ISO 27001: qual a importância no dia a dia das empresas?

Nos tempos atuais, toda empresa (de tecnologia ou não) já deveria saber que não dar a devida importância à segurança da informação pode comprometer toda a sua estratégia de negócios. Alguns gigantes do mercado, como Apple, Google, Microsoft, Amazon e Facebook, já veem isso há muito tempo e trabalham no desenvolvimento e implementação de novas ferramentas para proteção das informações de seus usuários.

Todas as companhias que entendem a importância dos ativos de informação que possuem, buscarão formas de garantir que eles estejam seguros do ponto de vista dos pilares da segurança da informação, a fim de garantir que eles estejam disponíveis para a tomada de decisões e de forma que sejam confiados apenas a aqueles que têm o direito de acessá-los.

Inúmeros relatórios vêm mostrando o aumento significativo no número de ataques ransomware nos últimos anos e, ainda pior, apontando o Brasil como um dos países no topo dessa lista de ataques. De acordo com Dados levantados pela Fortinet, foram encontradas 10.666 assinaturas de ransomware na América Latina no primeiro semestre de 2022, sendo que no último semestre de 2021 foram identificadas apenas 5.400. Ou seja, em apenas seis meses este número praticamente dobrou.

Neste cenário, estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação (SGSI) dentro da organização se faz fundamental e é isso que propõe a norma de governança corporativa ISO 27001. Ela apresenta diversas definições dentro de suas normas, como:

Ação Corretiva: ação para eliminar a causa da não conformidade e prevenir a reincidência;

Ameaça: causa potencial de um evento indesejado, que pode causar danos a um sistema ou organização;

Evento de segurança da informação: indica uma possível violação da política de segurança da informação;

Incidente de segurança da informação: eventos de segurança da informação indesejados ou inesperados que têm um potencial significativo para interromper as operações.

Para quem deseja elevar o nível de maturidade em segurança da informação e melhorar a organização interna destes processos, a ISO 27001 é um recurso valioso. Para sua implementação, o ideal é seguir uma trilha e definir as etapas de forma evolutiva, permitindo desenvolver passo a passo um sistema de gestão que seja adequado à realidade da sua empresa. Neste contexto, sugiro as seguintes etapas:

Diagnóstico Inicial

Análise de Cenários e definições gerais

Planejamento da Segurança da Informação

Análise de equipamentos e infraestrutura predial

Segurança em Redes e utilização de softwares

Gestão de Pessoas e comunicação

Análise de Fornecedores

Gestão de Melhoria e resultados

Auditoria Interna

Auditoria de Certificação

O cuidado com a segurança de Dados deve ser um compromisso ético de toda organização e cada vez mais elas serão cobradas para isso, então, seja implementando a certificação ISO 27001 ou utilizando as melhores práticas, softwares e soluções de segurança, o ponto central é que todas as instituições devem ter como objetivo final manter seus dados seguros, tornando isso uma prioridade.

Por Felix Santos, analista de Segurança da Informação na NovaRed Brasil.