treinamento do pessoal que manipula os dados; ausência de capacitação necessária no setor de TI, etc.

Este contexto de mapear dados e reconhecer pontos fracos na segurança destes é de indispensável importância, uma vez que é através deste trabalho que a empresa, além de se autoconhecer, terá em mãos uma base para encontrar diagnósticos capazes de minimizar ou até mesmo sanar os problemas existentes em sua segurança digital.

No entanto, é importante ter em mente que a norma não trará de forma clara como resolver cada tipo de problema. Porém, por meio de métodos, acaba trazendo qual caminho a ser seguido em determinadas situações. Por exemplo: a norma não será clara quanto a frequência necessária para se realizar backup de dados, porém, através de seus princípios e metodologia, munirá o indivíduo de conhecimento hábil o suficiente para indicar qual a melhor frequência para realização de backups, de acordo com o volume de dados e/ou necessidade da empresa.

Por fim, para que a implantação da ISO 27001 seja eficaz, também é importante que , no momento de mapear os riscos, a empresa defina o seguinte:

– quais os métodos e critérios utilizados para captar os riscos existentes;

–  definir quais os setores da empresa serão alvo deste mapeamento;

– como serão aplicadas as medidas corretiva e quais os principais objetivos destas.

Portanto, o foco da ISO 27001 é, de forma geral, descobrir os riscos e saná-los de forma sistemática, de maneira a garantir os três atributos de um bom sistema de gestão de segurança da informação: confidencialidade, integridade e disponibilidade.

QUAIS OS BENEFÍCIOS PARA EMPRESA?

Fique à frente da concorrência no mercado de negócios! 

Uma empresa que comprova possuir um sistema de gestão que protege seus dados digitais, no cenário econômico atual, com certeza “ganha o coração” de qualquer investidor! Afinal, com a entrada na era digital ameaçada pelos inúmeros ataques cibernéticos, ter mecanismos de proteção digital eficiente é quase uma obrigação governamental de uma empresa que se preze!

Redução Significante de Custos!

Você já parou para pensar quanto um vazamento ilegal de dados pode causar de prejuízo financeiro à empresa violada? No início deste artigo, inclusivo, trouxemos uma ocorrência real, que acabou desfalcando uma conhecida empresa do ramo de informática ao desfalque de US$1 milhão. Portanto, uma boa gestão na área de segurança de informações pode livrar sua empresa de pagamentos indenizatórios milionários, por exemplo, restando mais que demonstrado a importância da implantação desta norma para a saúde financeira das empresas

Mostre que se importa com seus colaboradores, clientes e parceiros!

Implantar um sistema de gestão de segurança demonstra que a empresa se preocupa com a proteção dos dados pessoais e sigilosos pertencentes aos terceiros que compõe sua existente. Isso demonstra um grande ato de responsabilidade social da organização, além de comprovar que sua governança possui pilares seguros, claros e que estão em conformidade com os requisitos legais ligados à segurança digital.

A segurança de informações, até recentemente, era algo que deveria ser a preocupação apenas do setor de TI da empresa. No entanto, com a era da internet, esse cenário mudou, e ter uma boa gestão de segurança de informações é algo que deve ser cultivado em todos os setores de uma organização, e ser tomado como uma cultura por todos os colaboradores.

Ter uma certificação ISO 27001, além de ser um diferencial competitivo, também está se tornando uma questão de sobrevivência no mercado de negócios, já que muitos fornecedores e investidores nem mesmo “dão chance” a organizações que não provem ter uma boa gestão de segurança da informação.

Rafaela Feriani

Advogada, pós graduada em Auditoria e Perícia Ambiental. Atualmente é Supervisora do Setor Jurídico da empresa Ambplan, e é responsável por gerenciar a baixa e análise de legislações a serem inseridas no sistema AmbLegis, nas áreas de meio ambiente, saúde e segurança do trabalho, responsabilidade social, qualidade, dentre outras.

Deixe seu comentário

Inscreva-se em nossa newsletter!

Receba por e-mail novos conteúdos sobre Requisitos Legais, Segurança do Trabalho, Meio Ambiente e Responsabilidade Social.