Qualquer profissional que tenha o mínimo de familiaridade com cibersegurança certamente já ouviu falar sobre a ISO 27001 (e seus complementos). Contudo, muitos ainda têm dúvidas sobre a real importância dessa normativa, quais são os benefícios de conseguir tal certificação (que, dependendo do caso, pode levar meses) e qual é o papel da conscientização do fator humano nesse processo.
Antes de mais nada, vale a pena esclarecer que, diferente da Lei Geral de Proteção de Dados (LGPD) ou da General Data Protection Regulation (GDPR), a ISO/IEC 27001, tal como suas sequências 27002 até a 27006, não são legislações obrigatórias. São padrões de qualidade que atestam que as empresas estão em conformidade com as melhores práticas de sistemas de gestão de segurança da informação (SGSI).
Como seu nome sugere, elas são mantidas e atualizadas pela International Organization for Standardization (ISO), entidade globalmente conhecida por criar normativas de qualidade, como a ISO 9001. Para a família 27001, ela conta com a parceria da International Electrotechnical Commission (IEC); daí surge o nome completo da norma, ISO/IEC 27001. Sua versão mais recente data de 2022.
Afinal, qual é a importância para o meu negócio?
Ora, se a ISO 27001 não é uma lei, nenhuma empresa é obrigada a adotar suas recomendações. Porém, em um mercado cada vez mais competitivo, seguir as instruções da padronização e conquistar a certificação de conformidade (adquirida após a empresa passar por uma série de auditorias rígidas) significa mostrar ao mercado que o seu negócio está de acordo com as melhores práticas globais no que diz respeito a segurança de dados.
Em outras palavras, é um verdadeiro atestado de qualidade, que abre portas para parcerias e fechamento de novos negócios ao demonstrar para o mercado que a sua companhia está em dia com o que há de mais apropriado quando o assunto é proteção de informações. Sem falar que, mantendo compliance com a ISO 27001, a corporação automaticamente estará a “meio caminho andado” para garantir compliance com as legislações citadas.
Conheça a família completa 27000:
- ISO 27001 - Sistema de Gestão da Segurança da Informação;
- ISO 27002 - Tecnologia da informação - Técnicas de segurança - Guia de Boas prática para controles de segurança da informação
- ISO 27003 - Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Orientação;
- ISO 27004 - Tecnologia da informação - Técnicas de segurança - Gestão da segurança da informação - Monitorização, medição, análise e avaliação;
- ISO 27005 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos na segurança da informação;
- ISO 27006 - Tecnologia da informação - Técnicas de segurança - Requisitos para os organismos que fornecem auditoria e certificação de sistemas de gestão de segurança da informação.
Vale a pena observar que, embora estejamos falando de seis padrões distintos, apenas a ISO/IEC 27001 é passível de certificação acreditada.
Como a Eskive está ajudando em senhas mais seguras
A ISO 27001 é uma norma altamente complexa e abrangente, englobando planejamentos, operações, avaliações de desempenho, melhorias contínuas e assim por diante, sempre com o objetivo de avaliar e tratar riscos de segurança da informação. São diversas orientações práticas que ajudam as empresas a subir o nível de suas estratégias de proteção de dados contra as ameaças existentes.
Contudo, uma cláusula específica costuma ser deixada de lado por muitos gestores: a 7.3, batizada de “Conscientização”. Como seu nome sugere, ela aponta que a força de trabalho inteira deve estar preparada para participar do ecossistema de SGSI. Ela afirma que “indivíduos trabalhando sob o controle da organização” devem estar cientes da:
- Política de segurança da informação;
- Sua contribuição para a efetividade do sistema de gestão de segurança da informação, incluindo os benefícios de um desempenho otimizado de segurança da informação, e as implicações de não-conformidade com os requerimentos de SGSI.
Indo além, no anexo A 6.3 da versão mais recente da ISO 27001, temos a adição de mais instruções de controle para manter um programa de conscientização para todos os colaboradores, incluindo o uso de webinars, cursos online, módulos de e-learning, simulações de incidentes e tudo mais o que tiver à disposição para garantir um treinamento eficaz e contínuo.
Conte com a Eskive
Se você precisa de ajuda nesse ponto, saiba que a Eskive possui 14 anos de experiência no mercado em redução do risco humano e conscientização de colaboradores, tendo auxiliado dezenas de empresas a passar por auditorias para conquistar essa e outras certificações de qualidade.
Possuímos uma metodologia própria que facilita a tarefa de atestar a existência de um programa de treinamento eficaz e contínuo.
São diversos módulos com jornadas de aprendizagem, simulações realistas de ataques e relatórios intuitivos que demonstram o nível de maturidade da equipe. Converse conosco e confira como podemos lhe ajudar sem onerar sua equipe de SI e com um investimento acessível!
