A importância da Certificação ISO/IEC 27001 para uma organização
Temas como o volume de informações que trafegam nas mídias sociais e o aumento de ameaças que circundam o ambiente corporativo são importantes e recorrentes, o que exige investimento e atenção da Alta Direção. Mas, o que de fato temos feito para proteger os ativos da organização contra danos, furtos ou acessos indevidos? Obter uma certificação internacional pode ser um bom caminho.
A norma ISO/IEC 27001:2013, elaborada e publicada pela ISO, que é uma organização internacional de padronização, apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação – SGSI. Com uma abordagem sustentada pela Gestão de Riscos, esta norma apresenta cláusulas referentes ao Contexto da Organização, ao papel da liderança e seu comprometimento com o SGSI, especialmente na definição de uma Política de Segurança da Informação que esteja em sintonia com a missão, visão, valores e objetivos da organização. Cláusulas de Planejamento, Apoio, Operação, Avaliação do Desempenho e Melhoria também estão presentes.
Em complemento, esta norma possui controles que são implementados pela organização de acordo com a sua Declaração de Aplicabilidade, considerando os requisitos das partes interessadas, os requisitos do negócio e legais, a análise de riscos e outros requisitos identificados pela organização. Com uma abordagem mais técnica, a norma apresenta controles com temáticas como: Políticas de Segurança da Informação, Organização da Segurança da Informação, Segurança em Recursos Humanos, Gestão de Ativos, Controle de Acesso, Criptografia, Segurança Física e do Ambiente, Segurança nas Operações, Segurança nas Comunicações, Aquisição, Desenvolvimento e Manutenção de Sistemas, Relacionamento na Cadeia de Suprimento, Gestão de Incidentes de Segurança da Informação, Aspectos da Segurança da Informação na Gestão da Continuidade do Negócio e Conformidade.
Concordo que se deparar com mais de 100 controles divididos em 14 grupos pode parecer complexo em um primeiro momento, mas como esperado de um Sistema de Gestão, é possível perceber como eles interagem entre si e fluem naturalmente, quando são implementados de maneira consistente e estão alinhados com a direção estratégica da organização. Ressalto a importância das auditorias internas e externas como excelentes oportunidades de melhoria e, é claro, os programas de capacitação e conscientização em Segurança da Informação que devem constar na lista de prioridades.
Abordar a norma ISO 9000 não é o foco deste artigo. Porém, vou pegar “emprestado” o trecho que cita a reputação da organização: “O contexto no qual uma organização trabalha hoje é caracterizado pela mudança acelerada, globalização dos mercados e surgimento do conhecimento como principal recurso. O impacto da qualidade se estende para além da satisfação do cliente: ela também pode ter um impacto direto sobre a reputação da organização”.
Embora não seja o único fator para garantir a reputação de uma organização, uma Certificação ISO/IEC 27001 pode contribuir muito. Isso porque provê mais confiança e credibilidade para a operação da organização, demonstrando a clientes, colaboradores, fornecedores, parceiros, investidores e outras partes interessadas que Segurança da Informação é fundamental na operação da empresa, conforme destaca o BSI. Além disso, em tempos de tantos recursos para disseminar e “vazar” informações, preservar a confidencialidade, integridade e disponibilidade de informações é um desafio constante.
Em resumo, decidir investir em uma Certificação ISO IEC/27001 é uma questão estratégica e requer compromisso permanente, principalmente com a melhoria contínua do Sistema de Gestão de Segurança da Informação. Esse compromisso também trará benefícios nas perspectivas dos processos internos e de aprendizagem e conhecimento da organização como um todo.