Sistema de segurança da informação com a ajuda da norma ISO 27001
O tema da “segurança da informação” está a tornar-se cada vez mais crucial para as empresas no contexto da transformação digital. Sem medidas de segurança adequadas, existe o risco de perda e roubo de dados por hackers, interrupções operacionais devido a ataques baseados na Web ou utilização indevida de dados. Uma alternativa para uma abordagem estruturada é um Sistema de Gestão da Segurança da Informação (SGSI) de acordo com a norma ISO 27001.
O que é a norma ISO 27001?
A ISO/IEC 27001 é a principal norma internacional para a implementação de um sistema holístico de gestão da segurança da informação. Centra-se na identificação, avaliação e gestão dos riscos dos processos de gestão da informação. A segurança das informações confidenciais é realçada como um fator estratégico vital. A informação rodeia-nos por todo o lado e faz parte de todos os processos. Por vezes, pode ser trivial, mas, com demasiada frequência, é crítica e confidencial. Para fazer esta distinção importante para a sua organização, é necessário classificar a informação. Isto porque as medidas de proteção de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a norma ISO/IEC 27001, se baseiam nesta classificação. Um SGSI cria uma estrutura para proteger os dados empresariais e a sua confidencialidade. Ao mesmo tempo, a norma reconhecida mundialmente garante a disponibilidade dos sistemas de TI envolvidos nos processos da empresa. Neste contexto, a certificação ISO 27001 envia um forte sinal ao mercado: nomeadamente, uma avaliação externa independente e a confirmação da eficácia do seu SGSI. Com a EN ISO/IEC 27001:2017-06, foi publicada uma versão coordenada pelo Comité Europeu de Normalização (CEN). Esta versão combina as duas correcções (corrigenda) Cor 1:2014 e Cor 2:2015. As alterações associadas à correção envolvem apenas uma descrição melhorada dos requisitos relacionados, mas nenhum novo requisito adicional. Os certificados de acordo com a versão ISO/IEC 27001:2013 mantêm assim a sua validade.
Para quem é adequada a certificação ISO 27001?
A norma ISMS ISO 27001 aplica-se em todo o mundo. Fornece às empresas de todas as dimensões e sectores uma estrutura para planear, implementar e monitorizar a sua segurança da informação. Os requisitos são aplicáveis e vinculativos para empresas privadas e públicas, bem como para organizações sem fins lucrativos. Por exemplo, na Alemanha, as empresas pertencentes a um sector de infra-estruturas críticas (KRITIS) e que excedam um valor limite têm de demonstrar como garantem a sua segurança da informação. Os sectores KRITIS incluem a energia, a água, a saúde, as finanças e os seguros, a alimentação, os transportes e o tráfego, as tecnologias da informação e as telecomunicações. A prova correspondente da implementação pode ser fornecida através de auditorias de segurança, testes ou certificações. Para este efeito, podem ser utilizadas como base para a auditoria normas reconhecidas como a ISO 27001 ou, em alternativa, normas de segurança específicas do sector reconhecidas pelo Serviço Federal Alemão para a Segurança da Informação (BSI).
O que torna a norma ISO 27001 útil para a minha empresa?
A implementação de um SGSI de acordo com a norma ISO/IEC 27001 é uma decisão estratégica para a sua empresa. A conformidade com os requisitos gerais intencionais da norma deve refletir a situação específica da empresa. A implementação na empresa depende das necessidades e objectivos, dos requisitos de segurança e dos processos organizacionais, bem como da dimensão e estrutura da empresa. Particularmente valiosa para a prática é a implementação das medidas do Anexo A da norma. Para além da parte dos requisitos orientados para o sistema de gestão (capítulos 4-10), a norma ISO contém uma lista abrangente de 35 objectivos de controlo com 114 medidas concretas para vários aspectos de segurança em 14 capítulos do Anexo A. As medidas devem ser implementadas no âmbito do sistema de gestão. Estas medidas devem ser implementadas como parte do sistema de gestão, na medida em que sejam relevantes para a sua empresa. Está provado que um alinhamento coerente dos processos da empresa com a norma ISO 27001 conduz a vários benefícios:
- Melhoria contínua do nível de segurança.
- Redução dos riscos existentes.
- Conformidade com os requisitos de conformidade.
- Aumento da consciencialização dos funcionários.
- Aumento da satisfação do cliente
As auditorias internas e as análises de gestão que envolvem a direção de topo são as alavancas internas para atingir este objetivo. Outros aspectos positivos incluem o facto de as partes interessadas, como as autoridades reguladoras, as companhias de seguros, os bancos e as empresas parceiras, criarem uma maior confiança na sua empresa. Isto porque um sistema de gestão certificado indica que a sua organização gere os riscos de forma estruturada e está empenhada em melhorias contínuas (CIP), tornando-a mais resistente a impactos indesejados. A norma internacional ISO/IEC 27001 também pode ser implementada, operada e certificada independentemente de outros sistemas de gestão, como a ISO 9001 (gestão da qualidade) ou a ISO 14001 (gestão ambiental).