Qualquer profissional que tenha o mínimo de familiaridade com cibersegurança certamente já ouviu falar sobre a ISO 27001 (e seus complementos). Contudo, muitos ainda têm dúvidas sobre a real importância dessa normativa, quais são os benefícios de conseguir tal certificação (que, dependendo do caso, pode levar meses) e qual é o papel da conscientização do fator humano nesse processo.
Antes de mais nada, vale a pena esclarecer que, diferente da Lei Geral de Proteção de Dados (LGPD) ou da General Data Protection Regulation (GDPR), a ISO/IEC 27001, tal como suas sequências 27002 até a 27006, não são legislações obrigatórias. São padrões de qualidade que atestam que as empresas estão em conformidade com as melhores práticas de sistemas de gestão de segurança da informação (SGSI).
Como seu nome sugere, elas são mantidas e atualizadas pela International Organization for Standardization (ISO), entidade globalmente conhecida por criar normativas de qualidade, como a ISO 9001. Para a família 27001, ela conta com a parceria da International Electrotechnical Commission (IEC); daí surge o nome completo da norma, ISO/IEC 27001. Sua versão mais recente data de 2022.
Ora, se a ISO 27001 não é uma lei, nenhuma empresa é obrigada a adotar suas recomendações. Porém, em um mercado cada vez mais competitivo, seguir as instruções da padronização e conquistar a certificação de conformidade (adquirida após a empresa passar por uma série de auditorias rígidas) significa mostrar ao mercado que o seu negócio está de acordo com as melhores práticas globais no que diz respeito a segurança de dados.
Em outras palavras, é um verdadeiro atestado de qualidade, que abre portas para parcerias e fechamento de novos negócios ao demonstrar para o mercado que a sua companhia está em dia com o que há de mais apropriado quando o assunto é proteção de informações. Sem falar que, mantendo compliance com a ISO 27001, a corporação automaticamente estará a “meio caminho andado” para garantir compliance com as legislações citadas.
Conheça a família completa 27000:
Vale a pena observar que, embora estejamos falando de seis padrões distintos, apenas a ISO/IEC 27001 é passível de certificação acreditada.
A ISO 27001 é uma norma altamente complexa e abrangente, englobando planejamentos, operações, avaliações de desempenho, melhorias contínuas e assim por diante, sempre com o objetivo de avaliar e tratar riscos de segurança da informação. São diversas orientações práticas que ajudam as empresas a subir o nível de suas estratégias de proteção de dados contra as ameaças existentes.
Contudo, uma cláusula específica costuma ser deixada de lado por muitos gestores: a 7.3, batizada de “Conscientização”. Como seu nome sugere, ela aponta que a força de trabalho inteira deve estar preparada para participar do ecossistema de SGSI. Ela afirma que “indivíduos trabalhando sob o controle da organização” devem estar cientes da:
Indo além, no anexo A 6.3 da versão mais recente da ISO 27001, temos a adição de mais instruções de controle para manter um programa de conscientização para todos os colaboradores, incluindo o uso de webinars, cursos online, módulos de e-learning, simulações de incidentes e tudo mais o que tiver à disposição para garantir um treinamento eficaz e contínuo.
Se você precisa de ajuda nesse ponto, saiba que a Eskive possui 14 anos de experiência no mercado em redução do risco humano e conscientização de colaboradores, tendo auxiliado dezenas de empresas a passar por auditorias para conquistar essa e outras certificações de qualidade.
Possuímos uma metodologia própria que facilita a tarefa de atestar a existência de um programa de treinamento eficaz e contínuo.
São diversos módulos com jornadas de aprendizagem, simulações realistas de ataques e relatórios intuitivos que demonstram o nível de maturidade da equipe. Converse conosco e confira como podemos lhe ajudar sem onerar sua equipe de SI e com um investimento acessível!