ISO 27002: Boas Práticas para a Gestão da Segurança da Informação

A segurança da informação é um tema que ganhou relevância nos últimos anos, obtendo espaço nas mídias e tornando-se essencial em empresas de variados portes e segmentos. Em contrapartida, é importante frisar que a popularização do termo SI (Segurança da Informação) foi motivada pelo aumento no número de incidentes de segurança, ocorridos em âmbito mundial. Os transtornos gerados por estes incidentes são variados, gerando desde danos à imagem do negócio, vazamento de informações críticas, podendo acarretar em perdas financeiras substanciais.

O aumento do número de ocorrências influencia na percepção de valor sobre investimentos em SI, e faz com que empresas busquem a estruturação de processos para garantir que seus negócios estejam protegidos contra os mais variados tipos de ameaças virtuais.

Em meio a este cenário, surgiu a norma internacional NBR ISO/IEC 27002, que foca nas boas práticas para a gestão da segurança da informação. Nos dias de hoje, ela é fundamental para a consolidação de um Sistema de Gestão de Segurança da Informação (SGSI), garantindo a continuidade e manutenção dos processos de segurança, alinhados aos objetivos estratégicos da organização. A seguir, conheça as principais características da norma, bem como os benefícios associados à sua implantação:

O que é a ISO 27002?

Em 1995, as organizações internacionais ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) deram origem a um grupo de normas que consolidam as diretrizes relacionadas ao escopo de Segurança da Informação, sendo representada pela série 27000. Neste grupo, encontra-se a ISO/IEC 27002 (antigo padrão 17799:2005), norma internacional que estabelece um código de melhores práticas para apoiar a implantação do Sistema de Gestão de Segurança da Informação (SGSI) nas organizações.

Através do fornecimento de um guia completo de implementação, ela descreve como os controles podem ser estabelecidos. Estes controles, por sua vez, devem ser escolhidos com base em uma avaliação de riscos dos ativos mais importantes da empresa. Ao contrário do que muitos gestores pensam, a ISO 27002 pode ser utilizada para apoiar a implantação do SGSI em qualquer tipo de organização, pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos; e não apenas em empresas de tecnologia.

Quais são seus objetivos?

O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa.

ISO 27002: Benefícios para as Empresas

As vantagens proporcionadas pela certificação ISO 27002 são representativas para as empresas, principalmente pelo fato de serem reconhecidas mundialmente. Conheça alguns benefícios associados à aplicação da norma:

• Melhor conscientização sobre a segurança da informação;
• Maior controle de ativos e informações sensíveis;
• Oferece uma abordagem para implantação de políticas de controles;
• Oportunidade de identificar e corrigir pontos fracos;
• Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos;
• Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação;
• Melhor organização com processos e mecanismos bem desenhados e geridos;