Por se tratar de um sistema de gestão, a ISO 27001 aborda o assunto da segurança da informação em diversas frentes, como políticas internas, proteção e segurança nos meios físicos, compliance, processos administrativos e etc, indo muito além das medidas técnicas relacionadas a TI. Tal característica é muito importante, pois visa estabelecer processos e aplicar os princípios de segurança da informação em todos os âmbitos de uma organização. Um exemplo desta abordagem completa visando a segurança das informações, é o destaque que a norma dá aos treinamentos e campanhas de conscientização internas, tratando os usuários como parte integrante e fundamental do SGSI.
A ISO 27001 específica diversos controles e estratégias para reduzir os riscos de segurança da informação, segue uma lista de alguns dos mais importantes dentre eles. A lista completa pode ser encontrada no “Anexo A” da norma.
- Políticas de segurança da informação – Visa prover orientação da direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
- Segurança em recursos humanos – Estabelece controles para antes, durante e após a contratação, visando assegurar que os funcionários e partes externas estejam conscientes e cumpram as suas responsabilidades pela segurança da informação.
- Gestão de ativos – Provê controles relacionados ao inventário de ativos e uso aceitável dos mesmos, também na classificação das informações, lhes garantindo um nível de segurança adequado, e no manuseio de mídias, prevenindo divulgações não autorizadas, e perdas indesejadas de informações.
- Segurança física e do ambiente – Estabelece controles definindo áreas seguras, controles de entrada, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa, etc, visando a segurança física das informações.
- Segurança nas operações – Visa garantir a operação segura e correta dos recursos de processamento da informação, sejam eles físicos ou digitais, como por exemplo a utilização de um antivírus.
- Gestão de incidentes de segurança da informação – Visando assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação sobre fragilidades e eventos de segurança da informação.
- Conformidade – Busca evitar a violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança aplicáveis à organização.
Após esta breve introdução a ISO 27001, é possível perceber a relevância da mesma para as organizações, e também para os usuários, que se beneficiam de terem suas informações seguras. A certificação ISO 27001 hoje significa uma vantagem comercial, principalmente para negociações internacionais, e também uma demonstração de consideração com a privacidade e proteção de seus clientes, favorecendo fortemente a imagem da organização.
Quer saber mais sobre como obter a certificação da ISO 27001? A RBN Tecnologia pode te ajudar! Entre em contato conosco!
