ISO-27001: conheça a certificação em segurança da informação

23 de setembro de 2020por Eduardo Ercoli0

O que é a ISO 27001 e a sua importância para as empresas após a LGPD

A ISO 27001 é a norma para um Sistema de Gestão da Segurança da Informação (SGSI). Recentemente, a norma ISO ganhou destaque no cenário brasileiro, por causa da vigência da LGPD – Lei Geral de Proteção de Dados. E você verá, então, como ser certificado também traz benefícios à sua empresa diante das novas diretrizes legais.

A adequação conforme os padrões internacionais, contudo, não possui apenas benefícios legais. Como você verá, a adequação legal também impacta as empresas em seus lucros, uma vez que, a partir de 2021, poderá haver penalidades a quem não ofereça um controle seguro das informações armazenadas. 

E isto não se aplica apenas a setores de tecnologia, TI e armazenamento de dados, mas a todas os setores da empresa. A segurança da informação ultrapassa, inclusive, os procedimentos de cybersegurança. E inclui, dessa maneira, um metodologia de gestão de riscos.

De forma simples, pode-se dizer que o que a ISO 27001 promove nas empresas é a criação de um sistema de avaliação de riscos e criação de processos de mitigação e reparação desses riscos. E isto pode se dar por políticas internas (política de compliance, por exemplo) ou por melhorias técnicas.

Conheça, então, mais sobre a ISO 27001 e de modo ela beneficia o seu negócio!

ISO 27001

O que é um sistema de gestão da segurança da informação

Em primeiro lugar, a ISO 27001, cuja versão mais recente é de 2013, descreve a metodologia de gestão da segurança da informação. Isto significa que ela implementa processos de:

  • confidencialidade; 
  • integridade; e 
  • disponibilidade da informação. 

Como explicarei abaixo, esses processos não são apenas medidas de segurança da empresa, mas passam a ser exigências legais a partir de agora.

Para garantia desses 3 processos, então, é preciso antes analisar quais as ameaças. Ou seja, quais os riscos dentro dos processos internos e externos da organização. Quais ações oferecem ameaça à confidencialidade, à integridade e à disponibilidade da informação.

A avaliação de risco depende, desse modo, de uma análise minuciosa dos caminhos percorridos por essas informações dentro do negócio. 

De que modo essas informações chegam a vocês. Por quais setores, pessoas e atividades elas passam. Quais os problemas que podem ocorrer nesse processo. Um vazamento de dados, por exemplo, por falta de criptografia.

Em seguida, é o momento de encontrar possíveis soluções para os problemas identificados. Ou, nos casos em que não seja possível impedir os riscos, ao menos mitigá-los. Veja que ainda não se encontra numa etapa de implementação propriamente dita. Isto porque, também será necessário avaliar os impactos dos riscos x danos x dificuldade de adequação para priorizar as mudanças.

Por fim, é preciso entender também o que pode ser realizado, sistematicamente, para reparar as ocorrências dos riscos identificados.

Em resumo, portanto, podemos elencar 5 etapas no processo de adequação à ISO 27001:

  • Contexto da Organização
  • Avaliação de Riscos
  • Controles Operacionais
  • Análise de Eficácia
  • Melhorias

Por que implementar a ISO 27001

Mas por que se certificar com a ISO 27001 e provar que a sua empresa segue um sistema de segurança da informação?

Os benefícios da ISO 27001, como você verá abaixo, incluem:

  • Adequação legal exigida;
  • Redução de custos;
  • Melhora de produtividade;
  • Melhora na imagem de mercado.

É importante perceber que nem sempre a adequação exigida se dará no campo técnico. Ou seja, aquela visão de gastos enormes com tecnologia de ponta e sistemas de segurança, embora seja importante. É essencial, por exemplo, manter um hardware seguro, assim como optar por bases de dados que ofereçam garantias às suas informações. 

Contudo, em muitos casos a empresa já adota softwares e equipamentos seguros. O problema está, assim, no modo como eles são utilizados. Ausência de políticas de home office, por exemplo. Falta de informação sobre processos e fluxos de dados, ou mesmo de procedimentos específicos a depender da natureza dos dados.

Claro que a produção desse material depende de estudo do contexto da empresa. Mas tudo isso pode ser resolvido com regras organizacionais repassadas aos colaboradores.

Confira mais, então!

Adequação legal e redução de custos com eventuais danos

Como mencionei antes, o primeiro benefício da ISO 27001 para a sua empresa é promover uma adequação legal, ainda que não seja o único.

Embora a LGPD – Lei Geral de Proteção de Dados, tenha sido publicada apenas em 2018, ela é parte de um processo de promoção da segurança da informação que data já do final do século XX. A ISO 27001, por sua vez, entra nesse processo e se baseia em documentos de 1992 em prol da proteção das informações dentro das organizações. Portanto, os 5 anos que separam a edição da norma ISO e a lei brasileira são parte de um processo de adequação das normas jurídicas a um movimento global.

No entanto, não é apenas com a LGPD que as empresas precisam se preocupar. Principalmente para as empresas que querem manter relações em países da União Europeia, é preciso observar as diretrizes da GDPR. Mesmo que a LGPD tenha se inspirado na legislação europeia, comportam algumas diferenças que devem ser observadas no campo prático.

Os benefícios legais também repercutem em benefícios econômicos, pelos seguintes vieses:

  • de um lado, mitigam-se riscos e os eventuais custos com a reparação desses riscos, como pagamento de indenizações por danos morais ou perdas contratuais;
  • de outro, evitam-se as multas agora previstas para o mal uso ou tratamento das informações.

Para isso, é preciso considerar ainda que os custos de adequação às diretrizes da ISO 27001 são consideravelmente mais baixos que os custos de eventuais danos. Por vezes, a técnica já está implementada. E dessa maneira, basta apenas a definição de políticas e processos internos.

Melhora nos processos e na imagem da empresa para o mercado

E por falar em processos internos, defini-los leva a outro benefício: a produtividade da empresa. 

Quando os colaboradores sabem exatamente os processos que devem cumprir em seu trabalho, este flui melhor. Há menos perda de tempo com dúvidas e com a correção dos próprios atos. 

Além disso, quanto antes a sua empresa promover essa adequação, menos trabalho terá com um adequação posterior. Entrar no mercado com processos já conforme princípios da segurança da informação é uma grande vantagem.

Por fim, ter um sistema de segurança informação e ser certificado com a ISO 27001 é positivo para a imagem da empresa diante de clientes e stakeholders. Principalmente com a LGPD a segurança nas relações de troca de informações importa cada vez mais, porque pode impactar outras pessoas. E para clientes, é um aval de que a sua empresa lida com suas informações de forma cuidadosa. 

ISO 27001 e LGPD: a necessidade da segurança da informação 

A Lei Geral de Proteção de Dados Pessoais (LGPD), enfim, entrou em vigor em agosto de 2020. E passou a exigir das empresas esses cuidados com as informações pessoais gerenciadas, com a definição, inclusive, de um DPO (Data Protection Officer). Isto é, uma pessoa encarregada por manter, avaliar e conduzir os processos de segurança da informação.

A lei dispõe “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

É importante observar que a LGPD visa a proteção de dados pessoais, ou seja, dados que possam identificar a pessoa natural. Já a ISO 27001 dispõe sobre processos de segurança da informação de maneira geral. Ou seja, abarca mais informações que a LGPD, mas não dispõe sobre todas as especificidade da lei.

A ISO 27001 não é uma obrigatoriedade, mas indica que a empresa já está no caminho para a adequação à LGPD, cujas penalidades podem ser aplicadas a partir de 2021. E grandes empresas se baseiam nas diretrizes da norma ISO para promover seus processos de adequação legal.

Portanto, o ideal é conciliar a certificação à legislação, inclusive porque a adequação legal é parte dos requisitos da norma ISO.

Quer receber uma certificação ISO? Entre em contato com a Ercoli Consultoria e receba uma proposta!

 

Eduardo Ercoli

Eduardo Ercoli

Diretor Geral e sócio da Ercoli Consultoria, Engenheiro Civil (UFPR), Pós-Graduado em Planejamento e Gerenciamento Estratégico (PUC/PR), Lead-Auditor ISO-9001, ISO-14001, SA-8000, Consultor e Instrutor Credenciado do SEBRAE/SC em Gestão de Processos, Consultor Sênior com 23 anos de experiência em consultoria empresarial, Parceiro comercial do organismo de certificação Italiano RINA, Atuou como auditor de organismo de certificação Suíço SGS por 10 anos. Atuação como consultor em empresas de prestação de serviços e indústrias de diversos ramos de atividades.

Deixa um comentário

Your email address will not be published. Required fields are marked *

ERCOLI CONSULTORIANossos contatos
Estamos atentos ao seu contato.
(47) 9 8831-9595
NOSSA LOCALIZAÇÃOOnde nos encontrar
https://ercoliconsultoria.com.br/wp-content/uploads/2020/08/img-footer-map-ercoli.png
Blumenau/SC: R. XV de Novembro, 1336 – 12º andar, Sala 120 – Centro
ENTRE EM CONTATORedes sociais da Ercoli
Faça parte da nossa rede de contatos

Ercoli Consultoria. Todos os direitos reservados.

Ercoli Consultoria. Todos os direitos reservados.