Empresas que estão preocupadas com a proteção das informações sensíveis dos seus negócios devem estar por dentro das estratégias e ferramentas que poderão potencializar a segurança dos dados da organização. É o caso da certificação ISO 27001, uma norma internacional que trata do padrão e da referência para gestão da Segurança da Informação.
Ao conseguir essa certificação, a empresa passa a atender uma série de requisitos que a colocam em um patamar adequado de proteção. Além disso, reforçam o seu compromisso com a Segurança da Informação de seus clientes e parceiros, tornando-se referência e, assim, mais competitiva no mercado.
Neste conteúdo, você vai entender por que a certificação ISO 27001 é tão importante, para além da Segurança da Informação. Vai conhecer também o que está previsto na norma, atualizações pelas quais ela passou, vantagens e ferramentas que auxiliam sua aplicação dentro das empresas. Continue a leitura!
O que está previsto na ISO 27001?
A ISO 27001 trata-se de um importante guia para estabelecer, implementar, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI) realmente efetivo. É considerada o padrão e a referência internacional para a gestão da Segurança da Informação, um dos pilares fundamentais para o compliance empresarial, principalmente considerando que o mundo está cada vez mais digital e interconectado.
O uso em massa de tecnologias de informação e também o surgimento de normas reguladoras como a LGPD, que cuida da proteção dos dados e informações sensíveis, tem feito com que esse tema se torne uma prioridade para negócios de todos os setores e portes.
De maneira geral, a ISO 27001 se estrutura da mesma forma que outras normas ISO, conhecida como “Anexo SL”, facilitando a integração com outras normas de sistemas de gestão, como são os casos da ISO 9001, que trata da Qualidade, e da ISO 14001, que refere-se ao Meio Ambiente. Assim, considerando que a nomenclatura e as categorias normalizadas pela ISO são usadas mundialmente, geralmente, um profissional de compliance já conhece os conceitos básicos dessa metodologia.
Compreender em detalhes os requisitos e aquilo que está previsto no sistema ISO é essencial para o sucesso na obtenção da certificação ISO 27001. Acompanhe as seções e os requisitos contemplados na norma:
Escopo e aplicação da norma
Estabelecem os limites e a abrangência do SGSI, detalhando quais partes da organização serão incluídas com a implementação da norma. Nesse momento, todos os aspectos relevantes da empresa que possam ter impacto na Segurança da Informação devem ser considerados.
Requisitos da ISO 27001
A norma traz diversos requisitos que a organização deve cumprir para, então, receber a certificação da ISO 27001. Os requisitos estão distribuídos em várias cláusulas, cada qual abordando um aspecto específico do SGSI.
Contexto da organização
Aqui, é necessário que a organização entenda quais são seus contextos interno e externo, apontando as partes interessadas relevantes e quais as expectativas de cada uma em relação à Segurança da Informação.
Liderança e comprometimento
O engajamento e investimento da alta direção da empresa com a Segurança da Informação são fundamentais para demonstrar a liderança necessária para que a implementação do SGSI tenha sucesso, da mesma maneira como ocorre em todas as áreas do compliance.
Planejamento do SGSI
Estabelecimento dos objetivos do SGSI e identificação das ações necessárias para alcançá-los. Também é realizado um processo de avaliação de riscos, para determinar os controles internos e medidas adequadas de segurança.
Suporte e recursos
Apontamento acerca da alocação de recursos, da competência necessária das pessoas envolvidas no SGSI e da necessidade de conscientização e treinamento em Segurança da Informação.
Implementação do SGSI
Momento de estabelecer e implementar os controles e medidas de segurança necessários, à medida em que são identificados no processo de avaliação de riscos.
Avaliação de desempenho e melhoria contínua
Última cláusula, quando são definidos os mecanismos para monitorar, medir e avaliar o desempenho do SGSI e também realizar uma análise crítica que garanta a atualização constante da Segurança da Informação na organização.
Versão 2022 da ISO 27001: o que mudou?
A ISO 27001 passou por uma alteração em 2023. Até janeiro daquele ano, estava em vigor a versão ISO/IEC 27001:2013. Porém, em outubro de 2022, a norma foi atualizada para a versão ISO/IEC 27001:2022, trazendo algumas mudanças com objetivo de simplificação, além da inclusão de aspectos que tratam da segurança cibernética, considerando os novos cenários que as empresas devem enfrentar. Um exemplo desse tema abordado pela nova versão de 2022 são os controles sobre tecnologia em “cloud” (nuvem) e inteligência artificial.
A nova versão também apresenta a reorganização e segmentação do Anexo A em quatro grandes categorias. Nesse anexo estão listadas as referências de controles de Segurança da Informação, sendo: controles organizacionais, controles de pessoas, controles físicos e controles tecnológicos.
Diferentemente da versão anterior, que possuía 114 controles de segurança, a de 2022 conta agora com 93. Isso porque alguns controles foram mesclados ou agrupados e 11 completamente novos foram inseridos. São eles:
- A.5.7 Inteligência de ameaças;
- A.5.23 Segurança da informação para uso de serviços na nuvem;
- A.5.30 Prontidão de TIC para continuidade dos negócios;
- A.7.4 Monitoramento de segurança física;
- A.8.9 Gerenciamento de configurações;
- A.8.10 Exclusão de informações;
- A.8.11 Mascaramento de dados;
- A.8.12 Prevenção contra vazamentos de dados;
- A.8.16 Atividades de monitoramento;
- A.8.23 Filtragem da web;
- A.8.28 Programação segura.
Vale ressaltar que as principais áreas afetadas pelas mudanças foram: alta liderança, governança corporativa, funções de TI, infraestrutura e suporte, administrativo, gestão de pessoas e recursos humanos.
Um período de transição foi definido para que as organizações consigam se adequar à nova versão. A ISO 27001:2022 foi lançada em 25 de outubro de 2022 e o cronograma de transição foi definido para três anos. Dessa forma, os que já possuem a certificação têm até outubro de 2025 para se adequar, já que os certificados atuais de 2013 precisam ser transferidos para a nova versão antes de novembro de 2025.
As empresas devem estar atentas também ao fato de que, após a auditoria externa de certificação, anualmente, as organizações passarão por uma auditoria de manutenção. Dessa forma, empresas que obtiveram o certificado ISO 27001 na versão 2013, em junho de 2022, por exemplo, pode ser mais interessante realizarem as mudanças exigidas pela nova versão imediatamente e, em junho de 2025, passar pela auditoria de manutenção na versão 2022.
A certificação ISO 27001
Para que uma empresa obtenha a certificação ISO 27001, ela deve passar por um processo de padronização e busca de conformidade que pode ser longo e complexo. Por esse motivo, normalmente, prefere-se contar com o apoio de uma consultoria certificada e especializada no assunto, para ter maior garantia do sucesso na busca pela certificação.
A organização deve passar pelo processo de adequação, auditorias internas e GAP Analysis, alcançando o percentual suficiente de conformidade. Com isso, é considerada apta a ir para a auditoria externa, que é conduzida por uma empresa certificadora, credenciada ao organismo internacional.
São definidos local e data, em seguida, os auditores externos se reúnem com a equipe responsável pela adequação da empresa à norma, com a alta liderança e representantes das áreas envolvidas, como segurança, TI e gestão de pessoas, momento em que é avaliada a documentação e o cumprimento aos requisitos.
Comumente, a auditoria externa é realizada por dois auditores, um líder e um assistente, em dois ou três dias, podendo ser feita de forma presencial ou on-line. Quando é realizada presencialmente, os custos são de responsabilidade da empresa que requer a certificação.
Como tirar a certificação ISO 27001?
Para implementar a ISO 27001 da sua empresa é preciso avaliar todas as possíveis falhas que não atendem aos requisitos da norma. Esse processo ajuda a identificar quais as áreas precisam de melhorias e como está o desempenho da empresa.
Em seguida, deve-se realizar uma avaliação formal, momento em que é verificado se os procedimentos foram desenvolvidos para fazer a avaliação da implementação dessas correções. Assim, é possível identificar se estão funcionando adequadamente, sempre considerando as diretrizes da certificação.
Na última etapa, havendo a aprovação, a empresa recebe a certificação ISO 27001, não devendo a empresa se esquecer de que todo o sistema deve ser constantemente monitorado e, em caso de apontamento de falha ou mudança, correções, ajustes e atualizações devem ser conduzidos.
Veja a seguir os principais passos envolvidos para quem deseja obter a certificação ISO 27001.
Conscientização e envolvimento por parte da alta direção
O sucesso dessa implementação está diretamente relacionado à dedicação da alta direção da empresa, que deve estar ciente da importância da Segurança da Informação e focada na busca da certificação ISO 27001. Assim, a liderança deve oferecer todo suporte necessário, com todos os recursos e também o apoio declarado ao processo.
Definição de uma equipe de projeto
Deve ser formada uma equipe que ficará totalmente responsável pela condução do processo de implementação da ISO 27001. É importante que seja uma equipe multidisciplinar, incluindo membros das diversas áreas da organização.
Avaliação inicial
Todo o contexto de Segurança da Informação que há na organização deve ser avaliado. Dentre as ações, deve-se identificar quais os ativos de informação disponíveis, realizar uma avaliação de riscos e vulnerabilidades (ou Pentest), além da análise de quais falhas há em relação aos requisitos da ISO 27001.
Implementação de um Sistema de Gestão da Segurança da Informação (SGSI)
A partir da primeira avaliação, a equipe de projeto designada deve desenvolver um Sistema de Gestão da Segurança da Informação – SGSI para atender os requisitos da ISO 27001. Devem ser estabelecidas questões como políticas de segurança, a implementação de controles de segurança relevantes e a definição de procedimentos operacionais.
Adoção de controles e medidas de segurança
Contando com um SGSI, deve-se adotar os controles e medidas de segurança definidos na etapa anterior. Nesse momento, devem ser considerados aspectos técnicos, como atualização de sistemas e firewalls, e também medidas organizacionais, como treinamento dos colaboradores e conscientização em Segurança da Informação, de forma que todos se sintam parte responsável.
Aplicação da auditoria interna
A realização de uma auditoria interna do SGSI deve garantir que todos os requisitos da ISO 27001 foram devidamente implementados e estão sendo, de fato, seguidos, antes da empresa buscar essa certificação oficial. A ideia é identificar possíveis aspectos que não estão em conformidade, além de setores que precisam de melhorias, devem essas correções serem feitas antes da auditoria para certificação.
Auditoria externa e obtenção da certificação
A contratação de uma organização de certificação independente permitirá que seja feita uma auditoria externa para verificar se o SGSI atende a todos os requisitos da ISO 27001. Após o sucesso da auditoria, a empresa finalmente poderá ser certificada.
Atenção à melhoria contínua
É muito importante que a empresa entenda que a certificação ISO 27001 não é um evento único, mas um compromisso contínuo com a Segurança da Informação do negócio. A manutenção de melhoria constante do SGSI deve garantir que essa estratégia seja realmente eficaz, considerando a realidade da empresa e as mudanças que podem vir a ocorrer nas ameaças e no ambiente operacional.
Quais são as vantagens em obter a certificação ISO 27001?
A obtenção da certificação ISO 27001 proporciona vantagens para as empresas em vários quesitos, como a garantia de uma segurança de excelência para o negócio e o cumprimento das exigências legais, com um selo internacionalmente reconhecido. É também uma vantagem competitiva no mercado e um elemento que fortalece a confiança do cliente. Veja detalhes:
- Melhoria da Segurança da Informação, aplicando boas práticas como a proteção contra acessos não autorizados, prevenção de ataques cibernéticos, garantia de confidencialidade, integridade e disponibilidade dos dados;
- Redução de riscos e vulnerabilidades, permitindo que sejam adotadas medidas adequadas para mitigar os riscos, reduzindo a probabilidade de ocorrência de incidentes de segurança;
- Aumento da confiança dos clientes e parceiros, sendo possível reforçar para clientes, fornecedores e parceiros de negócios que a Segurança da Informação é prioridade para a empresa;
- Cumprimento de requisitos legais e regulatórios, já que a certificação possibilita à organização demonstrar seu compromisso com a Segurança da Informação, fator que é considerada uma exigência para atuar em certos mercados ou setores;
- Melhoria na eficiência e produtividade, pois a ISO 27001 sistematiza e organiza toda a gestão de Segurança da Informação, resultando em processos mais eficientes e com menos falhas, de forma que a equipe não invista tanto tempo em corrigir erros;
- Diferencial competitivo, em um mercado cada vez mais sensível à proteção de dados, de forma que uma empresa certificada possa se destacar frente a outras que ainda não estão atuando sob o respaldo da certificação;
- Fortalecimento da cultura de segurança, o que pode ser alcançado com conscientização e treinamento de colaboradores, criando uma cultura voltada para a proteção dos dados e a adoção de boas práticas de segurança por todo o time.
Ferramentas e tecnologias para apoiar certificação ISO 27001
Diversas ferramentas e tecnologias que podem servir como apoio para o processo de certificação ISO 27001 nas empresas estão disponíveis no mercado. Confira algumas das principais:
- Vulnerability Scanners (Varredores de Vulnerabilidades) e Pentest: identificam e corrigem vulnerabilidades em sistemas e redes, sendo capazes de prevenir explorações de segurança;
- SIEM (Security Information and Event Management): coletam, analisam e dão resposta a dados de segurança em tempo real, identificando ameaças de forma ágil;
- Criptografia: faz a proteção de dados, seja em repouso ou em trânsito, contra acessos não autorizados por meio de criptografia;
- Reconhecimento facial e biometria: ferramentas que realizam a autenticação dos usuários considerando características físicas únicas, o que eleva a segurança de acesso, reduzindo as chances de invasões;
- IAM (Identity and Access Management): fazem a gestão das identidades e controlam o acesso a recursos, garantindo que apenas usuários autorizados tenham acesso.
Consiga a certificação ISO 27001 da sua empresa com a Prolinx!
Mais do que a garantia da Segurança da Informação e a adequação às diretrizes que tratam deste tema, a certificação ISO 27001 é uma das formas que uma organização tem de se diferenciar perante a concorrência, mostrando-se atenta às mudanças e necessidades do mercado.
A certificação depende da implantação de um Sistema de Gestão da Segurança da Informação – SGSI para atender os requisitos das normas ISO 27001, e a Prolinx pode ajudar sua empresa nessa jornada!
A Prolinx é especialista em cibersegurança e está atenta às tendências do mercado mundial de Tecnologia, Segurança e Nuvem. Entre em contato e conheça nossos serviços e soluções de Pentest, Diagnóstico de Cibersegurança, SOC e SIEM e Gestão de Acessos!
