fbpx

O mercado exige, cada vez mais, que as empresas tenham condições de manter a segurança da informação, ou seja, proteger todos os dados confidenciais que estão sob sua guarda. Com isso, várias organizações estão buscando a certificação ou aderência de seus processo com a ISO 27001.

As ISOs são as principais garantias de normatização e padronização de processos em diversos campos do conhecimento e, entre elas, a mais famosa é certamente a ISO 9001.

No campo da segurança da informação, também contamos com uma norma que visa garantir que todos os processos da empresa estão de acordo com os padrões internacionais. Neste post, vamos mostrar um pouco mais sobre essa certificação e como adequar-se a suas normas. Confira!

O que é ISO 27001?

As ISOs são desenvolvidas e controladas pela International Organization for Standardization, uma entidade de padronização internacional fundada em Genebra, no ano de 1947, e respeitada mundialmente.

Entre suas principais certificações está a ISO 27001, que se refere à segurança da informação nas empresas. Sua origem está atrelada ao lançamento de um documento com o mesmo objetivo pelo Governo Britânico em 1992.

A partir daí, a preocupação com a segurança dos dados e de seu nível de exposição dentro das organizações só aumentou, dando início a uma busca por normatização na área e contribuindo para o surgimento do padrão ISO 27001.

Desde o seu desenvolvimento, milhares de profissionais de TI contribuíram, por meio de seus conhecimentos, para a evolução da norma até os dias de hoje. Essas mudanças continuarão ocorrendo conforme novas técnicas e ameaças forem surgindo.

A ISO 27001 adota uma organização que se estrutura segundo um conjunto de requisitos, processos e controles, de forma a garantir a segurança de todos os dados em fluxo pela empresa, evitando ao máximo qualquer exposição desnecessária.

Como a certificação deve ser obtida?

Milhões de organizações ao redor do globo utilizam as técnicas descritas na norma ISO 27001, usufruindo de todos os seus benefícios. Caso deseje, uma empresa pode passar pela análise da ISO, com o objetivo de certificar-se e demonstrar ao mercado que mantém o padrão de segurança em todos os seus processos.

Contudo, é preciso que a organização esteja realmente de acordo com todos os padrões descritos na norma para garantir o acesso à certificação, pois, caso contrário, ela lhe será negada.

Com isso, é preciso fazer uma análise profunda em todos os processos realizados na empresa, em busca de algum tipo de falta de conformidade, que deva ser corrigida para obtenção da certificação.

Benefícios da certificação

O principal benefício da ISO 27001 é garantir, a todos os seus clientes e demais parceiros de negócio, que sua empresa aplica os principais padrões de segurança da informação em seus processos e com isso ganhar a confiança do mercado.

Outro ponto é garantir a confiabilidade das informações e evitar riscos de perdas de dados, que podem prejudicar não só a imagem da empresa como também as suas operações.

Tempo para a certificação

O trabalho para obter a certificação não se resume apenas à sua aplicação, é preciso um bom tempo para implementação de todos os requisitos, análise e adaptação para, enfim, conquistar seu objetivo. Considerando todas as etapas, uma boa estimativa do tempo para a certificação seria algo assim:

  • preparação: um a dois meses;
  • diagnóstico: um a três meses;
  • implementação: um a quatro meses;
  • operação: três a seis meses;
  • certificação: um mês.

Tendo em vista que tudo sairá na mais perfeita ordem e não haverá nenhum tipo de imprevisto, é possível concluir todo o processo em, no mínimo, sete meses desde o início até a certificação.

O que é análise de gap?

O processo de análise de todos os processos da empresa em relação às normas estabelecidas pela ISO 27001 é chamada de análise de lacunas ou de gaps, sendo que cada uma dos gaps descritas deverá ser comparada com as referências do padrão.

Esse processo é obrigatório para as empresas que buscam a certificação e, por meio dele, é possível verificar todos os pontos que não foram implementados e ainda carecem de atenção, antes mesmo de realizar sua aplicação.

Como é realizada uma análise de gaps?

A análise de gaps é baseada em monitoramento e medição. Mesmo que os dois termos possam ser parecidos e confundidos muitas vezes, têm significados distintos.

Enquanto monitorar é algo basicamente simples, bastando verificar alterações, a medição necessita levantar diversas informações, como valores, unidades e dimensões.

Por meio dessas duas ações é possível realizar uma avaliação precisa acerca de seus processos e a implementação ou não dos padrões estabelecidos na norma ISO 27001.

Isso pode ser realizado de duas maneiras distintas. A primeira seria por meio de uma auditoria utilizando uma lista de controle, verificando o que está totalmente, parcialmente ou não implementado, sendo que pode ser não aplicável a depender do item.

Já a segunda maneira de realizar análise de gap pode ser por meio da aplicação de um modelo de maturidade, como os utilizados no framework COBIT, passando por cinco níveis de maturação até que seja alcançado o objetivo.

Qual a importância da análise de gaps?

Além de um requisito para a certificação, a análise de gaps permite à empresa identificar todos os processos que não estão em conformidade com os padrões internacionais de segurança da informação.

Diversas empresas, que não focam na certificação, utilizam a análise de gaps da mesma forma, com o intuito de garantir que suas atividades estão de acordo com o sugerido pelas maiores autoridades na área.

Qual a diferença entre análise de gaps e análise de riscos?

É comum que seja confundida a análise de lacunas com a de riscos. Trata-se, porém, de duas atividades distintas e com objetivos diferentes. A análise de riscos busca por ameaças, foca em analisar as vulnerabilidades nos ativos e necessidade de controles para tratar os riscos existentes em seu negócio.

Já a análise de gaps verifica se esses controles cumprem todos os requisitos de normatização existentes na ISO. Ou seja, ela não exige que sejam criadas novas formas de controlar ameaças, apenas implementar e controlar a padronização das já existentes.

A ISO 27001 é a principal certificação de padronização em segurança da informação e obtê-la traz a garantia, a todos os seus clientes e parceiros de negócios, de que sua empresa é confiável.

Curtiu este post? Seus amigos e colegas certamente vão curtir também. Então, compartilhe agora mesmo em suas redes sociais!