Scroll Top

ISO/IEC 27001, Como se tornar uma empresa certificada

ISO/IEC 27001

Projetado e regulamentado pela International Organization for Standardization, a certificação ISO/IEC 27001 é um padrão de segurança cibernética ideal para empresas que buscam, ou precisam, reforçar sua estratégia de segurança de dados e reduzir riscos. 

A certificação conta com uma estrutura para a implementação de sistemas de gerenciamento de segurança da informação (ISMS), garantindo confidencialidade, integridade e disponibilidade dos dados da organização, desde informações financeiras, propriedade intelectual, dados de funcionários até informações gerenciadas por terreiros. 

Empresas que conquistam o certificado ISO/IEC 27001 demonstram um forte compromisso com a segurança de dados, garantindo aos stakeholders ser confiável e apta a realizar negócios com outras empresas e organizações governamentais que exigem a certificação para fechar acordos. 

A ISO/IEC 27001 funciona da seguinte forma: a organização desenvolve um ISMS, descrevendo suas políticas de segurança, procedimentos, pessoas envolvidas e tecnologias utilizadas, e solicita que um órgão de certificação audite o ISMS para atestar que ele está em conformidade. Se essa auditoria for bem-sucedida, o ISMS é certificado pela ISO/IEC 27001:2022. 

A certificação, na maioria das vezes, diz respeito à empresa, mas também é possível certificar os profissionais que irão implementar ou auditar a ISO/IEC 27001. 

Quais as etapas para obter a ISO/IEC 27001

Obter a certificação ISO/IEC 27001 não é algo rápido ou fácil, mas o tempo varia de empresa para empresa. Normalmente, o processo leva pelo menos um ano para garantir que a organização está compatível com as normas. Para iniciar a jornada, é preciso seguir algumas etapas: 

Desenvolva um projeto

Para alcançar a conformidade com a ISO/IEC 27001 é essencial desenvolver um projeto que auxilie no gerenciamento da jornada. 

Faça uma avaliação de risco

As avaliações de risco ajudam a identificar o escopo do projeto, incluindo os ativos, ameaças e riscos em geral, entender a possibilidade se ser ou não certificado e criar um roteiro de segurança para lidar com os riscos à segurança cibernética. Essa etapa é a ideal para implementar controles de segurança com base nessa avaliação. 

Documente todo o processo

Durante a auditoria, é necessário fornecer uma documentação ao auditor que demonstre que a empresa está atendendo aos requisitos da ISO/IEC 27001 em seus processos de segurança. 

Monitore e corrija

Monitorar os procedimentos documentados é essencial para que problemas sejam rapidamente identificados, evitando que a empresa seja reprovada na auditoria e permitindo que as correções sejam implementadas. 

Processo de auditoria para a ISO/IEC 27001

Depois dessas primeiras etapas, chegou a hora de enfrentar a auditoria em si. São três os estágios: 

Estágio 1

É realizada uma revisão do sistema de gerenciamento de segurança da informação para garantir que todas as políticas e controles estejam em vigor. Nesta etapa, o auditor irá analisar a documentação, a política e os objetivos do ISMS, a metodologia de avaliação de riscos, o Relatório de Avaliação de Riscos, a Declaração de Aplicabilidade e o Plano de Tratamento de riscos, mais os procedimentos de controle de documentos, ações preventivas e corretivas e a auditoria interna. 

Para passar por essa fase, a empresa precisa ter realizado pelo menos uma auditoria interna e análise gerencial. Caso algum elemento não esteja completo, não é possível passar para o estágio 2. 

Estágio 2

Neste estágio, as práticas e atividades reais da empresa serão revistas para garantir que atendam aos requisitos da ISO/IEC 27001 e as políticas de segurança. Normalmente, esse estágio é realizado algumas semanas depois do estágio 1 e o auditor irá verificar se o ISMS está sendo realmente adotado por toda a empresa. Para isso, ele realizará entrevistas com funcionários, mas também irá analisar os registros para ter certeza de que a organização está cumprindo com as políticas e procedimentos de segurança. Se tudo estiver dentro das normas, o órgão certificador pode emitir a certificação ISO/IEC 27001. 

Caso haja algum problema, ele dará um prazo, normalmente de 90 dias, para que a não conformidade seja resolvida. Isso feito, a empresa notifica o auditor e envia um relatório com as ações realizadas. 

Estágio 3

Para manter a conformidade com a ISO/IEC 27001 é necessário realizar revisões e auditorias periódicas. Durante o período de validade, de três anos, o órgão certificador irá analisar anualmente se o ISMS está sendo mantido corretamente por meio de auditorias semelhantes à auditoria principal, mas mais curtas. Essas auditorias seguem as mesmas etapas da certificação inicial. 

O que o auditor irá verificar?

Em primeiro lugar, o auditor irá verificar toda a documentação existente — isso é normalmente feito durante o Estágio 1 – solicitando todos os documentos exigidos pela norma e qualquer documento desenvolvido pela empresa para suportar a implantação do ISMS. 

O passo seguinte é confirmar que todos esses documentos correspondem à realidade da organização — processo realizado no Estágio 2. Por exemplo, para garantir que a Política de segurança seja revisada anualmente, ele pode exigir os registros da empresa, atas de reuniões etc. Da mesma forma, em relação aos controles de segurança, o auditor precisa ter certeza que eles foram implementados, para isso pedirá acesso a logs, arquivos no sistema, configurações, acordos com fornecedores, leis vigentes entre outros. 

Por fim, o auditor irá verificar se os funcionários estão familiarizados com a política de segurança e se eles realmente a utilizam no dia a dia de trabalho. Para isso, irá entrevistar os funcionários para entender o grau de conhecimento de cada um deles em relação à política de segurança, confidencialidade, uso dos ativos, políticas de acesso etc. 

Como a SVX pode ajudar na obtenção da ISO/IEC 27001

É obtenção da ISO/IEC 27001 é possível para qualquer empresa, e muitas optam por realizar esse processo sozinhas. Entretanto, como citado acima, conquistar a certificação não é uma tarefa simples ou fácil, e muito menos barata — não há um custo fixo para a certificação ISO/IEC 27001, cada órgão de certificação irá cobrar com base em alguns fatores, mas também de acordo com o tamanho da empresa e o preço dos auditores de certificação locais. O que torna o apoio de uma consultoria especializada, como a SVX, fundamental para não correr riscos de não cumprir com alguma exigência. 

A SVX assessora e prepara as empresas para tornar esse processo mais eficiente. Esse trabalho consiste na avaliação inicial de possíveis gaps e no desenvolvimento e implantação de planos de ações para garantir que a empresa está apta para receber o auditor do órgão certificador. Entre em contato para agendar uma reunião e entender como a SVX pode te ajudar a conquistar a certificação ISO/IEC 27001. 

+ conteúdo