Logo upLexis
search
BlogGeral

ISO 27001: entenda o que é e quais são seus ben...

ISO 27001: entenda o que é e quais são seus benefícios para a empresa

Atualizado em 10 de outubro de 24 | Geral  por

Bárbara Guido.
Bárbara Guido

A segurança da informação, também conhecida como cibersegurança, tornou-se uma das principais preocupações das empresas nos dias de hoje. Essa prática, que integra o campo da Tecnologia da Informação, envolve a proteção da privacidade de dados e a defesa de ambientes virtuais contra ameaças.

Para fortalecer a segurança da informação dentro de uma organização, é essencial seguir algumas diretrizes estabelecidas, como a norma internacional ISO/IEC 27001.

Neste artigo, exploraremos os principais benefícios da adoção dessa norma e como ela pode impactar positivamente sua empresa. Além disso, destacaremos a importância de promover uma cultura organizacional focada na segurança da informação.

Continue a leitura para saber mais!

O que é a ISO/IEC 27001?

A ISO/IEC 27001, também chamada apenas de ISO 27001, é um importante guia para estabelecer, implementar, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI) efetivo.

Esse sistema não se limita apenas aos sistemas informatizados e compreende o conjunto de regras, políticas, processos e procedimentos adotados por uma organização para proteger suas informações. Ele é baseado em quatro princípios: confidencialidade, disponibilidade, integridade e confiabilidade.

Além disso, a segurança da informação é um dos pilares fundamentais para o compliance empresarial, especialmente em um mundo cada vez mais digital e interconectado. Com a adoção massiva de tecnologias de informação, bem como o advento de normas como a LGPD, a proteção dos dados e informações sensíveis tornou-se uma prioridade para empresas de todos os setores e tamanhos.

Sendo assim, a ISO 27001 é um padrão reconhecido globalmente, desenvolvido para implementar o SGSI nas organizações. Por meio dele, é adotada uma abordagem abrangente e estruturada para proteger os ativos de informação contra uma ampla variedade de ameaças.

Leia também: LGPD: tudo que você precisa saber sobre o tema

Como funciona a ISO 27001?

As normas editadas pela International Organization for Standardization (Organização Internacional de Normalização - ISO) recebem o prefixo ISO e um número de referência. A ISO 27001 é uma norma abrangente e bem estruturada, que indica todos os requisitos para um bom Sistema de Gestão em Segurança da Informação em uma organização. 

Tendo em vista que a ISO é um organismo internacional, no Brasil, suas normas são traduzidas e editadas pela ABNT (Associação Brasileira de Normas Técnicas). Os padrões internacionais estabelecidos pela ISO garantem que os produtos e serviços utilizados mundialmente sigam os mesmos critérios e sejam seguros, confiáveis ​​e de alta qualidade. Eles também orientam as empresas na adoção de práticas sustentáveis ​​e éticas.

Assim, uma empresa que cumpra todos os requisitos de gestão de segurança da informação pode solicitar a certificação de suas práticas pela ISO que será válida tanto no Brasil, quanto no exterior. A certificação é uma forma de comprovar ao mercado, nacional e internacionalmente, que a empresa segue os padrões mais consagrados em seu sistema de gestão.

O que está previsto na ISO 27001?

A ISO 27001 segue a mesma estruturação existente em outras normas ISO, conhecida como "Anexo SL", o que facilita sua integração com outras normas de sistemas de gestão, como aquelas previstas na ISO 9001 (Qualidade) e na ISO 14001 (Meio Ambiente).

Como a nomenclatura e as categorias normalizadas pela ISO são usadas mundialmente, é muito comum que o profissional de compliance já esteja familiarizado com os conceitos básicos da metodologia.

Portanto, a compreensão detalhada dos requisitos previstos no sistema ISO é fundamental para uma implementação eficaz da ISO 27001 e para o sucesso na obtenção da certificação. Cada cláusula desempenha um papel crucial na construção de um ambiente seguro para a informação, garantindo a proteção dos ativos da empresa e a confiança de clientes e parceiros.

Veja a seguir as seções e os requisitos contidos na norma:

  • Escopo e aplicação da norma: nesta seção, são definidos os limites e a abrangência do SGSI, especificando quais partes da organização serão abarcadas pela implementação da norma. É importante considerar todos os aspectos relevantes da empresa que possam ter impacto na segurança da informação;
  • Requisitos da ISO 27001: a norma é composta por uma série de requisitos que a organização deve atender para ser certificada pela ISO 27001. Esses requisitos estão organizados em várias cláusulas, cada uma abordando um aspecto específico do SGSI;
  • Contexto da organização: nesta cláusula, a organização precisa entender seu contexto interno e externo, identificando as partes interessadas relevantes e suas expectativas relacionadas à segurança da informação;
  • Liderança e comprometimento: esta cláusula trata da importância do comprometimento da alta direção com a segurança da informação, demonstrando a liderança necessária para a implementação bem-sucedida do SGSI, assim como acontece em todas as áreas do compliance;
  • Planejamento do Sistema de Gestão da Segurança da Informação (SGSI): aqui, são estabelecidos os objetivos do SGSI e identificadas as ações necessárias para atingi-los. Também é realizado um processo de avaliação de riscos, para determinar os controles internos e medidas adequadas de segurança;
  • Suporte e recursos: este item aborda a alocação de recursos, a competência necessária das pessoas envolvidas no SGSI e a necessidade de conscientização e treinamento em segurança da informação;
  • Implementação do SGSI: nesta seção, são estabelecidos e implementados os controles e medidas de segurança necessários, conforme identificados no processo de avaliação de riscos;
  • Avaliação de desempenho e melhoria contínua: nesta última cláusula, são definidos os mecanismos para monitorar e medir o desempenho do SGSI, bem como realizar análises críticas para garantir a atualização constante da segurança da informação na organização.

Versão 2022 da ISO 27001: o que mudou?

Até janeiro de 2023, estava em vigor a versão ISO/IEC 27001:2013. Em outubro de 2022, a norma foi atualizada e, atualmente, está em sua versão ISO/IEC 27001:2022.

A nova versão englobou algumas mudanças visando simplificar a norma, bem como incluir aspectos de segurança cibernética em consonância com a realidade atual e com os novos cenários que as empresas devem enfrentar. Por exemplo, a versão 2022 traz controles de sobre tecnologia em “cloud” (nuvem) e inteligência artificial.

A nova versão também apresenta a reorganização e segmentação do Anexo A em quatro grandes categorias. Este anexo apresenta a referência de controles de segurança da informação, são eles: controles organizacionais, controles de pessoas, controles físicos e controles tecnológicos.

A versão anterior possuía 114 controles de segurança. A de 2022 conta agora com 93, pois alguns controles foram mesclados e 11, completamente novos, foram adicionados. São eles:

  • A.5.7 Inteligência de ameaças;
  • A.5.23 Segurança da informação para uso de serviços na nuvem;
  • A.5.30 Prontidão de TIC para continuidade dos negócios;
  • A.7.4 Monitoramento de segurança física;
  • A.8.9 Gerenciamento de configurações;
  • A.8.10 Exclusão de informações;
  • A.8.11 Mascaramento de dados;
  • A.8.12 Prevenção contra vazamentos de dados;
  • A.8.16 Atividades de monitoramento;
  • A.8.23 Filtragem da web;
  • A.8.28 Programação segura.

Além disso, as principais áreas afetadas pelas mudanças são: alta liderança, governança corporativa, funções de TI, infraestrutura e suporte, administrativo, gestão de pessoas e recursos humanos.

Para as empresas se adequarem à nova versão, um período de transição foi estabelecido. A ISO 27001:2022 foi lançada em 25 de outubro de 2022 e o cronograma de transição está definido para 3 anos. Sendo assim, aqueles que já possuem a certificação tem até outubro de 2025 para se adequar, haja vista que os certificados atuais de 2013 precisam ser transferidos para a nova versão antes de novembro de 2025.

É importante ressaltar que, após a auditoria externa de certificação, anualmente as empresas passarão por uma auditoria de manutenção. Dessa forma, fique atento! Se a sua empresa obteve o certificado ISO 27001 na versão 2013 em junho de 2022, por exemplo, vale mais a pena realizar as mudanças exigidas pela nova versão desde já e, em junho de 2025, passar pela auditoria de manutenção na versão 2022.

A certificação ISO 27001

Já que falamos em auditoria externa, fica o questionamento: como obter a certificação ISO 27001?

A obtenção da certificação requer um processo de padronização e busca de conformidade que pode ser longo e complexo. Por isso, é comum que as empresas contem com o apoio de consultorias certificadas e especializadas no assunto, a fim de ter maior certeza do sucesso na certificação.

Após passar por todo o processo de adequação, auditorias internas e GAP Analysis e obter o percentual suficiente de conformidade, a empresa estará apta a ir para a auditoria externa. Essa é realizada por uma empresa certificadora, credenciada ao organismo internacional.

Em data e local marcados, os auditores externos se reunirão com a equipe responsável pela adequação da empresa à norma, a alta liderança e representantes das áreas envolvidas, como segurança, TI e gestão de pessoas, para avaliar a documentação e o cumprimento aos requisitos.

Normalmente, a auditoria externa é realizada por dois auditores, um líder e um assistente, em dois ou três dias. Ela pode ser feita de forma presencial ou on-line. Quando é realizada presencialmente, os custos devem ser arcados pela empresa que requer a certificação.

Veja a seguir os principais passos envolvidos para quem deseja obter a certificação ISO 27001:

  • Conscientização e comprometimento da alta direção: o primeiro passo é garantir que a alta direção da empresa esteja ciente da importância da segurança da informação e esteja comprometida em buscar a certificação ISO 27001. É fundamental que a liderança forneça o suporte necessário, tanto em termos de recursos quanto de apoio declarado, para o processo de implementação da norma;
  • Designar uma equipe de projeto: é importante formar uma equipe dedicada que ficará responsável por coordenar todo o processo de implementação da ISO 27001. Essa equipe deve ser multidisciplinar e envolver membros de diferentes áreas da organização;
  • Realizar uma avaliação inicial: a equipe de projeto deve realizar uma avaliação inicial da situação da segurança da informação na organização. Isso inclui a identificação de ativos de informação, avaliação de riscos e vulnerabilidades, bem como análise de lacunas em relação aos requisitos da ISO 27001;
  • Estabelecer um Sistema de Gestão da Segurança da Informação (SGSI): com base na avaliação inicial, a equipe de projeto deve desenvolver um SGSI que atenda aos requisitos da ISO 27001. Isso envolve a definição de políticas de segurança, a implementação de controles de segurança relevantes e a definição de procedimentos operacionais;
  • Implementar controles e medidas de segurança: com o SGSI estabelecido, a organização deve implementar os controles e medidas de segurança definidos na etapa anterior. Isso pode incluir aspectos técnicos, como atualização de sistemas e firewalls, bem como medidas organizacionais, como treinamento dos funcionários e conscientização em segurança da informação;
  • Realizar auditoria interna: antes de buscar a certificação, é importante realizar uma auditoria interna do SGSI para garantir que todos os requisitos da ISO 27001 foram devidamente implementados e estão sendo seguidos. Essa auditoria identificará possíveis não conformidades e áreas que precisam de melhorias, que deverão ser implementadas antes da auditoria para certificação;
  • Auditoria externa e obtenção da certificação: a etapa final é a contratação de uma organização de certificação independente, que realizará uma auditoria externa para verificar se o SGSI atende a todos os requisitos da ISO 27001. Se a auditoria for bem-sucedida, a organização receberá a certificação;
  • Melhoria contínua: a certificação ISO 27001 não é um evento único, é um compromisso contínuo com a segurança da informação. A organização deve manter e melhorar constantemente o SGSI, garantindo que ele permaneça eficaz diante das mudanças nas ameaças e no ambiente operacional.

Quais são as vantagens em obter a certificação ISO 27001?

Obter a certificação ISO 27001 oferece uma série de benefícios para uma empresa, independentemente do seu porte ou setor de atuação. Essas vantagens vão além do prestígio de conquistar um selo internacionalmente reconhecido.

A seguir, listamos as principais vantagens de buscar a certificação ISO 27001:

  • Melhoria da segurança da informação: a implementação dos controles e práticas recomendados pela ISO 27001 fortalece a segurança da informação. Isso inclui boas práticas como a proteção contra acessos não autorizados, prevenção de ataques cibernéticos, garantia de confidencialidade, integridade e disponibilidade dos dados, bem como medidas para evitar perda ou roubo de informações;
  • Redução de riscos e vulnerabilidades: a avaliação de riscos realizada durante a implementação da ISO 27001 permite à organização identificar suas vulnerabilidades e ameaças potenciais. Com base nessas análises, são adotadas medidas adequadas para mitigar os riscos, reduzindo a probabilidade de ocorrência de incidentes de segurança;
  • Aumento da confiança dos clientes e parceiros: a certificação ISO 27001 é um sinal claro para clientes, fornecedores, parceiros de negócios e demais stakeholders de que a empresa leva a sério a segurança da informação. Esse reconhecimento cria uma base sólida de confiança, essencial para estabelecer e manter relacionamentos comerciais bem-sucedidos;
  • Cumprimento de requisitos legais e regulatórios: a norma ISO 27001 leva em conta a conformidade com leis e regulamentos aplicáveis relacionados à segurança da informação. Ao obter a certificação, a organização demonstra seu compromisso em atender a esses requisitos, o que pode ser fundamental para atuar em certos mercados ou setores;
  • Melhoria na eficiência e produtividade: a ISO 27001 promove uma abordagem sistemática para a gestão da segurança da informação. Isso resulta em processos mais eficientes e menos suscetíveis a falhas, o que pode aumentar a produtividade da equipe e reduzir o tempo de inatividade devido a incidentes de segurança;
  • Diferencial competitivo: a certificação ISO 27001 é um fator competitivo importante para a organização. Em um mercado cada vez mais sensível à proteção de dados e segurança da informação, a empresa certificada tem uma vantagem ao concorrer com outras que ainda não implementaram um SGSI de acordo com essa norma;
  • Fortalecimento da cultura de segurança: a implementação da ISO 27001 envolve a conscientização e o treinamento de colaboradores em relação à segurança da informação. Isso ajuda a criar uma cultura organizacional voltada para a proteção dos dados e a adoção de boas práticas de segurança por todos os membros da equipe.

Portanto, obter a certificação ISO 27001 não é apenas um selo de prestígio, é um compromisso com a excelência em segurança da informação. Por meio de uma implementação cuidadosa da norma, as organizações podem melhorar sua postura de segurança, aumentar a confiança dos clientes, cumprir requisitos legais e regulatórios e fortalecer sua vantagem competitiva.

Além disso, a cultura organizacional voltada para a segurança da informação impulsiona a eficiência e a produtividade, refletindo-se em uma base sólida para o crescimento sustentável e bem-sucedido.

Assine nossa news!

Gostou do conteúdo? Então preencha o formulário abaixo e receba quinzenalmente em seu e-mail conteúdos sobre compliance, ESG, tecnologia, governança e muito mais!


Bárbara Guido é mineira, advogada pela UFJF e estudante de Jornalismo na UFOP. Apaixonada por comunicação, atua como analista de governança corporativa e redatora de conteúdo jurídico e técnico para sites e blogs.

Transformação digital

Matérias relacionadas

Ilustração de um corretor apresentando um imóvel.

Due diligence imobiliária: o que é e como realizá-la?

|

Geral

Imagem de um homem discursando em um púlpito.

O que é uma Pessoa Politicamente Exposta?

|

Geral

Imagem de duas pessoas conversando.

O que é homologação de fornecedores?

|

Geral