O que é a ISO 27001 e a sua importância para as empresas após a LGPD
A ISO 27001 é a norma para um Sistema de Gestão da Segurança da Informação (SGSI). Recentemente, a norma ISO ganhou destaque no cenário brasileiro, por causa da vigência da LGPD – Lei Geral de Proteção de Dados. E você verá, então, como ser certificado também traz benefícios à sua empresa diante das novas diretrizes legais.
A adequação conforme os padrões internacionais, contudo, não possui apenas benefícios legais. Como você verá, a adequação legal também impacta as empresas em seus lucros, uma vez que, a partir de 2021, poderá haver penalidades a quem não ofereça um controle seguro das informações armazenadas.
E isto não se aplica apenas a setores de tecnologia, TI e armazenamento de dados, mas a todas os setores da empresa. A segurança da informação ultrapassa, inclusive, os procedimentos de cybersegurança. E inclui, dessa maneira, um metodologia de gestão de riscos.
De forma simples, pode-se dizer que o que a ISO 27001 promove nas empresas é a criação de um sistema de avaliação de riscos e criação de processos de mitigação e reparação desses riscos. E isto pode se dar por políticas internas (política de compliance, por exemplo) ou por melhorias técnicas.
Conheça, então, mais sobre a ISO 27001 e de modo ela beneficia o seu negócio!
O que é um sistema de gestão da segurança da informação
Em primeiro lugar, a ISO 27001, cuja versão mais recente é de 2013, descreve a metodologia de gestão da segurança da informação. Isto significa que ela implementa processos de:
- confidencialidade;
- integridade; e
- disponibilidade da informação.
Como explicarei abaixo, esses processos não são apenas medidas de segurança da empresa, mas passam a ser exigências legais a partir de agora.
Para garantia desses 3 processos, então, é preciso antes analisar quais as ameaças. Ou seja, quais os riscos dentro dos processos internos e externos da organização. Quais ações oferecem ameaça à confidencialidade, à integridade e à disponibilidade da informação.
A avaliação de risco depende, desse modo, de uma análise minuciosa dos caminhos percorridos por essas informações dentro do negócio.
De que modo essas informações chegam a vocês. Por quais setores, pessoas e atividades elas passam. Quais os problemas que podem ocorrer nesse processo. Um vazamento de dados, por exemplo, por falta de criptografia.
Em seguida, é o momento de encontrar possíveis soluções para os problemas identificados. Ou, nos casos em que não seja possível impedir os riscos, ao menos mitigá-los. Veja que ainda não se encontra numa etapa de implementação propriamente dita. Isto porque, também será necessário avaliar os impactos dos riscos x danos x dificuldade de adequação para priorizar as mudanças.
Por fim, é preciso entender também o que pode ser realizado, sistematicamente, para reparar as ocorrências dos riscos identificados.
Em resumo, portanto, podemos elencar 5 etapas no processo de adequação à ISO 27001:
- Contexto da Organização
- Avaliação de Riscos
- Controles Operacionais
- Análise de Eficácia
- Melhorias
Por que implementar a ISO 27001
Mas por que se certificar com a ISO 27001 e provar que a sua empresa segue um sistema de segurança da informação?
Os benefícios da ISO 27001, como você verá abaixo, incluem:
- Adequação legal exigida;
- Redução de custos;
- Melhora de produtividade;
- Melhora na imagem de mercado.
É importante perceber que nem sempre a adequação exigida se dará no campo técnico. Ou seja, aquela visão de gastos enormes com tecnologia de ponta e sistemas de segurança, embora seja importante. É essencial, por exemplo, manter um hardware seguro, assim como optar por bases de dados que ofereçam garantias às suas informações.
Contudo, em muitos casos a empresa já adota softwares e equipamentos seguros. O problema está, assim, no modo como eles são utilizados. Ausência de políticas de home office, por exemplo. Falta de informação sobre processos e fluxos de dados, ou mesmo de procedimentos específicos a depender da natureza dos dados.
Claro que a produção desse material depende de estudo do contexto da empresa. Mas tudo isso pode ser resolvido com regras organizacionais repassadas aos colaboradores.
Confira mais, então!
Adequação legal e redução de custos com eventuais danos
Como mencionei antes, o primeiro benefício da ISO 27001 para a sua empresa é promover uma adequação legal, ainda que não seja o único.
Embora a LGPD – Lei Geral de Proteção de Dados, tenha sido publicada apenas em 2018, ela é parte de um processo de promoção da segurança da informação que data já do final do século XX. A ISO 27001, por sua vez, entra nesse processo e se baseia em documentos de 1992 em prol da proteção das informações dentro das organizações. Portanto, os 5 anos que separam a edição da norma ISO e a lei brasileira são parte de um processo de adequação das normas jurídicas a um movimento global.
No entanto, não é apenas com a LGPD que as empresas precisam se preocupar. Principalmente para as empresas que querem manter relações em países da União Europeia, é preciso observar as diretrizes da GDPR. Mesmo que a LGPD tenha se inspirado na legislação europeia, comportam algumas diferenças que devem ser observadas no campo prático.
Os benefícios legais também repercutem em benefícios econômicos, pelos seguintes vieses:
- de um lado, mitigam-se riscos e os eventuais custos com a reparação desses riscos, como pagamento de indenizações por danos morais ou perdas contratuais;
- de outro, evitam-se as multas agora previstas para o mal uso ou tratamento das informações.
Para isso, é preciso considerar ainda que os custos de adequação às diretrizes da ISO 27001 são consideravelmente mais baixos que os custos de eventuais danos. Por vezes, a técnica já está implementada. E dessa maneira, basta apenas a definição de políticas e processos internos.
Melhora nos processos e na imagem da empresa para o mercado
E por falar em processos internos, defini-los leva a outro benefício: a produtividade da empresa.
Quando os colaboradores sabem exatamente os processos que devem cumprir em seu trabalho, este flui melhor. Há menos perda de tempo com dúvidas e com a correção dos próprios atos.
Além disso, quanto antes a sua empresa promover essa adequação, menos trabalho terá com um adequação posterior. Entrar no mercado com processos já conforme princípios da segurança da informação é uma grande vantagem.
Por fim, ter um sistema de segurança informação e ser certificado com a ISO 27001 é positivo para a imagem da empresa diante de clientes e stakeholders. Principalmente com a LGPD a segurança nas relações de troca de informações importa cada vez mais, porque pode impactar outras pessoas. E para clientes, é um aval de que a sua empresa lida com suas informações de forma cuidadosa.
ISO 27001 e LGPD: a necessidade da segurança da informação
A Lei Geral de Proteção de Dados Pessoais (LGPD), enfim, entrou em vigor em agosto de 2020. E passou a exigir das empresas esses cuidados com as informações pessoais gerenciadas, com a definição, inclusive, de um DPO (Data Protection Officer). Isto é, uma pessoa encarregada por manter, avaliar e conduzir os processos de segurança da informação.
A lei dispõe “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
É importante observar que a LGPD visa a proteção de dados pessoais, ou seja, dados que possam identificar a pessoa natural. Já a ISO 27001 dispõe sobre processos de segurança da informação de maneira geral. Ou seja, abarca mais informações que a LGPD, mas não dispõe sobre todas as especificidade da lei.
A ISO 27001 não é uma obrigatoriedade, mas indica que a empresa já está no caminho para a adequação à LGPD, cujas penalidades podem ser aplicadas a partir de 2021. E grandes empresas se baseiam nas diretrizes da norma ISO para promover seus processos de adequação legal.
Portanto, o ideal é conciliar a certificação à legislação, inclusive porque a adequação legal é parte dos requisitos da norma ISO.
Quer receber uma certificação ISO? Entre em contato com a Ercoli Consultoria e receba uma proposta!