Em todas as empresas, fazer uma gestão da informação eficiente garante benefícios que vão da proteção de dados estratégicos à obtenção de novos negócios. Para que a companhia possa usufruir do que uma gestão adequada oferece, é preciso garantir que políticas, processos, hardwares e softwares supram suas necessidades, considerando todos os riscos e atividades do negócio. Uma maneira de ter certeza de que está tudo sendo feito corretamente é seguir orientações de normas de segurança da informação, que determinam controles, regras e diretrizes para a área.

A sua equipe de Tecnologia da Informação (saiba como montar um time eficiente) pode usar como guia de boas práticas as recomendações das normas ISO/IEC da série 27000. Elas abordam Sistema de Gestão de Segurança da Informação (SGSI), gestão de riscos, aplicação de controles, monitoramento, revisões e outros aspectos. São uma maneira de implementar, monitorar e estabelecer objetivos tangíveis. Nós também produzimos um checklist de segurança da informação que pode ser útil no dia a dia da área.

O que são normas técnicas

As normas técnicas determinam regras, diretrizes e características mínimas para atividades ou resultados. Elas são aprovadas por um organismo reconhecido e as empresas que atendem suas exigências podem receber uma comprovação de excelência quando auditadas. Em muitos casos, clientes exigem que as companhias possuam determinadas certificações para fecharem negócios, já que assim eles garantem que serviços e produtos sejam oferecidos de acordo com boas práticas internacionais, que podem ser de gestão, segurança, inovação ou processo.

Para as instituições serem certificadas, elas passam por auditorias realizadas por entidades certificadoras, que checam todos os processos e conformidades. O processo de obtenção do certificado pode variar de acordo com o serviço, produto ou o porte da companhia, mas geralmente inclui aplicação das diretrizes da norma, análise de documentação, realização de auditorias internas para verificação de inconformidades, adequação e auditorias externas.

 

Normas de segurança da informação

Existem normas que regem a elaboração e aplicação de um Sistema de Gestão de Segurança da Informação. Elas têm o objetivo de garantir confidencialidade, integridade e disponibilidade da informação, fatores essenciais para um sistema corporativo seguro.

 

Evolução

A BS7799, norma britânica desenvolvida pelo British Standards Institution, é amplamente conhecida. Ela foi aprovada pela ISO (International Organization for Standardization) e pela IEC (International Electrotechnical Commission) para utilização internacional e passou a ser conhecida como ISO/IEC 17799 em 2000. A partir de 2005, começaram a ser publicadas as normas da série 27000, como a ISO/IEC 27002, que substituiu a 17799.

 

Vantagens

A aplicação das normas da série ISO/IEC 27000 não é obrigatória, mas elas reúnem recomendações para uma gestão eficiente e que entregue bons resultados para a companhia. Dentre elas, apenas a 27001 é passível de certificação. As demais funcionam como base para alcançar os resultados positivos (em especial a 27002: saiba mais aqui).

A ISO/IEC 27001 define requisitos para implementação, operação, monitoramento, revisão, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação. Ela pode ser aplicada em qualquer organização, independentemente de porte ou setor, e é ainda mais valorizada em empresas que priorizam a segurança da informação e a têm como fator crítico para as operações, como é o caso de empresas de finanças, TI e setores públicos.

Embora essa certificação não seja obrigatória, ela pode trazer diversos benefícios para a sua companhia:

 

Aplicar as recomendações das normas de segurança da informação é um importante passo para a excelência do setor na sua companhia. E a gestão de TI é fator primordial para esse sucesso, pois é preciso que seja eficiente e vença todos os desafios que um CIO enfrenta diariamente.

Autor

Marney Muller
Marney Muller
Formado em Administração de Empresas pela UFRGS, com mais de 20 anos de experiência e atuação no ramo corporativo de Tecnologia. Possui a certificação de negócios Cisco Business Value Specialist.