A ISO 27001, versão de 2013 é a Norma certificável. Ela é apoiada pela 27002:2013, que contem as orientações para implementar os 40 itens e os 133 controles da 27001.
Isso mesmo, mais de 170 ações e providências, que abrangem TUDO, mas tudo mesmo, de TI.
Ela vai desde a análise de riscos - a ações para elimina-los ou reduzi-los até a necessidade de existirem processos de acesso físico, processo para receber um hardware novo, para atualizar um patch do windows…
Até o compliance, o desenvolvimento seguro, a segregação de funções, o processo de seleção e contratação das pessoas… e por aí vai.
Pode-se fazer uma analogia da Segurança da informação com a Segurança da nossa casa, onde moramos.
Se um ladrão quiser, mesmo, entrar, não há sistema de alarme, cachorro, tranca, muro que impeça. Fora que os moradores da casa podem, distraídos, deixar alguma tranca sem trancar, algum alarme sem alarmar…etc.
Na SI é igual.
Então, para ter segurança da informação, temos que tratar das ameaças externas mas temos que tratar também das internas.
E, aí tem a notícia boa - Mais ide 60% dos incidentes de segurança da informação são causados pelo pessoal interno. Desses, mais de 75% são relativos ao comportamento das pessoas, não à sabotagem, roubo, ou outra maldade qualquer.
Quando você implanta - e certifica - um Sistema de Gestão da Segurança da Informação baseado na ISO 27001:2013, você coloca os melhores "boas práticas” da segurança da informação. Como todo sistema de gestão ele se auto-sustenta, com aqueles 5 princípios que a gente sempre repete:
- Objetivos claros com metas, responsáveis e planos de ação acompanhados regularmente.
- Processos - Mapeados, Modelados, com Indicadores
- Auditorias Internas feitas pelo seu próprio pessoal
- Registro de Tratamento de Não Conformidades
- Reuniões de Análise Crítica da empresa toda, discutindo os indicadores, os planos de ação, etc.
Mas tem um outro efeito, mais potente:
O mercado todo fica sabendo que você tem as melhores práticas de gestão da Segurança da Informação, certificado e auditado por um organismo de 3a. parte.
Assim, se alguma coisa ruim acontecer - e acontece, infelizmente - fica parecido com a analogia da casa: “Temos tudo que precisa, temos as melhores práticas, mas invasões são impossíveis de evitar. A cada dia o mundo cria milhares de ameaças. Algumas dão certo. Mas continuaremos a fazer todo o possível para mante nossa “casa protegida”.
Por tudo isso, oferecemos uma “live" sobre isso para o seu pessoal.
Quando você for contratar a consultoria, cote com outros, não faça compromisso conosco.
Para pedir a “live" clique aqui: https://www.solarplex.com.br/formulario-de-inscricao
