ISO/IEC 27001, a nova ISO 9001!
Por Ana Paula Xavier de Brito com colaboração dos amigos
Alguém já se perguntou por que a canção que Milton Nascimento ouviu na América afirma que “Amigo é coisa para se guardar debaixo de 7 chaves dentro do coração”?
- Por que ter amigos é raro? Sim.
- Por que amigos são importantes e nós queremos cuidar e proteger tudo que é importante para nós? Sim, também!
- Por que amigos são leais? Com certeza!
Todas as respostas são verdadeiras. Mas, não acho que seja por estas razões. Acho que “Amigo é coisa para se guardar debaixo de 7 chaves dentro do coração” por que lá é um lugar seguro e que, provavelmente, não pega internet!!!!
A internet é maravilhosa! Hoje, podemos assistir um balé em Paris, ao vivo, sem sair de casa. Podemos comprar roupas, comida, brinquedos sem ter que ir à loja. A Internet revolucionou nossa sociedade! Sem ela, nossa sociedade atual seria completamente diferente!
Mas, apesar dos benefícios que a internet e o mercado digital ocasionaram, estes também trouxeram para as pessoas e, principalmente, para as organizações, a preocupação em preservar a confidencialidade, integridade e disponibilidade da informação digital (ou digitalizada), além da preocupação em evitar que esses dados sejam compartilhados de forma indevida.
Em uma era onde a maior parte das informações estão guardadas virtualmente, precisamos salvaguardar tudo o que é importante para nós, independente do que seja. Pode ser desde a pedrinha da sorte até segredos de negócios, desde a canção de ninar até códigos nucleares passando por dados pessoais e/ou confidenciais.
Para sanar o problema de segurança da informação, vários mecanismos foram sendo criados, tanto nacional como internacionalmente. No Brasil, foi criada a Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/18 e, em âmbito global, temos a norma ISO/IEC 27001 – Sistemas de Gestão de Segurança da Informação.
A ISO/IEC 27001 é uma norma que provê requisitos para a guarda e proteção de informações importantes para as empresas. E como foi dito antes, estas informações podem ser de qualquer natureza ou finalidade.
A adoção de um SGSI é uma decisão estratégica para uma organização. Segundo a norma, um Sistema de Gestão de Segurança da Informação (SGSI) preserva a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados.
LGPD X ISO/IEC 27001
A ISO/IEC 27001 trata especificamente dos requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação (SGSI) dentro de uma empresa, buscando garantir a confidencialidade, integridade e disponibilidade de qualquer tipo de informação dentro de um sistema de segurança organizacional.
Já a Lei Geral de Proteção de Dados – lei federal 13.709/18, dispõe somente sobre a coleta, tratamento e proteção de dados pessoais, sendo que a segurança da informação é parte essencial da LGPD, uma vez que a proteção dos dados e da privacidade somente será possível com o sistema de gestão de segurança da informação adequado.
Com a entrada em vigência da LGPD, em agosto de 2020 e também devido à crescente preocupação das organizações e até da sociedade em geral com a segurança de dados, a procura para a implantação da ISO/IEC 27001 deve crescer, fazendo com que a ISO/IEC 27001 se torne, talvez, tão popular quanto a ISO 9001. Porém, cabe ressaltar que, para atendimento à LGPD, a certificação ISO/IEC 27001 só será adequada se esta contemplar inclusive, a proteção de dados pessoais.
ISO/IEC 27001 e PMEs
Um outro entendimento que tenho é que, mesmo estando no topo de prioridades de grandes organizações, a Segurança da Informação (SI) é, comumente, negligenciada nas pequenas e médias empresas (PMEs).
O ransomware – roubo de dados, é particularmente mais relevante em médias empresas, uma vez que com orçamento reduzido, a estruturação de um setor de segurança se torna, muitas vezes, inviável.
A implantação da ISO/IEC 27001, em PMEs pode ser facilitada quando a alta gerência deixa claro, para os funcionários, as razões e a importância, assim como e criticidade do sistema e de seus processos na organização. Além disso, outro fator que ajuda na diminuição de custos de implantação e da manutenção do SGSI é a compreensão de todos os funcionários sobre esta importância e que estes estejam engajados, apoiando as mudanças planejadas. Isso fará com que o resto da implementação seja executado muito mais suavemente.
Desta forma, com a implantação da ISO/IEC 27001, podemos possibilitar que tudo o que seja valioso para nós fique em segurança, sem precisar estar escondido, trancado a 7 chaves. “Pois seja o (ataque) que vier, venha o (hacker) que vier, a criptografia e os firewalls vão me assegurar”.
Entre em contato com a Ecoclass Serviços Ambientais que conversaremos mais sobre a implantação do Sistema de Gestão de Segurança da Informação, treinamento de seus funcionários e orientações nas etapas de estabelecimento dos requisitos da ISO/IEC 27001, em sua empresa. Conte conosco!