O Sistema de Gestão de Segurança da Informação preserva a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados. Em função do aumento de incidentes de segurança e perdas crescentes, sejam elas financeiras ou de credibilidade, reforçada por regulamentações e padrões nacionais e internacionais, a Segurança da Informação vem se configurando como fator indispensável para a competitividade e sucesso dos negócios.
A velocidade com que a informação hoje é veiculada por meio dos recursos tecnológicos é sinônimo de progresso e, ao mesmo tempo, de perigo. A necessidade de domínio sobre como isso é feito torna-se cada vez mais abrangente, bem como desafiador nos ambientes corporativos.
Por meio da implementação de um Sistema de Gestão de Segurança da Informação (SGSI) é possível minimizar os riscos de vazamento de informações e garantir um ambiente mais seguro e estável. Ele deve contemplar controles físicos, lógicos e comportamentais, considerando os requisitos necessários, assim como, o contexto no qual estão inseridos.
A norma ISO/IEC 27001:2013, elaborada e publicada pela ISO, que é uma organização internacional de padronização, apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação. Com uma abordagem sustentada pela Gestão de Riscos, esta norma apresenta cláusulas referentes ao contexto da organização, ao papel da liderança e seu comprometimento com o SGSI, especialmente na definição de uma política de segurança da informação que esteja em sintonia com a missão, visão, valores e objetivos da organização.
Certificar uma organização, ou um escopo dela - como, por exemplo, um processo crítico do negócio – exige o compromisso dos colaboradores e do patrocínio da alta direção. Dependendo do contexto em que a organização se encontre, investimentos em recursos humanos e tecnológicos poderão ser necessários. Além disso, uma vez implementando, o SGSI deverá ser monitorado e melhorado continuamente, condições que requerem conhecimento e experiência em Segurança da Informação.
Diante deste cenário, contar com um fornecedor certificado é uma boa estratégia tanto para empresas que desejam se certificar, como para as que exigem de seus fornecedores a mesma seriedade com que encaram o assunto SI. A ISO/IEC 27001, inclusive, possui um grupo de controles sobre o relacionamento na cadeia de suprimento. Ter essa certificação é sinônimo de seriedade no tratamento das informações geradas e custodiadas pela organização, o que inclui, é claro, as informações dos clientes. Além disso, prova o devido cuidado com os respectivos processos e sua melhoria contínua.
Referência:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS.NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro, 2013.
