As chaves do SGSI
Por Carlos Villamizar R – Diretor de Operações da GlobalSUITE® na Colômbia
Para a implementação de um Sistema de Gestão de Segurança da Informação, a norma ISO27001:2013 estabelece os requisitos que uma organização deve cumprir para a definição, implementação, revisão e melhoria contínua da segurança da informação. O objetivo é proteger adequadamente a informação contra ameaças que possam afetar a sua Confidencialidade, Integridade e/ou Disponibilidade. Neste contexto, entende-se por informação todo o conjunto de dados organizados em poder de uma entidade que possuam valor para a mesma, independentemente da forma como se guarde ou transmita (escrita, em imagens, oral, impressa em papel, armazenada eletronicamente, projetada, enviada por correio, fax ou e-mail, transmitida em conversas, etc.), da sua origem (da própria organização ou de fontes externas) ou da data de elaboração.
Segundo as últimas estatísticas disponíveis da International Organization for Standardization (ISO) no final do ano de 2017, 39.501 empresas em todo o mundo tinham-se certificado na norma ISO27001:2013.
O top 10 dos países com maior número de empresas certificadas na ISO 27001 é liderado pelo Japão, seguido pela China e pelo Reino Unido.
Fonte: Isotc.iso.org
|
Top 10 – Países certificados na ISO 27001 |
||
| Posição | País | Certificações |
| 1 | Japão | 9161 |
| 2 | China | 5069 |
| 3 | Reino Unido | 4503 |
| 4 | Índia | 3272 |
| 5 | Estados Unidos | 1517 |
| 6 | Alemanha | 1339 |
| 7 | Taiwan | 994 |
| 8 | Itália | 958 |
| 9 | Holanda | 913 |
| 10 | Espanha | 803 |
Top de países na LATAM certificados na ISO 27001
A nível mundial, a Colômbia ocupava em 2017 o 35.º lugar (desceu da posição 29 que ocupava em 2016) com 148 empresas certificadas, sendo o terceiro país da LATAM no ranking geral (superado apenas pelo México e Brasil). A tabela seguinte lista o Top 10 de países com empresas certificadas na LATAM:
| Top 10 – Países LATAM certificados na ISO 27001 | ||
| Posição | País | Certificações |
| 23 | México | 315 |
| 34 | Brasil | 170 |
| 35 | Colômbia | 148 |
| 50 | Chile | 64 |
| 52 | Argentina | 57 |
| 57 | Peru | 43 |
| 64 | Uruguai | 31 |
| 73 | Costa Rica | 21 |
| 83 | Jamaica | 11 |
| 87 | Equador | 8 |
| 88 | Panamá | 8 |
De acordo com a experiência adquirida nos últimos 12 anos em centenas de projetos de definição e implementação de SGSI na América Latina e Espanha (alguns deles com o objetivo final de certificação), identificámos 5 aspetos básicos para a conclusão bem-sucedida destas iniciativas:
- Compromisso da alta direção. Para que a iniciativa entregue os resultados esperados, é requisito necessário o apoio e a participação da Alta Direção da empresa. Sem o seu apoio formal real, é quase impossível desenvolver com sucesso a iniciativa e demonstrar a obtenção da conformidade na implementação do SGSI. As iniciativas que provêm dos setores operacionais e/ou táticos e não contam com o apoio da Alta Direção têm maior possibilidade de fracasso.
- Cada empresa é um mundo diferente. Cada empresa é um mundo particular, mesmo que pertençam ao mesmo setor económico ou ao mesmo grupo empresarial. Cada uma tem o seu ambiente de controlo particular, um apetite de risco particular e riscos de segurança da informação distintos. O que é bom para uma empresa, pode não o ser para outra. Copiar tal qual de uma empresa para outra NÃO é adequado. Por conseguinte, deve ser considerado um entendimento dos requisitos de segurança e gestão de riscos particulares de cada organização.
- Definição apropriada do Alcance. É importante definir um alcance do SGSI. O esforço para implementar o SGSI não é o mesmo ao definir no seu alcance TODOS os processos da organização, em comparação com um alcance que inclua apenas 1 ou 2 processos de missão crítica. Neste sentido, é melhor começar com poucos processos e, gradualmente, ir aumentando o alcance do SGSI à medida que se obtém maior maturidade em segurança da informação.
- Os controlos não são tudo. É um erro acreditar que a implementação dos controlos de segurança incluídos no Anexo A da norma é “o tudo”, sem considerar os elementos-chave de um SGSI como, por exemplo, Objetivos de segurança da informação, Declaração de aplicabilidade (SOA), métricas e indicadores de segurança para avaliar o desempenho, informação documentada, procedimentos de auditoria interna, não conformidades, ações corretivas, etc., e, claro, consciencializar os recursos humanos da empresa através de diversos meios: cartazes, pendões, protetores de ecrã, vídeos, jogos de perguntas e respostas, jogos, peças de teatro, etc.
- Automatizar o SGSI. Tradicionalmente, estas iniciativas são executadas com o apoio de ferramentas de ofimática. Sem dúvida, o uso do software GlobalSuite® Information Security tem sido um fator crítico de sucesso na obtenção da certificação por parte dos nossos clientes, uma vez que reduziu a duração da consultoria em, pelo menos, 25% (especialmente nas atividades de inventário de ativos, gestão de riscos e estabelecimento de métricas e indicadores), permitiu que o cliente se envolvesse diretamente no uso da ferramenta, conservando todos os registos e documentos do SGSI num único repositório de informação e, sobretudo, permitiu dar autossustentabilidade ao SGSI sem dependência direta da equipa de consultoria, uma vez que o construímos em conjunto. Neste sentido, a GlobalSuite® cobre todo o ciclo PHVA da norma ISO 27001 e permite a melhoria e sustentabilidade por parte do cliente do seu SGSI.
