A ISO 27001 é a principal ajuda para identificar e gerenciar riscos de segurança, e todas as organizações, de qualquer tamanho e setor, públicas e privadas, podem se beneficiar da implementação dessa norma.
Trata-se de uma norma internacional que estabelece requisitos para a implementação, a manutenção e a melhoria contínua dos sistemas de gerenciamento de segurança da informação (ISMS), que são usados para garantir a confidencialidade, a integridade e a disponibilidade das informações.
Sua implementação é realizada em diferentes fases. Durante o planejamento (avaliação), a organização avalia o trabalho necessário para estar em conformidade com a norma. Em seguida, passa-se para a fase de implementação. Nesse caso, é importante fazer um trabalho abrangente para convencer a organização a documentar e executar seus controles. Em um primeiro momento, isso pode parecer pura burocracia. Em médio prazo, é demonstrado que esses controles reduzem o impacto dos incidentes.
Em seguida, durante o processo de avaliação e certificação, a verificação é realizada pelo controle interno ou solicita-se a um órgão certificador que ateste a conformidade.
A avaliação deve ser realizada periodicamente (por exemplo, uma vez por ano). A certificação deve ser feita antes do vencimento do certificado anterior. Assim, a melhoria contínua garante a sustentabilidade da conformidade a longo prazo. A boa notícia é que, em nossa experiência, vemos cada vez mais empresas latino-americanas ganhando maturidade nessa área.
Melhor gestão de riscos, mais resiliência cibernética
As organizações que enfrentam a recertificação devem verificar os controles mais antigos e, além disso, implementar novos controles e aprimorar alguns dos já existentes. Além da questão técnica, o interessante desse processo é a maneira como ele se adapta às novas ameaças.
Houve uma mudança de 114 controles distribuídos em 14 domínios para 93 controles, reagrupados em 4 temas. Essa atualização reflete as ameaças emergentes, as tecnologias em evolução e as novas práticas empresariais. Por exemplo, o “contexto organizacional e de stakeholders” foi aprimorado e é necessária uma avaliação dos ambientes externo e interno, incluindo terceiros. Isso minimiza os riscos, pois muitos ataques ocorrem por meio da cadeia de suprimentos.
Além disso, a nova norma enfatiza a importância do compromisso da alta administração com a segurança, reforçando a integração dos compromissos de segurança nos processos organizacionais.
Em suma, a atualização da norma ISO 27001 não apenas reduz os riscos, mas também, ao gerenciar melhor os riscos de segurança e ajudar a reduzir os impactos de um incidente, ajuda as organizações a se tornarem mais resilientes ao ambiente cibernético.
