This post is also available in: Português English Español
Você já deve ter ouvido falar em termos como ISO 9000 e ISO 14000, que são respectivamente as certificações internacionais de gestão da qualidade e gestão ambiental para empresas. As marcas que conquistam essas normas costumam expor selos que informam a todos os públicos o fato de estarem adequadas a normas e práticas internacionais. Clientes, fornecedores, colaboradores e futuros clientes valorizam negócios que estejam nesse patamar. Afinal, são sinônimo de preocupação com a qualidade, a inovação e com o meio ambiente.
Existe também uma certificação internacional que trata da segurança da informação em empresas. É a ISO 27000, focada no Sistema de Gestão de Segurança da Informação (SGSI), e tem como normas mais conhecidas as ISO 27001 e ISO 27002. Todo o seu conceito está relacionado a segurança da informação nos mais variados formatos. Foi projetada para ser aplicável a todos os tipos e tamanhos de empresas, desde multinacionais até os pequenos e médios empreendimentos.
Quais empresas podem ter a certificação ISO 27000?
Como dito, empresas de todos os tamanhos e setores podem adotar práticas e soluções para obterem a ISO 27000. Afinal, seja qual for o tamanho e o ramo de atividade, haverá uma percepção de diferencial atribuída a conquista do selo, emitido por uma organização de padronização internacional. A certificação traz confiabilidade e cria uma boa imagem de credibilidade. Outra vantagem é que a ISO 27000 tem grande compatibilidade com a ISO 9000, tornando os processos internos ainda mais eficientes e seguros.
Família dedicada à segurança
Na realidade, a ISO 27000 não é uma norma, mas sim um conjunto de certificações – ou, como é comum ouvir, uma família. Dessa maneira, cada membro da família recebe uma denominação única e objetivos específicos. Existem mais de 40 normas, que foram desenvolvidas com base em procedimentos para a implementação nas empresas, havendo algumas também dedicadas exclusivamente a determinados segmentos de mercado. Um exemplo é a ISO 27011, que aborda a gestão da segurança da informação para empresas de telecomunicações, enquanto a ISO 27015 é dedicada a negócios do ramo de serviços financeiros. Existem outros focados em tópicos específicos da tecnologia da informação, como controles para cloud computing (ISO 27017) e segurança de redes (ISO 27033). Veremos a seguir as normas mais conhecidas da família ISO 27000:
ISO 27000: oferece uma visão geral do conceito. Atua como uma norma introdutória, que traz consigo um glossário de termos que prepara para as certificações seguintes.
ISO 27001: trata dos requisitos para que exista um Sistema de Gestão da Segurança da Informação (SGSI). O SGSI é parte essencial da gestão da empresa, e é baseado em abordagens de risco do negócio com o intuito de estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. Dessa maneira, age como a principal norma que o empreendimento deve utilizar para obter a certificação empresarial em gestão da segurança da informação. Clique aqui e veja o post que fizemos com outros detalhes sobre a ISO 27001.
ISO 27002: trata-se de um documento de práticas no qual consta um conjunto de controles que dá apoio à aplicação do Sistema de Gestão da Segurança da Informação na empresa. Assim, existem certificações profissionais para esta ISO, onde os critérios para avaliar se uma pessoa é ou não qualificada para receber esse certificado são inspecionados com uma prova. Clique aqui e veja o post que fizemos com outros detalhes sobre a ISO 27002.
ISO 27003: como um guia de implantação, possui o conjunto de diretrizes detalhadas para a adoção do SGSI. A diferença para a 27001, que oferece os requisitos, é que nesta consta uma orientação minuciosa.
Por quais outros motivos minha empresa deve aderir a ISO 27000?
A implementação da ISO 27000 é o tipo de iniciativa que oferece um excelente retorno sobre o investimento, manifestando-se tanto na construção de uma boa imagem para a marca quanto na organização interna da empresa. Em ambos os casos, os benefícios acabam se traduzindo em redução de custos e melhor presença de mercado.
Isso se mostra em maior intensidade dentro de empresas que precisam obedecer a regulamentos relacionados à proteção de dados, privacidade e governança de tecnologia da informação – a exemplo de negócios do setor financeiro ou saúde. Afinal, a ISO 27000 pode oferecer metodologias que permitem tratar a segurança da informação de uma maneira mais eficiente.
Do ponto de vista da LGPD, a ISO 27000 significa um diferencial extra. Afinal, praticamente toda empresa lida com algum nível de informação confidencial (endereços, telefones, emails, CPF´s, dados bancários). Aos olhos dos clientes, agrada a ideia de haver uma chancela dessa magnitude voltada exclusivamente à segurança das informações que ele fornece – principalmente em tempos de vazamentos de dados, noticiados em uma frequência quase diária nos grandes meios de comunicação.
A OSTEC conta com uma série de soluções voltadas à segurança digital para ampliação de resultados. Entre em contato com algum de nossos especialistas e saiba mais.
This post is also available in: Português English Español