Para ter a certeza de que as informações sensíveis da sua empresa estão absolutamente seguras, precisa de implementar a ISO 27001, ou seja, um Sistema de Gestão de Segurança da Informação (SGSI) que proteja a confidencialidade, integridade e disponibilidade de dados. Porém, a que etapas do processo de certificação tem de obedecer para implementar esse conjunto de requisitos e controlos para gerir riscos?
Porque devo implementar a ISO 27001 na minha empresa?
Porque a norma ISO 27001 vai ajudar a sua empresa a adotar um modelo reconhecido internacionalmente como um modelo eficaz para estabelecer um Sistema de Gestão de Segurança da Informação. E fá-lo, identificando potenciais problemas que podem ocorrer com a informação na sua empresa e implementando as ações necessárias para os resolver e prevenir no futuro.
Desta forma, a ISO 27001 mantém o seu negócio em conformidade com leis e regulamentos nacionais e internacionais, como o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia. E além disso, passa uma ideia de profissionalismo e credibilidade, mostrando aos seus diferentes públicos internos e externos, comprometimento com a confidencialidade e integridade dos dados, o que melhora a vantagem competitiva no mercado.
A certificação ISO 27001 é obrigatória?
Conheça as vantagens ISO 27001 para empresas e clientes!
Não, mas é aconselhada e até imposta pelo mercado em algumas áreas de atividade que colocam a ISO 27001 como requisito de contratação obrigatório, por exemplo em concursos públicos ou grandes grupos económicos.
A minha empresa faz parte do grupo de negócios que deve implementar a ISO 27001?
Seguramente que sim! Independentemente do tamanho e área de atuação, todas as empresas que tenham de armazenar dados e informações, possuam um Sistema de Gestão de Segurança da Informação e/ou tenham uma política de proteção de dados devem obter a certificação ISO 27001.
Como implementar a ISO 27001 na minha empresa?
Embora não exista um caminho rápido e fácil para implementar a ISO 27001 na sua empresa (soluções eficazes e rentáveis demoram o seu tempo), podemos facilitar-lhe o trabalho, resumindo as 5 grandes etapas para obter a certificação:
- Entender o contexto da empresa
A primeira grande etapa para implementar a ISO 27001 é a análise e compreensão das características e necessidades da sua empresa, para definição dos objetivos internos e políticas do SGSI.
- Avaliar os riscos
A segunda etapa é a avaliação de todos os processos empresariais internos relacionados com a segurança da informação, para a identificação e classificação de riscos associados.
- Estabelecer controlos operacionais
A terceira etapa é a implementação de controlos operacionais nos processos internos, para controlo, diminuição ou mesmo eliminação dos riscos e perigos identificados na etapa anterior.
- Fazer a análise de eficácia
A quarta etapa é a análise de eficácia, para monitorização do desempenho dos controlos operacionais implementados na sua empresa de modo a garantir a segurança de todos os dados sensíveis. E sim, é nesta etapa da implementação ISO 27001 que entra a tão temida auditoria interna que (avisamo-lo já!) pode obrigar a alguns ajustes ou alterações.
- Insistir na melhoria contínua
A quinta e última etapa para implementar a ISO 27001 é a melhoria contínua, que é suposto fazer de forma constante a partir do momento em que obtém a certificação.
O objetivo é garantir que todos os processos estão a ser avaliados regularmente, que os riscos estão a ser geridos de forma eficaz e que os novos controlos operacionais estão a ser identificados na senda de um Sistema de Gestão de Segurança da Informação em melhoria contínua.
Quais são os controlos internos que devo avaliar?
De acordo com o Anexo A da norma ISO 27001, devem ser avaliados vários controlos internos na sua empresa, entre os quais destacamos:
- Organização Interna
- Dispositivos móveis
- Controlo de acesso à informação
- Segurança de dados
- Segurança física
- Segurança em trabalho remoto
- Segurança em Recursos Humanos
- Segurança nas operações
- Segurança nos equipamentos
- Segurança em desenvolvimento e suporte
- Criptografia
- Proteção contra malware
- Copias de segurança
- Controle de software operacional
- Gestão de vulnerabilidades
- Transferência de informação
- Gestão de incidentes
- Requisitos legais
Quanto tempo demoro a obter a certificação ISO 27001?
O tempo de implementação do Sistema de Gestão de Segurança da Informação varia de acordo com a realidade, maturidade e dimensão da sua empresa. Mas existem alguns fatores em concreto que podem acelerar ou prolongar o processo, desde logo a equipa que fará parte do projeto. Se a equipa designada tiver formação adequada e conhecimento de causa a nível dos processos internos da sua empresa e ainda, todo o tempo disponível para se dedicar a este projeto, a implementação é mais rápida.
Porém, o método de certificação escolhido também influencia o tempo que vai demorar a obter a certificação. Na Templum, por exemplo, disponibilizamos consultoria online para agilizarmos a implementação ISO 27001.
Em suma, se tiver uma equipa com o conhecimento, comprometimento e disponibilidade necessária para obter a certificação, e optar por uma consultoria remota, consegue implementar a ISO 27001 num ano, em média. Seguindo outro caminho pode demorar mais tempo, mas em todo o caso o mais importante é não deixar de apostar na segurança da informação para obter a certificação.
Quanto custa a implementação ISO 27001?
O preço da certificação ISO 27001 depende das especificidades da sua empresa: número de colaboradores envolvidos, número de locais envolvidos, número de ativos de informação envolvidos, etc. Portanto, para obter uma estimativa, nada como clicar aqui e solicitar uma proposta à Templum!
