A ISO 27001 é aplicável às empresas que se preocupam em ter os seus ambientes, digitais e físicos, seguros, de forma a garantir a disponibilidade, a confidencialidade e a integridade da informação.

No RGPD verificamos somente as informações relacionadas com os dados pessoais com que a empresa opera, e enquanto isso na ISO 27001 são considerados não só dados pessoais, mas qualquer informação que seja importante para a organização. Como por exemplo, informações estratégicas de negócios, segredos industriais, informações de clientes etc. Sempre levando em consideração os 3 pilares da norma: confidencialidade, integridade e disponibilidade das informações.

Com isto há uma infinidade de informações que a empresa opera que, quando olhamos somente para o RGPD, não são analisadas e, por consequência, pode implicar falhas na segurança dessas informações provocando fuga de dados. Por exemplo, algum software pode não fazer parte das análises de riscos e cria uma vulnerabilidade interna que pode resultar na fuga de informações sigilosas.

A ISO 27001 permite às empresas ter âmbito reduzido, ou seja, poderá ser relativo a uma atividade ou produção de um produto ou serviço específico.

A análise é se compensa ou não ter o âmbito reduzido, uma vez que mesmo com a redução alguns controlos precisarão de ser implementados de forma integral na empresa.

Isso depende de algumas variáveis que deve levar em consideração para esse cálculo, que são:

1. Equipa: quem são as pessoas que farão parte desse projeto e o nível de conhecimento que têm dos processos internos e do negócio da empresa. Como se trata de uma norma de gestão de risco, quanto maior o conhecimento sobre a organização, mais ágil será o processo de implementação.
2. Tempo: qual é o tempo disponível das pessoas para a dedicação nesse projeto. Aqui na Templum indicamos a necessidade de uma dedicação diária ao projeto para que as atividades estejam conectadas e assim diminuir a quantidade de retrabalho.
3. Método: qual é o método escolhido para essa implementação? Se optar pela consultoria online da Templum, seguindo as nossas instruções garantimos uma agilidade acima de 30% em relação a outros métodos.

Desta forma, uma empresa de média dimensão, que aplica as variáveis acima indicadas, consegue obter a certificação, na média, em 12 meses.

Sim, inclusive a norma ISO 27001 é essencial nesse caso, pois, ajudará a estabelecer padrões, políticas e controlos que irão auxiliar a sua empresa no contexto da segurança da informação, mesmo com os colaboradores em teletrabalho.

Sim, durante a consultoria ISO 27001 será necessário um apoio jurídico para que seja analisada a parte legal nas relações com colaboradores e fornecedores relacionadas à segurança da informação e demais definições dependendo do seu setor de atuação. Este apoio deverá ser providenciado pela sua empresa.

Esta é uma resposta bem particular para cada empresa e só conseguiremos ter a certeza desse investimento após a aplicação do Diagnóstico Inicial.

De forma geral, qualquer empresa que quiser obter a Certificação ISO 27001 precisará de realizar alguns investimentos:

1. Contratar uma consultoria para auxiliar a empresa na implementação;
2. Fazer um Gap Analysis (Diagnóstico Inicial);
3. Ter apoio jurídico na adequação de contratos:
4. Investir em segurança física das instalações e dos equipamentos;
5. Contratar um Pentest (Teste de Intrusão) para assegurar resposta às vulnerabilidades;
6. Realizar a auditoria interna no final da implementação;
7. Realizar a auditoria de certificação pela Entidade Certificadora;
8. Manter ações de melhoria contínua e verificação independente do Sistema de Gestão.