O que é ISO 27001 e por que eu devo me importar?

Se você lida co informações importantes, precisa conhecer a ISO 27001 para que defina uma boa linha de base para sua segurança de dados

Com os dados de sua fábrica na nuvem, a estratégia de marketing em seu servidor local, processamento de faturamento através de um sistema ERP, dados do funcionário em no departamento de recursos humanos seguro e NDA com Big-Company Inc. na caixa de entrada do CEO, sua empresa lida com várias informações valiosas que precisam de proteção.

Você não quer seu plano de marketing publicado em um fórum ou seu sistema ERP parado por horas ou acesso não autorizado à sua conta bancária, certo?

Hoje falaremos sobre como a ISO 27001 funciona e como ela pode proteger as informações de seus ativos.

O que é ISO 27001?

A Organização Internacional para Padronização é uma organização global não-governamental que reúne especialistas para desenvolver padrões internacionais para o mercado. Dentre as mais de 23.000 normas publicadas da ISO, a ISO 27001 ganhou importância significativa no mundo das certificações.

Pesquisas ISO publicadas anteriormente mostram um aumento na certificação ISO 27001 mundial de aproximadamente 20% por ano desde 2006. Em 2018, quase 60.000 sites tinham certificação ISO-27001.

O que é isso?

A ISO 27001:2013 define as especificações para criação, manutenção e melhoria de um sistema de gestão de segurança da informação (ISMS). Essa norma fornece regras e processos para gerenciar seu ISMS:

• Definição das funções essenciais, como gerente de segurança da informação

• Metodologia de gerenciamento de risco estruturada para ativos

• Processos para avaliação e criação de instruções internas de segurança da informação

• Ferramentas para for ISMS surveillance – auditoria, teste de penetração, monitoramento KPI etc.

• Critérios para tratamento de problemas de segurança (gestão de incidentes)

• Especificações para treinamento e conscientização

• Ações recomendadas para melhorar a segurança

A última é crítica! Não somente você tem especificações para ISMS, você também recebe uma lista de tarefas de ações de segurança da informação, chamada controles.

Anexo A da ISO 27001:2013 tem uma lista de 114 controles, agrupadas em 14 categorias. Esses controles estabelecem o nível de segurança da linha de base o qual pode ser usado para verificar suas operações, prédios, fornecedores dentre outros.

E o melhor de tudo, ele abrange muito mais do que todo o departamento de TI de sua empresa! Você pode proteger cada lacuna contra-ataques externos se implantar essas medidas:

• Políticas de segurança da informação

• Organização da segurança da informação

• Segurança de recursos humanos

• Gerenciamento de ativos

• Controle de acesso

• Criptografia

• Segurança física e ambiental

• Segurança da operação

• Segurança da comunicação

• Aquisição, desenvolvimento e manutenção do sistema

• Relacionamentos com fornecedores

• Gestão de incidente de segurança da informação

• Segurança da informação da gestão de continuidade de negócios

• Conformidade

Por fim, tenha em mente que a ISO 27001 apenas diz o que fazer, não como. Você precisa adaptar as especificações da norma às necessidades e recursos da sua empresa.

Por exemplo, hospedamos Netilion no Amazon Web Services, o qual tem certificado ISO-27001. Quando a Netilion fornece serviços ou recursos, ela usa canais de comunicação seguros. E sim, também estamos providenciando a certificação para eles.

Mantenha-se atualizado com o mundo da IIoT e Netilion.

Inscreva-se na nossa newsletter para receber artigos informativos. Ao se inscrever, você concorda que leu e aceita a Política de Privacidade. Você pode cancelar sua inscrição a qualquer momento.

Please Select AALAND ISLANDS ALBANIA ALGERIA AMERICAN SAMOA ANDORRA ANGOLA ANGUILLA ANTIGUA AND BARBUDA ARGENTINA ARMENIA ARUBA AUSTRALIA AUSTRIA AZERBAIJAN BAHAMAS BAHRAIN BANGLADESH BARBADOS BELARUS BELGIUM BELIZE BENIN BERMUDA BOLIVIA BONAIRE BOSNIA AND HERZEGOWINA BOTSWANA BRAZIL BRUNEI DARUSSALAM BULGARIA BURKINA FASO BURUNDI CAMBODIA CAMEROON CANADA CAPE VERDE CAYMAN ISLANDS CENTRAL AFRICAN REPUBLIC CHAD CHILE CHINA CHRISTMAS ISLAND COCOS (KEELING) ISLANDS COLOMBIA COMOROS CONGO, Republic of CONGO, Democratic Republic of (was Zaire) COOK ISLANDS COSTA RICA COTE D'IVOIRE CROATIA CYPRUS CZECH REPUBLIC DENMARK DJIBOUTI DOMINICA DOMINICAN REPUBLIC ECUADOR EGYPT EL SALVADOR EQUATORIAL GUINEA ERITREA ESTONIA ETHIOPIA FALKLAND ISLANDS (MALVINAS) FAROE ISLANDS FIJI FINLAND FRANCE FRENCH GUIANA FRENCH POLYNESIA GABON GAMBIA GERMANY GHANA GIBRALTAR GREECE GREENLAND GRENADA GUADELOUPE GUAM GUATEMALA Guernsey GUINEA GUINEA-BISSAU GUYANA HAITI HONDURAS HONG KONG HUNGARY ICELAND INDIA INDONESIA IRAQ IRELAND ISRAEL ITALY JAMAICA JAPAN JERSEY JORDAN KAZAKHSTAN KENYA KIRIBATI KOREA, REPUBLIC OF KOSOVO, REPUBLIC OF KUWAIT KYRGYZSTAN LAO PEOPLE'S DEMOCRATIC REPUBLIC LATVIA LEBANON LESOTHO LIBERIA LIBYAN ARAB JAMAHIRIYA LIECHTENSTEIN LITHUANIA LUXEMBOURG MACAU MACEDONIA, THE FORMER YUGOSLAV REPUBLIC OF MADAGASCAR MALAWI MALAYSIA MALDIVES MALI MALTA MARSHALL ISLANDS MARTINIQUE MAURITANIA MAURITIUS MAYOTTE MEXICO MICRONESIA, FEDERATED STATES OF MOLDOVA, REPUBLIC OF MONACO MONGOLIA MONTENEGRO MONTSERRAT MOROCCO MOZAMBIQUE MYANMAR NAMIBIA NAURU NEPAL NETHERLANDS NETHERLANDS ANTILLES NEW CALEDONIA NEW ZEALAND NICARAGUA NIGER NIGERIA NORFOLK ISLAND NORTHERN MARIANA ISLANDS NORWAY OMAN PAKISTAN PALAU PANAMA PAPUA NEW GUINEA PARAGUAY PERU PHILIPPINES POLAND PORTUGAL PUERTO RICO QATAR REUNION ROMANIA RUSSIAN FEDERATION RWANDA SAINT HELENA SAINT KITTS AND NEVIS SAINT LUCIA Saint Martin (French Part) SAINT PIERRE AND MIQUELON SAINT VINCENT AND THE GRENADINES SAMOA SAN MARINO SAO TOME AND PRINCIPE SAUDI ARABIA SENEGAL SERBIA SEYCHELLES SIERRA LEONE SINGAPORE SINT MAARTEN SLOVAKIA SLOVENIA SOLOMON ISLANDS SOMALIA SOUTH AFRICA South Sudan SPAIN SRI LANKA SUDAN SURINAME SWAZILAND SWEDEN Switzerland TAIWAN TAJIKISTAN TANZANIA, UNITED REPUBLIC OF THAILAND TOGO TONGA TRINIDAD AND TOBAGO TUNISIA TURKEY TURKMENISTAN TURKS AND CAICOS ISLANDS UGANDA UKRAINE UNITED ARAB EMIRATES UNITED KINGDOM UNITED STATES URUGUAY UZBEKISTAN VANUATU VATICAN CITY STATE (HOLY SEE) VENEZUELA VIET NAM VIRGIN ISLANDS (BRITISH) VIRGIN ISLANDS (U.S.) YEMEN ZAMBIA ZIMBABWE Saint-Barthélemy Georgia TIMOR-LESTE AFGHANISTAN BHUTAN CURACAO PALESTINIAN TERRITORY, Occupied Isle of Man Palau

Por que a certificação é importante?

Com a certificação, uma empresa pode comprovar que ela atende as especificações padrões. Um órgão de certificação independente audita uma empresa em relação ao padrão e emite a certificação somente se ela atender todas as especificações. Esse órgão não é somente independente da empresa, mas também regulada por um órgão de certificação nacional para manter a qualidade de suas auditorias.

De forma semelhante, quando o assunto é escolher e trabalhar com fornecedores, a certificação também pode ajudar. Há muitas opções, é claro:

• Visitar um fornecedor em potencial para conferir se ele mantém boas práticas, mas o deslocamento pode ser dispendioso e pode ser que você não identifique tudo o que precisa saber.

• Simplesmente pergunte. Às vezes, a maneira mais fácil de obter informações é perguntar. Um fornecedor com uma boa reputação deve fornecer respostas bastante confiáveis, mas esse método vem com poucas garantias.

• Solicite um certificado de um órgão de certificação credenciado. O órgão de certificação revisará o ano anterior do fornecedor e a certificação comprova que a empresa atende a norma.

• Feche os olhos e espero o melhor. Recomendamos todas as outras abordagens antes dessa.

Outras considerações

Se você chegou até aqui, certamente se preocupa com a segurança da informação, então pode ser que queira considerar a aquisição de um sistema que atenda as normas ISO 27001. A maioria das empresas certificadas terá essas informações em seus websites, geralmente na página inicial porque têm orgulho de conquistar a certificação.

Como mencionei em nosso último post no blog, o Netilion recebeu a classificação 4 estrelas da EuroCloud’s Star Audit Assessment para suas plataformas seguras e seus protocolos de segurança de última geração. Mas e a ISO 27001?

A Endress+Hauser Process Solutions AG, empresa controladora do Netilion, revisou as especificações e solicitou a certificação estando confiante de que vai ser bem-sucedida. Então fique ligado no lançamento do certificado ISO-27001 do Netilion!

Isso significa que agora seria o momento perfeito para pesquisar sistemas IS. Experimente alguns, se eles oferecerem uma opção de teste gratuito (o Netilion oferece). Veja o que cada um deles faz e o quanto atende a sua empresa.

E, como sempre, se gostou desse artigo, compartilhe-o em sua rede social usando #Netilion.

Proteja-se!