Os recentes vazamentos de dados de usuários brasileiros evidenciaram um ponto fundamental: precisamos estar atentos constantemente a questões acerca da segurança da informação. Afinal, para além da consonância com a atual legislação vigente (como a Lei Geral de Proteção de Dados Pessoais – LGPD), também é preciso minimizar as chances de tornar-se alvo de uma ação de cibercriminosos no uso de tecnologias.
Por isso, essa é uma área cada vez mais trabalhada nas empresas. Ademais, os clientes estão atentos para verificar se os negócios de sua escolha estão atuando para evitar problemas com vazamentos, indisponibilidades, entre outros. Afinal, a exposição a esse tipo de situação pode trazer consequências severas e que vão além dos prejuízos financeiros.
Neste artigo, vamos falar sobre o tema e acerca da importância da ISO 27001. Para isso, contaremos com o apoio da Cibele Vasconcelos, Coordenadora de Segurança da Informação da AGE Technology. Vamos juntos? Boa leitura!
Segurança da informação
Estamos em um mundo cada vez mais digital e, com isso, os dados tornam-se um artigo importante para as organizações. Por isso, passa a ser fundamental prevenir-se contra ataques externos que possam prejudicar o funcionamento do seu negócio e, assim, minimizar a interferência de ações criminosas.
Contudo, esse não é o único ponto, como Cibele ressalta: “um SGSI (Sistema de Segurança da Informação) ajuda a prevenir o comprometimento de ativos de informação importantes para a empresa. A redução de risco de ativos de informação deve ser um dos principais objetivos para proteger informações críticas da empresa”.
ISO 27001
Como Cibele explica, “a ISO 27001 é uma norma internacional que visa a estabelecer requisitos de um Sistema de Segurança da Informação (SGSI)”, o que é fundamental para promover uma maior proteção aos dados. Assim, esse sistema “preserva a confidencialidade, a integridade e a disponibilidade por meio de uma avaliação de gestão de riscos dos processos”, como ressalta a coordenadora.
Benefícios da ISO 27001
Com o Sistema de Segurança da Informação (SGSI) implementado por meio das medidas da ISO 27001, é possível trazer uma série de benefícios para a sua empresa, como a Coordenadora de Segurança da Informação elenca:
- auxilia a prevenir ataques externos;
- auxilia a prevenir o comprometimento de ativos de informações importantes para a empresa;
- reduz o risco de ativos de informação;
- protege as informações críticas da empresa;
- aumenta a segurança da informação e dos sistemas;
- auxilia a identificar e a eliminar ameaças e vulnerabilidades;
- permite identificar melhoras contínuas;
- desenvolve o conhecimento de processos da empresa;
- aumenta a credibilidade de clientes e de parceiros.
Outro ponto que Cibele ressalta diz respeito a questões internas da organização. “Uma empresa certificada ISO 27001 tem um ganho processual porque um SGSI não envolve somente Tecnologia da Informação, mas gerenciamento de pessoas, infraestrutura, proteção legal, ambiente e informação”, ela destaca.
Além disso, ainda é viável listar alguns pontos que podem ser importantes para o seu negócio “Tem, também, um ganho comercial, pois é uma empresa que se preocupa com os seus ativos de informação e, principalmente, com os seus clientes”, gerando, assim, um aumento de confiança em todos os envolvidos.
Afinal, com uma maior conscientização sobre as consequências de dados vazados, o grande público passou a estar mais atento a essas questões e, assim, valoriza os negócios que também têm esse tipo de preocupação. Outro ponto é que, com a entrada em vigor da LGPD, tornou-se cada vez mais importante que os negócios trabalhem de forma a estar em conformidade com a legislação vigente. E, para isso, é fundamental adotar medidas que protejam as informações.
Isso porque, segundo o atual texto da lei, a negligência com a proteção dos dados é passível de sanção, que inclui:
- multa simples;
- multa diária;
- paralisação das atividades relacionadas com os dados envolvidos na infração;
- retirada dos dados envolvidos na infração;
- publicização da infração.
Há pontos de convergência entre a ISO 27001 e a LGPD, trazendo, com a aplicação das medidas previstas na norma, boas práticas, por meio da adoção do SGSI. Isso porque a legislação, em seu art. 46, define que os agentes de tratamento devem adotar todas as medidas necessárias de segurança (técnicas e administrativas) para a proteção de dados pessoais.
Segundo Cibele, “essa proteção deve garantir o impedimento de acesso não autorizado, situações acidentais, perdas, alterações ou qualquer forma de tratamento inadequado”. Assim, a ISO 27001 é uma das bases principais das legislações de proteção de dados, principalmente, por conter mecanismos de melhora contínua que permitem fortes medidas técnicas e administrativas de segurança da informação.
Desse modo, ela permite “estabelecer a avaliação dos riscos de segurança e proteção, adotando medidas de controle, monitoramento e avaliação de desempenho de processos”, como ressalta a especialista.
Obtenção da certificação
Agora que você já sabe quais são os principais benefícios da adoção da ISO 27001, é importante entender como obter o certificado e, assim, ter melhores resultados. No entanto, como fazê-lo? Cibele explica:
“Depois de um Sistema de Segurança da Informação ser implementado — ou seja, foi feita uma análise dos processos, identificado em qual escopo será realizado o sistema de gestão, feita a avaliação de riscos, implementados os controles para a mitigação de riscos e o monitoramento (a fim de atender à Norma ISO 27001) —, poderá ser solicitada a certificação da empresa”.
Nesse caso, é chamado um auditor externo para realizar o processo de verificação e, assim, atestar se há alguma não conformidade. Cibele descreve: “a auditoria externa comprovará que existe um Sistema de Gestão de Segurança da Informação rodando”.
Ela ainda ressalta que esse sistema não é estanque, logo, é preciso ter o acompanhamento constante dos responsáveis para minimizar problemas e garantir um maior sucesso. “Um sistema de gestão é um processo PDCA, ou seja, sempre estará em constante movimento e com mudanças ao longo de sua existência”. Por isso, é fundamental que você esteja aprimorando-o constantemente.
Com o uso do nosso sistema, você empregará uma solução que é a primeira de gestão ocupacional certificada pela norma ISO 27001:2013. Com isso, ao utilizá-lo, você terá a certeza de que os dados estarão protegidos, respeitando critérios importantes de segurança da informação, como confidencialidade, disponibilidade e integridade.
Diante de tudo que listamos sobre o tema de segurança da informação e acerca da adoção da certificação, é fundamental que você busque ferramentas que auxiliam nesse tipo de situação. Por isso, entre em contato e converse com um de nossos atendentes sobre o tema.
