A ISO/IEC 27001 é uma norma internacional que traz uma série de requisitos que uma empresa precisa seguir para colocar em prática um sistema de gestão de segurança da informação (SGSI). Essa norma, sem dúvida, é a minha principal referência em meu trabalho. E como já ouvi por ai, que normas são difíceis de estudar e entender, decidi dissecá-la para vocês nesta série de artigos que está começando hoje e mostrar que não é nenhum bicho de sete cabeças.
A versão mais recente desta norma é a 2022, mas a sua primeira versão foi desenvolvida com base na Norma Britânica BS 7799-2.
A norma pode ser implementada em qualquer tipo de organização, com ou sem fins lucrativos, privada ou pública, de pequena ou de grande porte. Empresas podem desejar obter a certificação para atestar que possui um SGSI, conforme a norma, mas nada impede, uma empresa, por exemplo, utilizá-la como um referência, mesmo sem ter a certificação como objetivo, o que eu recomendo fortemente.
Precisamos entender que a norma é composta de 11 seções, sendo as de 0 a 3, apenas introdutórias e as de 4 a 10 obrigatórias para as empresas que desejam alcançar a certificação. E no Anexo A, traz os famosos 93 controles, que na versão 2013 eram 114.
Para as seções obrigatórias, são descritos requisitos para que a empresa possa estabelecer, implementar, monitorar e melhorar de forma contínua o seu sistema de gestão de segurança da informação. Sendo este sistema, composto de controles relacionados a recursos humanos, físico, tecnológicos e processuais, que visam proteger os ativos de informação do negócio.
Ter um SGSI estruturado, conforme a norma exige, na mais é do que rodar o famoso PDCA (Plan, Do, Check, Act):
Percebam na imagem acima, que as seções de 4 a 7 correspondem a fase de Planejamento (Plan), a seção 8 a fase de Execução (Do), 9 a fase de Monitoramento (Check) e a 10 a fase de Melhoria (Act). Iremos mergulhar em cada uma das fases em artigos futuros.
Independente se o seu objetivo é certificar a sua empresa na norma ou buscar uma referência para segurança da informação, saiba que tomá-la como base, com certeza trará ótimos benefícios a sua empresa, como por exemplo:
Facilitar a conformidade com requisitos legais, regulamentos e ações contratuais;
Trazer uma vantagem competitiva e diferencial de mercado;
Melhorar a cultura da empresa;
Fazer com que os objetivos estratégicos passem a estar alinhados com a segurança da informação;
Trazer uma abordagem de processos para permitir que as atividades sejam executadas de forma lógica, estruturada e segura.
Hoje foi apenas uma parte introdutória, mas convido-os a acompanharem os próximos artigos da série. Vamos juntos mergulhar nessa norma maravilhosa, trarei muito das minhas experiências.
Conto com sua leitura.
Para seguir para a parte 2 da série: link.
Fontes: advisera e amanhardikar