A certificação ISO 27001 trata-se sobre sistemas de gestão de segurança da informação, atualmente se figura como uma das certificações que mais crescem em todo mundo, apresentando inúmeros desafios para organizações.
A certificação ISO 27001 – Sistemas de Gestão de Segurança da Informação apresenta uma estrutura de acordo com o Anexo SL, ou seja, a mesma estrutura de requisitos das principais normas de sistemas de gestão como a ISO 9001, ISO 14001, entre outros.
A estrutura da certificação ISO 27001 contém uma grande diferença em relação as outras normas de sistemas de gestão, o Anexo A, que estabelece objetivos de controle e seus respectivos controles de segurança da informação. A organização deve implementar esses controles em seus processos para mitigação de seus riscos de segurança da informação.
A Norma possui 114 controles diferentes desde gestão de ativos a trabalho remoto, passando por controle de acesso e gestão de redes, os controles são apresentados abaixo.
Abaixo coloco alguns diferentes tipos de controles, como um exemplo que os controles do Anexo A são diversos e podem abarcar diversos riscos de segurança da informação. A organização deve analisar criticamente cada um dos controles e verificar sua aplicabilidade, caso não aplicável a justificativa deve ser razoável o suficiente para determinar a conformidade do processo:
- Inventário dos ativos
- Gerenciamento de acesso do usuário
- Controles de entrada física
- Proteção contra códigos maliciosos
- Controles de redes
- Análise e especificação dos requisitos de segurança da informação
- Procedimentos para controle de mudanças de sistemas
- Cadeia de suprimento na tecnologia da comunicação e informação
- Avaliação e decisão dos eventos de segurança da informação
- Coleta de evidências
- Implementando a continuidade da segurança da informação
Os principais desafios na implementação de um sistema de gestão de segurança da informação e na certificação ISO 27001 é justamente como implementar cada controle de segurança da informação, esse é um processo técnico e a área de tecnologia da informação e infraestrutura da organização deve ser envolvida no projeto de implementação da norma, para que assim com uma equipe multidisciplinar o sistema de gestão seja implementado de uma forma eficaz.
Outro ponto importante que se tornam desafios na certificação ISO 27001 é a competência dos profissionais responsáveis pelo sistema de gestão, desde consultores, DPO, gerentes, etc. Em uma certificação ISO 27001 é importante que o profissional tenha conhecimento tanto sobre processos de sistemas de gestão, como conhecimento em tecnologia da informação e assuntos correlatos aos controles do Anexo A, obviamente que o melhor caminho, como citado acima, é que a organização estabeleça uma equipe multidisciplinar afim de possuir todas essas competências. Na QMS, temos um curso de formação profissional de Auditor Líder ISO 27001 e ISO 27701, essa competência fornece ao aluno os dois conhecimentos, para que assim o profissional se sinta apto em auditar e implementar um sistema de gestão de segurança da informação.
É importante também citar que a certificação ISO 27001 é um processo já maduro, a ISO 27001 está em sua versão 2013, com inúmeras organizações certificadas em todo mundo, por meio do advento das leis globais sobre privacidade de dados como LGPD, GPDR, e outras, a norma ganhou destaque nos principais comitês de governança das organizações, para assim ajudar organizações e processos no compliance digital e na governança de segurança da informação.
No fim do dia, o grande objetivo da certificação ISO 27001 é proteger organizações dos riscos de segurança da informação diversos, e assim promover um processo transparente e eficaz de governança corporativa nos assuntos de privacidade e segurança da informação, e assim com a certificação ISO 27001 poder demonstrar por meio de seu certificado que a empresa se preocupa e toma medidas nessas questões.
Recentemente fizemos um webinar explicando com mais detalhes o processo de auditoria e certificação ISO 27001 combinado com a ISO 27701, confira!
