O que é ISO?
Muitos se perguntam ou possuem dúvidas sobre o que é uma ISO, não conhecendo sua definição e os impactos que causam nas instituições.
A palavra ISO é oriunda do inglês, e significa International Organization for Standardization, que significa “Organização Internacional para Padronização”. Sua fundação ocorreu em 1946 em Genebra (Suíça), com o propósito de desenvolvimento e padronização de normas que podem ser aderidas a nível mundial.
No Brasil, a organização é representada pela Associação Brasileira de Normas Técnicas (ABNT), cuja função é realizar a administração da normalização técnica, e a cada aprovação e publicação da norma técnica pela “ABNT”, há um código específico por uma sigla “NBR” e cada norma possui um escopo, por exemplo ISO 9001 (Qualidade); ISO 27701 (Proteção de Dados), dentre outras.
Benefícios para se certificar
Há o estigma de que uma ISO é uma série de documentos e um processo burocrático, no entanto, nos últimos anos, observamos uma melhor aderência e um grande avanço.
São inúmeros os benefícios de possuir uma certificação, onde podemos citar:
- Diferencial com relação ao mercado, pois uma empresa certificada significa que foi auditada, ou seja, comprova não ser apenas boa no que faz, mas que segue uma padronização em seus processos internos;
- Aumento reputacional pela demonstração na preocupação da empresa com o seu serviço oferecido;
- Ajuste a rotinas e necessidades da instituição, podendo ser aderida por todas as empresas, independente do porte
- Maior integração de processos, auxílio na tomada de decisões e melhora contínua da cultura.
Por estes motivos, todas as instituições ao decidirem implementar uma ou mais ISOs alcançam excelentes retornos, pois há uma elevação no nível de reconhecimento internacional.
Novidades sobre a ISO 27002/2022
A ISO 27002/2022 foi lançada não com o intuito de proteger um tipo de informação, mas englobar qualquer tipo de informação e protegê-las através de controles, softwares, sistemas, para blindar, proteger e preservar a confidencialidade, integridade e disponibilidade. Além disso, a norma busca atuar com a prevenção da instituição para possíveis cenários desfavoráveis, a fim de blindar a reputação.
Com relação a ISO 27002/2013, a norma sofreu algumas alterações, e dentre as principais estão:
- Os principais termos e definições vão ser incluídos no documento, para não possuir necessidade de consultar a norma 27000;
- A norma apresenta 5 medidas de controles para facilitar o entendimento da sua aplicação, apresentados na seção 4 da estrutura do documento;
- Diferente das 14 sessões que tínhamos em 2013, na nova ISO 27002/2013 há apenas 4 sessões e em vez de 114 controles, temos em média 93 controles;
- Muitos dos títulos da ISO 27002/2013 foram preservados, mas o conteúdo sofreu alterações.
- Nenhum dos controles foram excluídos, mas remanejados nas sessões.
Também, para auxílio das instituições que já tenham se certificado, há um arquivo anexo com os itens da ISO 27002/2013, relacionando-se com a nova estrutura da ISO 27002/2022. Além disso, no caso dos controles, está disposta na nova norma um mapeamento com relação às normas internacionais para quem quiser implementar um controle.
Disponibilização da ISO 27001
Quando falamos sobre a ISO 27002, de forma automática já nos remetemos em pensamento a ISO 27002, isso porque, esta é a principal norma de segurança da informação do mundo.
A nova versão da ISO 27001/2013 foi aprovada, e no Brasil, a ABNT já está em processo de trabalho para disponibilização da versão do documento atualizada até Janeiro de 2023. Estima-se que mesmo que a revisão traga apenas mudanças moderadas, é importante que as instituições analisem a norma com maior atenção.
Uma das principais mudanças que podemos identificar é uma mudança moderada nas cláusulas 4 a 10, e nos controles trazidos no “Anexo A”. Ainda, assim como a ISO 27002, ocorreu uma diminuição dos controles, de 114 para 93 em 4 sessões.
Vale ressaltar que apesar da semelhança, a ISO 27001/2013 não pode ser confundida com a norma ISO 27002/2013 – como mencionado anteriormente, a primeira é a principal norma de segurança da informação e que pode ser buscada a certificação da sua empresa, enquanto a segunda norma, é utilizada como suporte aos controles do Anexo A (ISO 27001), fornecendo diretrizes sobre sua implementação.
Sendo assim, constata-se que a ISO 27002 não é uma norma obrigatória para certificação da ISO 27001, não podendo uma instituição certificar-se pela norma 27002.
Dicas para iniciar processo de certificação
Como se sabe, para obter a certificação, há uma série de procedimentos que devem ser respeitados. Sendo assim, recomendamos que:
- Seja realizada uma apresentação da norma, no que diz respeito aos seus princípios, benefícios, e requisitos para todos os colaboradores da empresa, pois isso promoverá uma maior aderência dos colaboradores quanto a colaboração e participação no processo de implementação;
- Criação de um plano de ação para contribuição do monitoramento para consulta se todo o planejamento está sendo executado, e não executado, facilitando assim as definições das ações para atingimento dos objetivos;
- Estabelecer uma comunicação eficiente em todos os departamentos da instituição, pois cada procedimento será designado para um ou mais setores, e essa integração é fundamental nesse processo de conformidade;
- Realize a nomeação de um profissional que irá realizar a gestão do projeto de implementação da certificação (delegar atividades; monitorar ações; etc);
Conclusão
Concluímos que para que uma instituição consiga uma certificação ISO há necessidade de dispor de projeto, e um meio capaz de consolidar todas as informações, prazos, etapas, capazes de garantir que todas as etapas estão sendo feitas de forma correta e, principalmente, de acordo com que é requerido pela norma. Possuir esse rigor auxiliará a instituição a alcançar excelência em todas as etapas, e o devido reconhecimento.
Pensando nisso a BE desenvolveu a BE STANDARDS, uma plataforma voltada para o Compliance regulatório, onde conseguirá realizar uma gestão otimizada de todos os requisitos dos normativos. Por isso, convidamos você para entrar em contato conosco clicando no botão abaixo para agendamento de uma demonstração sobre essa nova solução que vem revolucionando o mercado!