A ISO 27001 é uma norma internacional que estabelece requisitos para um sistema de gestão da segurança da informação (SGSI) em uma organização. A implementação da ISO 27001 traz diversos benefícios para a empresa, incluindo a proteção de informações sensíveis e a melhoria na gestão de riscos de segurança da informação. No entanto, como em qualquer processo de implementação de um sistema de gestão, há riscos envolvidos. Neste artigo, exploraremos os principais riscos de segurança na implementação da ISO 27001 e estratégias para mitigá-los.
Pilares da ISO 27001
Os três pilares determinados pela ISO 27001 são: confidencialidade, integridade e disponibilidade.
Confidencialidade:
Existem centenas (talvez milhares) de informações documentadas circulando na sua empresa nesse exato momento. Do mesmo modo, existem diversas pessoas acessando estas informaç~eos documentadas o tempo todo. A pergunta que se deve responder é: quem exatamente pode ter permissão para acessá-los?
Integridade
Segundo esse pilar, além de estar disponível, a informação documentada tem de ter sua integridade garantida. Não pode conter rasuras, amassados ou outros danos que impossibilitem sua leitura. No caso de um arquivo digital, por exemplo, os arquivos não podem estar corrompidos. Outro aspecto importante é garantir que os documentos não sofram nenhum tipo de alteração indevida, seja intencional ou nã
Disponibilidade
Esse pilar faz sentido especialmente quando pensamos nas pessoas! Pois ele determina que as informações estejam disponíveis para uso quando e onde forem necessários. Ele também é muito aderente à própria ISO 9001:2015, que diz no item 7.5.3.1 (alínea A) que a informação deve estar “disponível e adequada para uso, onde e quando ela for necessária”. Isso é muito importante porque, muitas vezes, as informações documentadas são ferramentas de trabalho das pessoas.
Riscos de Segurança na Implementação da ISO 27001
O primeiro risco a ser considerado é a falta de comprometimento da alta direção da empresa. A implementação da ISO 27001 requer investimentos financeiros e de recursos humanos significativos, além de mudanças culturais na organização. A liderança da empresa deve estar comprometida com o processo para garantir que todas as etapas sejam concluídas com sucesso.
Outro risco importante é a falta de competência ou conhecimento técnico do pessoal envolvido. A implementação da ISO 27001 exige habilidades técnicas específicas, como o desenvolvimento de políticas e procedimentos de segurança da informação e a realização de análises de risco. A empresa deve garantir que as pessoas encarregadas de implementar o SGSI tenham a formação e o conhecimento necessários.
Um terceiro risco é a falta de alinhamento entre o SGSI e a estratégia de negócios da empresa. A ISO 27001 requer que a empresa estabeleça objetivos e metas para a segurança da informação. Esses objetivos devem estar alinhados com a estratégia de negócios da organização. Caso contrário, a implementação do SGSI pode não atender às necessidades da empresa e pode ser vista como um obstáculo.
Estratégias para Mitigar os Riscos da ISO 27001
Para mitigar os riscos mencionados acima, é essencial que a liderança da empresa esteja comprometida com a implementação da ISO 27001. A alta direção deve fornecer o apoio necessário, incluindo recursos financeiros e humanos, para a implementação bem-sucedida do SGSI. Além disso, é importante que a liderança da empresa promova uma cultura de segurança da informação na organização.
Para garantir a competência técnica do pessoal envolvido na implementação da ISO 27001, a empresa pode fornecer treinamento e educação sobre segurança da informação. Isso pode incluir cursos de formação em segurança da informação, certificações profissionais e a contratação de especialistas externos em segurança da informação.
Para garantir o alinhamento entre o SGSI e a estratégia de negócios da empresa, é fundamental que os objetivos de segurança da informação sejam estabelecidos de acordo com a estratégia de negócios da organização. Isso pode envolver a consulta de outras áreas da empresa para entender as necessidades de segurança da informação e a definição de objetivos de segurança da informação que apoiem os objetivos de negócios da empresa.
A implementação da ISO 27001 é um processo complexo que envolve riscos de segurança da informação. No entanto, com o comprometimento da liderança da empresa e a adoção de estratégias para mitigar os riscos, é possível implementar com sucesso um SGSI que proteja as informações sensíveis da organização e melhore a gestão de riscos de segurança da informação.