Seidor
Contato
  • Talento
  • Home >
  • Blog >
  • ISO 27001: Protegendo a informação sensível na era digital
Protegiendo la información

21 de junho de 2023

ISO 27001: Protegendo a informação sensível na era digital

  • A norma ISO 27001 estabelece os requisitos para a gestão da segurança da informação nas organizações, proporcionando uma estrutura organizada e sistemática
  • A normativa ISO 27001 implementa e melhora um sistema de gestão de segurança da informação, incluindo a proteção de dados contra ameaças internas e externas
  • Enquanto a norma ISO 27001 é um padrão internacional de gestão de segurança da informação, a ENS é uma normativa espanhola focada principalmente no setor público
  • A certificação ISO 27001 mostra o compromisso de uma organização com a proteção de dados, transmitindo confiança e credibilidade aos stakeholders, e aborda aspectos como a comunicação segura, a criptografia e o cumprimento normativo, como o RGPD.
SEIDOR

A relevância da proteção da informação digital

Toda organização que requerer de um enfoque sistemático e estruturado de gestão da segurança da informação conta com a normativa internacional ISO 27001. Trata-se de uma norma que delimita os requisitos para estabelecer, implementar, manter e melhorar um sistema de gestão de segurança da informação (SGSI) na organização.

Desenvolvida pela Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC), trata-se de um padrão que fornece uma estrutura confiável para a proteção dos dados contra ameaças internas e externas. Além disso, esta norma promove o desenvolvimento de uma cultura de segurança dentro de cada empresa, alinhada com o cumprimento de todos os tipos de requisitos legais, regulamentares e contratuais.

Assim, uma empresa que salvaguarda e protege informações é também uma empresa que envia sinais de confiança de seus clientes. Ao obter a certificação ISO 27001, qualquer entidade explicita seu compromisso com a proteção dos dados e com a confidencialidade, um atributo que transmite confiabilidade e credibilidade aos diferentes stakeholders da organização.

A implementação da norma ISO 27001

É importante destacar que a implementação da norma ISO 27001 incorpora as referências normativas que asseguram que se leve em conta a experiência e o conhecimento acumulado no âmbito da segurança da informação. Dessa forma, com as referências à norma, estabelece-se uma base sólida para a implementação de controles de segurança e a gestão de riscos.

Além disso, o sistema inclui a gestão de ativos de informação na organização, incluindo os armazenados em sistemas, redes, documentos impressos, registros físicos, entre outros. Além disso, devem ser estabelecidas medidas de proteção adequadas para cada ativo identificado, considerando seu valor, criticidade e realizando uma análise de riscos associados. Além dessa análise, também se estabelece sua gestão, articulada através de linhas de ação que incluem sua avaliação sistemática, com o objetivo de mitigar seu impacto negativo.

Neste marco normativo, também entra em jogo a cibersegurança, pois boa parte das atuais ameaças para uma empresa provêm de elementos como os ataques de hackers, o malware e as tentativas de phishing. Os protocolos e requisitos ISO 27001 estão alinhados com os critérios do Instituto Nacional de Cibersegurança (INCIBE).

Neste sentido, é preciso destacar que a norma aborda diretamente as comunicações, em relação à segurança da informação, zelando pela proteção de sua confidencialidade, integridade e disponibilidade da informação, durante sua transmissão, e que estabelece requisitos específicos para garantir uma comunicação segura.

ISO 27001 na Nuvem: Proteção em ambiente cloud

Além disso, a aplicação da ISO 27001 também estende seu efeito até o ambiente da informação hospedada na nuvem, pois implica avaliar os riscos associados a estar depositada nesse ambiente, além de estabelecer critérios para selecionar fornecedores confiáveis, implementar controles de segurança adequados e garantir a continuidade do negócio e a recuperação dos dados na nuvem.

É importante destacar que a norma aponta a criptografia como uma das medidas de controle eficazes para proteger a confidencialidade, integridade e disponibilidade da informação. Assim, por meio da criptografia, é possível codificar e decodificar a informação, garantindo que apenas as partes autorizadas possam acessá-la.

Além disso, entre os requisitos específicos da norma ISO 27001 está o controle de acessos, cuja finalidade é garantir que apenas as pessoas autorizadas acessem os ativos de informação e os sistemas. Com esse controle, minimiza-se o risco de brechas de segurança e violações da confidencialidade.

A soma dos aspectos anteriormente expostos torna a norma ISO 27001 um sistema completo, alinhado com o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, que estabelece os requisitos para a salvaguarda das informações pessoais nos países membros. Sua efetividade, potencializada pela sua aplicação no uso de algoritmos e técnicas de criptografia modernos, torna a normativa uma base sólida com uma margem de erro cada vez menor.

É importante destacar que a norma ISO 27001 fornece uma estrutura geral, mas cada organização deve adaptar seus controles e medidas de proteção de dados de acordo com suas próprias necessidades e requisitos específicos. Além disso, esta norma não garante automaticamente o cumprimento de todas as leis e regulamentos de proteção de dados, como o cumprimento do RGPD, mas pode ser uma ferramenta útil para estabelecer uma base sólida para a proteção de dados dentro de uma organização.

Como principal responsável pela segurança da informação dentro de uma organização, o CISO (Chief Information Security Officer), seu papel é estabelecer e supervisionar a estratégia e os programas de segurança da informação da organização e, geralmente, é o responsável por liderar a implementação e conformidade com a norma ISO 27001 dentro da organização.

Finalmente, cabe destacar que, em Espanha existe outra norma que estabelece os requisitos e procedimentos no âmbito da Segurança da Informação como é o Esquema Nacional de Segurança (ENS). Esta norma, unicamente de âmbito nacional, é de cumprimento obrigatório para administrações públicas e empresas do setor privado que prestem serviços digitais a entidades públicas. Embora ambas as normas sejam eficazes para estabelecer um modelo de Gestão da Segurança da Informação, a ISO 27001 tem um enfoque mais generalista ao estabelecer requisitos de segurança de uma empresa, proporcionando mais flexibilidade entre as medidas de segurança e a operação da empresa. Por sua vez, o ENS estabelece de maneira mais granular os controles de segurança necessários, baseando-se na categorização dos sistemas de informação da empresa em função da sua criticidade e impacto. Ambas as normas têm um processo de certificação mediante uma auditoria externa, renovável a cada 2 anos no caso do ENS e a cada 3 anos no caso da ISO 27001 com um acompanhamento anual.

Autor

SEIDOR

A SEIDOR é uma consultora tecnológica que oferece um portefólio completo de soluções e serviços que abrangem Inteligência Artificial, Edge, Experiência do Cliente, Experiência do Colaborador, ERP, Dados, Modernização de Aplicações, Cloud, Conectividade e Cibersegurança. Com um volume de negócios de 894 milhões de euros em 2023 e uma equipa composta por mais de 10.000 profissionais altamente qualificados, a SEIDOR está presente em 45 países na Europa, América Latina, Estados Unidos, Médio Oriente, África e Ásia. A consultora é parceira dos principais líderes tecnológicos.