ISO 27001: para que serve e como obter a certificação?

ISO 27001: para que serve e como obter a certificação?
Share on twitter
Share on facebook
Share on whatsapp
Share on email

A segurança da informação  é uma questão cada vez mais relevante no cenário digital e globalizado em que vivemos. Para lidar com problemas relacionados ao tema, dentre outros mecanismos, foi criada a ISO 27001, uma norma de padronização.

ISO 27001 é a mais popular norma de segurança da informação, servindo como referência para milhares de empresas ao redor do mundo. Mas você sabe para que serve essa norma?

O que é a ISO 27001?

A norma ISO 27001 é o padrão de referência internacional para um Sistema de Gestão da Segurança da Informação (SGSI), ou Information Security Management System (ISMS), em inglês.

Ela foi publicada pela International Standardization Organization (ISO) e pelo International Electrotechnical Commission (IEC) e, por isso, também é chamada de ISO/IEC 27001.

A ISO, sigla para Organização Internacional de Padronização, em português, é um órgão de reconhecimento mundial que já publicou mais de 22 padrões internacionais.

Suas normas são adotadas por cerca de 11 países. No Brasil sua representante é a ABNT (Associação Brasileira de Normas Técnicas). Portanto, por aqui, as normas levam o nome de ABNT NBR ISO/IEC, seguido do seu número de representação.

A norma ISO 27001, especificamente, descreve uma série de diretrizes que têm como objetivo padronizar os processos e controles de gestão de segurança da informação dentro de uma organização.

Além disso, a ISO/IEC 27001, é a primeira da família de normas da série 27000. Além dela, ainda existem outras importantes normas dessa família, como:

  • 27000 ISO/IEC: descreve a definição das nomenclaturas posteriormente utilizadas nas demais normas da família;
  • 27002 ISO/IEC determina diretrizes para a implementação da gestão de segurança da informação em uma organização;
  • 27003 ISO/IEC: contempla um guia de implementação da norma ISO 27001;
  • 27004 ISO/IEC: fornece diretrizes para o desenvolvimento e uso de métricas que procuram avaliar a eficácia de um SGSI implementado em uma organização, bem como de seus controles;
  • 27005 ISO/IEC: norma destinada à gestão de riscos na segurança da informação dentro da organização;
  • 27006 ISO/IEC: apresenta requisitos para empresas que prestam auditoria e certificação de sistemas sobre segurança da informação.

A família ainda apresenta outras normas relacionadas ao SGSI, fora as aqui descritas. Contudo, as 27001 e 27002 são consideradas as principais e devem ser aplicadas em conjunto. As demais constituem guias de boas práticas.

Vale mencionar, ainda, que a ISO 27001 IEC é a única passível de certificação. Mas falaremos sobre isso mais a frente.

Para que serve a norma ISO 27001?

A norma 27001, bem como as outras da família, trata-se de uma abordagem sistemática para a proteção de informações confidenciais dentro de uma organização.

Isso porque umas das principais preocupações hoje diz respeito à confiança no tratamento adequado de informações e dados sensíveis dentro de uma empresa.

Essa preocupação pode partir da própria empresa, onde suas informações são extremamente relevantes e até confidenciais, de um possível fornecedor ou parceiro e até mesmo de clientes que forneçam seus dados pessoais para a organização.

Portanto, para garantir a segurança da informação, prevenir-se de ataques e agir estrategicamente, é necessário possuir processos fortes e estruturados.

Para chegar a isso, uma série de pontos precisam ser observados. Com esse intuito existe a norma de padronização, para assegurar que uma organização atenda a todas as exigências para um SGSI adequado.

Assim, a adoção à norma ISO de Segurança da Informação serve para garantir a adesão de um conjunto de requisitos, processos e controles que procuram gerir os riscos de forma apropriada.

A norma tem como foco os princípios de confidencialidade, integridade e disponibilidade da informação. Em síntese, ela visa a identificação de riscos, definição de estratégias para sua mitigação e implementação de salvaguardas.

Assim, as organizações que desejam adequar-se à norma podem implementar suas diretrizes e solicitar sua certificação, uma garantia de que a empresa está de acordo com os padrões estabelecidos.

Qual a importância da adoção à norma?

A existência da norma, no entanto, não significa que todas as organizações sejam obrigadas a seguirem-na. Mas sua adesão à ela pode ser uma decisão estratégica e benéfica aos negócios.

Isso porque a ISO 27001 garante a adequação do SGSI, o que fornece a segurança de que as informações de clientes, parceiros e fornecedores estão sendo bem geridas, fortalecendo a imagem da organização.

Assim, na prática, uma empresa com certificação ISO 27001 assegura ao mercado sua preocupação e compromisso com a gestão e segurança da informação, o que eleva o nível de confiança de outras organizações e clientes.

Fora isso, a adequação às diretrizes da norma também é benéfica para os processos da empresa, permitindo que ela opere com mais segurança.

Outro fator de extrema relevância, que demonstra a importância da adequação às diretrizes da norma ISO segurança da informação, tem a ver com a criação das leis de proteção e privacidade de dados nos últimos anos.

A primeira a regulamentar a forma com que as empresas coletam, armazenam, utilizam e tratam os dados foi a União Europeia, com a criação do GDPR, sigla em inglês para Regulamento Geral sobre Proteção de Dados.

Seguindo os passos da Área Econômica Europeia (AEE), o Brasil publicou em 2018 a Lei Geral de Proteção de Dados (LGPD).

As leis, tanto brasileira como europeia, obrigam as organizações atuantes nos dois territórios a adequarem-se aos seus dispositivos sob a pena de sanções e multas em casos de descumprimento.

Dessa forma, a observância da norma ISO 27001 já sinaliza um grande passo em busca dessa conformidade, assegurando que essas empresas previnam-se das penalidades determinadas em lei.

Quer se tornar um especialista em LGPD e GDPR certificado pela EXIN? Clique e tenha acesso às primeiras vagas e desconto exclusivo!

Benefícios da adoção da norma ISO

Portanto, podemos pontuar como sendo os principais benefícios da observância da norma:

  1. demonstração de comprometimento da organização com o SGSI;
  2. aumento de confiança e satisfação das partes interessadas e dos clientes, o que promove, também, aumento do potencial de captação de novos negócios;
  3. identificação de riscos e definição de estratégias de controles para gerenciá-los ou eliminá-los;
  4. identificação de oportunidades para melhorias;
  5. aumento da confiabilidade e segurança da informação nos sistemas no tocante à confidencialidade, disponibilidade e integridade;
  6. garantia de conformidade com a legislação de privacidade e proteção de dados pessoais;
  7. melhor desempenho operacional da empresa;
  8. atendimento às expectativas mais sensíveis.

Como implantar a norma?

O que é a ISO 27001?

Agora que você compreendeu a importância da norma, é hora de saber como implantar ISO 27001.

Para realizar a sua implementação é preciso seguir as diretrizes abordadas na ISO 27003. Essa norma fornece um guia e detalha passo a passo o processo de implementação da 27001.

Contudo, existem cinco passos simples e necessários para a implantação do compliance ISO 27001 à organização, descritos a seguir.

  1. Entendimento do contexto da empresa: a primeira etapa tem como objetivo compreender as características e necessidades da empresa, a fim de identificar e estabelecer as políticas e objetivos internos de segurança da informação;
  2. Avaliação dos riscos: o segundo passo é a realização da avaliação de riscos, isto é, a identificação das fragilidades dos processos internos e os riscos que envolvem a segurança da informação. A partir disso, cria-se uma classificação de risco para os tópicos identificados;
  3. Implementação de controles operacionais: o terceiro passo visa a implementação de controles operacionais nos processos, a fim de controlar, eliminar ou mitigar a classificação dos riscos identificados no tópico anterior;
  4. Análise de eficácia: na quarta etapa é preciso realizar uma análise dos resultados obtidos com a implementação dos controles operacionais, identificando aquilo que tem sido eficaz ou não. Essa é a fase em que a empresa realiza uma auditoria;
  5. Melhoria contínua: por fim, o último passo consiste na contínua melhoria a partir da obtenção da certificação, garantindo que a organização esteja em constante monitoramento dos riscos e possíveis novos controles operacionais.

Como obter a certificação ISO/IEC 27001?

A certificação ISO/IEC 27001 pode ser aplicada tanto para empresas como para indivíduos. No entanto, aqui vamos nos ater apenas ao procedimento realizado nas empresas.

Como já mencionamos no tópico anterior, a certificação precede a implementação das diretrizes da norma. Em seguida, a empresa deve se submeter a uma auditoria externa especializada no processo de certificação.

No entanto, a organização auditada deve verificar a conformidade da empresa auditora com a norma ISO/IEC 27006, que apresenta os requisitos exigidos para empresas que prestam auditoria e certificação.

A auditoria é realizada nos seguintes estágios.

  1. Primeiro estágio – análise preliminar, onde verifica-se a existência da documentação necessária para a gestão;
  2. Segundo estágio – avaliação profunda e detalhada, verificando a existência e a eficácia de aplicação dos controles.

Em síntese, a certificação de uma empresa na norma ISO 27001 significa que um organismo certificador independente auditou e confirmou que determinada empresa implementou a segurança da informação em conformidade com a norma.

Após a primeira emissão, a renovação do certificado ISO 27001 depende de auditorias periódicas que asseguram que determinada organização continua em plena operação dos padrões SGSI.

Para conhecer a norma ISO 27001 com mais propriedade, implementá-la à organização e obter a certificação, uma boa alternativa é a realização de um curso simples e completo sobre o tema.

O ISO 27001 curso mais reconhecido do mercado é o Information Security Foundation (ISFS), que aborda:

  • os conceitos, o valor da informação e da importância da confiabilidade;
  • compreensão de ameaças e riscos, bem como a relação entre ameaças e confiabilidade;
  • fundamentação da abordagem e organização da Segurança da Informação, como política de segurança e organização de papéis de responsabilidades;
  • detalhamento de medidas de segurança da informação, como controles de segurança física, técnica e organizacional.

Além disso, após a realização desse curso, o profissional também estará pronto para a certificação ISFS da Exin, empresa de certificações reconhecida no mercado de TI; estando apto à aplicação da norma à organização.

Você pode encontrar o curso Information Security Foundation aqui no Certifiquei e garantir o entendimento completo da norma ISO 27001.

Denis Zeferino
Denis Zeferino
Denis Zeferino é Data Protection Officer (DPO) certificado pela EXIN. Bacharel em Ciência da Computação e pós-graduado em Gestão de Infraestrutura de TI, Segurança da Informação e Cybersecurity. Tem mais de 15 anos de experiência, conciliando sua vida profissional entre o universo da Tecnologia e Segurança da Informação e da Educação. É membro da Associação Nacional dos Profissionais de Privacidade de Dados e dedicado a levar o entendimento da LGPD e Proteção de Dados aos alunos do Certifiquei.

relacionadas