O que é ISO 27001 e por que eu devo me importar?

Com os dados de sua fábrica na nuvem, a estratégia de marketing em seu servidor local, processamento de faturamento através de um sistema ERP, dados do funcionário em no departamento de recursos humanos seguro e NDA com Big-Company Inc. na caixa de entrada do CEO, sua empresa lida com várias informações valiosas que precisam de proteção.

Você não quer seu plano de marketing publicado em um fórum ou seu sistema ERP parado por horas ou acesso não autorizado à sua conta bancária, certo?

Hoje falaremos sobre como a ISO 27001 funciona e como ela pode proteger as informações de seus ativos.

O que é ISO 27001?

A Organização Internacional para Padronização é uma organização global não-governamental que reúne especialistas para desenvolver padrões internacionais para o mercado. Dentre as mais de 23.000 normas publicadas da ISO, a ISO 27001 ganhou importância significativa no mundo das certificações.

Pesquisas ISO publicadas anteriormente mostram um aumento na certificação ISO 27001 mundial de aproximadamente 20% por ano desde 2006. Em 2018, quase 60.000 sites tinham certificação ISO-27001.

O que é isso?

A ISO 27001:2013 define as especificações para criação, manutenção e melhoria de um sistema de gestão de segurança da informação (ISMS). Essa norma fornece regras e processos para gerenciar seu ISMS:

Definição das funções essenciais, como gerente de segurança da informação

Metodologia de gerenciamento de risco estruturada para ativos

Processos para avaliação e criação de instruções internas de segurança da informação

Ferramentas para for ISMS surveillance – auditoria, teste de penetração, monitoramento KPI etc.

Critérios para tratamento de problemas de segurança (gestão de incidentes)

Especificações para treinamento e conscientização

Ações recomendadas para melhorar a segurança

A última é crítica! Não somente você tem especificações para ISMS, você também recebe uma lista de tarefas de ações de segurança da informação, chamada controles.

Anexo A da ISO 27001:2013 tem uma lista de 114 controles, agrupadas em 14 categorias. Esses controles estabelecem o nível de segurança da linha de base o qual pode ser usado para verificar suas operações, prédios, fornecedores dentre outros.

E o melhor de tudo, ele abrange muito mais do que todo o departamento de TI de sua empresa! Você pode proteger cada lacuna contra-ataques externos se implantar essas medidas:

Políticas de segurança da informação

Organização da segurança da informação

Segurança de recursos humanos

Gerenciamento de ativos

Controle de acesso

Criptografia

Segurança física e ambiental

Segurança da operação

Segurança da comunicação

Aquisição, desenvolvimento e manutenção do sistema

Relacionamentos com fornecedores

Gestão de incidente de segurança da informação

Segurança da informação da gestão de continuidade de negócios

Conformidade

Por fim, tenha em mente que a ISO 27001 apenas diz o que fazer, não como. Você precisa adaptar as especificações da norma às necessidades e recursos da sua empresa.

Por exemplo, hospedamos Netilion no Amazon Web Services, o qual tem certificado ISO-27001. Quando a Netilion fornece serviços ou recursos, ela usa canais de comunicação seguros. E sim, também estamos providenciando a certificação para eles.

Mantenha-se atualizado com o mundo da IIoT e Netilion.

Inscreva-se na nossa newsletter para receber artigos informativos. Ao se inscrever, você concorda que leu e aceita a Política de Privacidade. Você pode cancelar sua inscrição a qualquer momento.


Por que a certificação é importante?

Com a certificação, uma empresa pode comprovar que ela atende as especificações padrões. Um órgão de certificação independente audita uma empresa em relação ao padrão e emite a certificação somente se ela atender todas as especificações. Esse órgão não é somente independente da empresa, mas também regulada por um órgão de certificação nacional para manter a qualidade de suas auditorias.

De forma semelhante, quando o assunto é escolher e trabalhar com fornecedores, a certificação também pode ajudar. Há muitas opções, é claro:

Visitar um fornecedor em potencial para conferir se ele mantém boas práticas, mas o deslocamento pode ser dispendioso e pode ser que você não identifique tudo o que precisa saber.

Simplesmente pergunte. Às vezes, a maneira mais fácil de obter informações é perguntar. Um fornecedor com uma boa reputação deve fornecer respostas bastante confiáveis, mas esse método vem com poucas garantias.

Solicite um certificado de um órgão de certificação credenciado. O órgão de certificação revisará o ano anterior do fornecedor e a certificação comprova que a empresa atende a norma.

Feche os olhos e espero o melhor. Recomendamos todas as outras abordagens antes dessa.

Outras considerações

Se você chegou até aqui, certamente se preocupa com a segurança da informação, então pode ser que queira considerar a aquisição de um sistema que atenda as normas ISO 27001. A maioria das empresas certificadas terá essas informações em seus websites, geralmente na página inicial porque têm orgulho de conquistar a certificação.

Como mencionei em nosso último post no blog, o Netilion recebeu a classificação 4 estrelas da EuroCloud’s Star Audit Assessment para suas plataformas seguras e seus protocolos de segurança de última geração. Mas e a ISO 27001?

A Endress+Hauser Process Solutions AG, empresa controladora do Netilion, revisou as especificações e solicitou a certificação estando confiante de que vai ser bem-sucedida. Então fique ligado no lançamento do certificado ISO-27001 do Netilion!

Isso significa que agora seria o momento perfeito para pesquisar sistemas IS. Experimente alguns, se eles oferecerem uma opção de teste gratuito (o Netilion oferece). Veja o que cada um deles faz e o quanto atende a sua empresa.

E, como sempre, se gostou desse artigo, compartilhe-o em sua rede social usando #Netilion.

Proteja-se!