Compartilhando experiências, estratégias e soluções ligadas à Segurança da Informação

ISO 27001 estabelece padrões em segurança da informação

07/out/2015

 

segurança da informação

Segurança da Informação

Segurança da Informação – Comprometimento da direção da empresa garante agilidade no processo de certificação

 

Mariana Izidoro

Para quem busca seguir um padrão internacional em segurança da informação, a ISO 27001 e a 27002 (da International Organization for Standardization) são as certificações indicadas, pois estabelecem os padrões de gestão e de controle para as melhores práticas de segurança da informação nas empresas.

“Elas abordam as recomendações de apoio e comprometimento da alta administração, definem como a política de segurança da informação deve estar montada, o que deve abranger e quais tipos de controle e registro são necessários”, diz Kleber Melo, fundador e presidente da consultoria Mindsec Segurança e Tecnologia.

A série ISO 27000 estabelece padrões de conformidade em segurança da informação, assim como a ISO 9000, mais conhecida, abrange padrões de qualidade.

A certificação ISO 27001 ocorre de maneira casada com a ISO 27002, pois a primeira trata das diretrizes e políticas em segurança da informação, enquanto a segunda aborda controles e gestão. Ambas podem ser obtidas por qualquer tipo de empresa e foram editadas em português em 2006, substituindo a BS 7799-2 (British Standard).

Como segundo passo de evolução, existem outras certificações da série 27000 voltadas para particularidades de cada setor da economia. “A ISO 27779, por exemplo, é para o setor de saúde. Ela trabalha em conjunto com a 27001 e 27002, mas tem controles específicos para o segmento de saúde”, explica Melo.

O fundador da Mindsec conta que as empresas adequam a ISO 27001 e a 27002 às demandas de cada ramo de atuação. “Os conceitos e os controles são os mesmos, mas as empresas fortalecem ou aplicam esses conceitos de maneira diferente, de acordo com os sistemas e tecnologias que usam”, diz.

Enquanto uma empresa do setor automobilístico pode estar mais preocupada com o risco vazamento de um projeto, um e-commerce se preocupa com a exposição de dados dos clientes e assim por diante.

Fazendo uma analogia, ter a certificação seria como obter um diploma de graduação, resultado de conhecimentos adquiridos durante anos de estudo.

“Algumas empresas querem tirar a certificação por uma questão administrativa e de vantagem competitiva, para mostrar aos concorrentes e clientes que seguem os padrões. Já outras não se preocupam com o selo ISO, apesar de seguirem os padrões. De qualquer maneira, o mais importante é ter os controles padronizados de acordo com os níveis de risco da empresa”, diz Kleber Melo.

O prazo para a realização da autoria externa para obtenção da ISO 27001 e da ISO 27002 varia muito de empresa para empresa. “Companhias mais maduras que só querem confirmar seus controles conseguem a certificação rapidamente, em poucos meses. Outras são muito cruas, daí podem demorar seis meses, um ano ou até mais”, conta fundador da Mindsec. Os custos para certificação também variam de acordo com o porte da empresa e de quais áreas serão certificadas.

Na visão de Kleber Melo, o sucesso da certificação depende do envolvimento das equipes dos vários setores e da prioridade dada pela direção, pois hoje a segurança da informação abrange os negócios de uma maneira ampla.

“Antigamente as empresas tinham sistemas centralizados, não existia a internet e não existiam muitos problemas de segurança. Conforme o mercado foi criando novas tecnologias e sistemas, com os microcomputadores, a mobilidade e agora a internet das coisas, novas demandas de controle surgiram e as empresas buscam um padrão internacional”, diz.

    Tags:
  • Segurança da Informação
  • Segurança digital
  • segurança em rede
  • segurança corporativa
  • segurança sistemas de informação
  • segurança em sistemas de informação
  • segurança wi fi

Voltar