O CENÁRIO ATUAL DO SGSI
No Brasil, as empresas estão cada vez mais informatizadas, sejam as usuárias de ERPs; as que atuam na área de tecnologia da informação como hospedeiras de serviços em nuvem (Cloud), e as que vendem serviços com base nas informações fornecidas por seus clientes e que ficam armazenadas em serviços e servidores das organizações para processamento dos cadastros de seus clientes, produtos e serviços.
Com base em estudos da CSIS/MCAFEE -“The Economic Impact of Cybercrime: No Slowing Down” ou traduzido para nosso idioma O impacto econômico do crime cibernético: sem desaceleração ” apresenta números que geraram prejuízos:
Atualmente o crime cibernético custa ao mundo quase US$ 600 bilhões, cerca de 0,8% do PIB global, além de representar um crescimento de US$ 100 bilhões quando confrontado com o ano de 2016.
O Brasil aparece como a segunda fonte de ataques cibernéticos e o terceiro alvo mais atingido, qual o motivo?
A informação deveria ser considerada um ativo para as organizações, a partir deste conceito, deveria ser devidamente protegida e mantida sob um sistema de gestão que contemple as salvaguardas mínimas para sua manutenção.
Reconhecimento e Certificação junto ao Inmetro:
No Brasil haviam 82 empresas certificadas na NBR ISO 27001 segundo dados da pesquisa apresentada no blog de Jeferson D´Adario em 2015.
Mecanismos de proteção e prevenção:
A utilização de softwares de proteção, firewalls; a adequação à nova legislação que começou vigorar no Brasil a partir de 2020, a Lei geral de Proteção de Dados – pessoais, não são ferramentas que por si irão garantir a proteção de dados nas organizações.
Estas ajudam e são importantes, porem sem um gerenciamento efetivo e que atenda critérios definidos e padronizados, podem se tornar inadequadas e vulneráveis.
VEJA OMO FUNCIONA UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
A implementação de um SGSI (sistema de gestão e segurança da informação) com base na NBR ISO 27001:2013 é uma importante ferramenta que irá agregar todas as atividades em prol da segurança da informação.
Um SGSI (sistema de gestão e segurança da informação), para ser implementado e mantido deverá ter sua análise e levantamentos das necessidades de atendimento a seus requisitos:
Contexto da Organização:
- Entender no contexto da organização o seu negócio, o relacionamento com as partes interessadas (clientes, investidores, colaboradores, legislações e outros aplicáveis);
- Definir o escopo do SGSI para a aplicação adequada dos critérios e a abrangência necessária para implementar os controles e as salvaguardas de gestão.
Liderança, comprometimento e políticas:
- Definir os papeis e responsabilidades da alta direção e colaboradores diretos, com estas definições e critérios onde o nível de comprometimento na organização torna-se mais eficaz;
- O estabelecimento de uma Política de Segurança da informação que irá nortear o planejamento para o atendimento aos objetivos estabelecidos e necessários a fim de permitir uma análise e monitoramento das metas estratégicas do SGSI.
Planejamento e Análise de riscos para atingir os objetivos:
- O planejamento e a análise dos Riscos e Oportunidades, irá proporcionar uma melhor percepção dos fatores que influenciarão na Segurança da Informação. Com base nesta análise cria-se ferramentas internas adequadas para o tratamento de riscos de segurança da Informação.
Gestão dos recursos e apoio para a operação:
- O estabelecimento dos papeis e responsabilidades permitirão uma análise e definição coerente para a obtenção dos recursos humanos necessários à operação de um SGSI, bem como recursos necessários à operação devem ser definidos e passarão a ser monitorados no SGSI. Podemos dar como exemplo a questão de investimento necessário para manutenção e atualização dos ativos;
- Um plano de comunicação interna e externa com base na análise dos riscos, será importante para o mercado e as partes interessadas terem respostas e ações a fim de mitigar os riscos;
- Padronizar os documentos internos e garantir sua devida atualização são extremamente importantes para garantir ao SGSI uma performance adequada com treinamentos e reciclagens necessárias ao processo.
Operação e controle dos processos:
- Apoio na implantação das operações físicas e logicas do SGSI com a metodologia definida e padronizada. Controles necessários para obter resultados esperados a cada processo podem ser alcançados.
Auditorias e avaliação de desempenho:
- A realização de auditorias internas serve para medir o amadurecimento de um SGSI. Aliado ao monitoramento do desempenho por meio das análises críticas periódicas pela alta administração irão promover a melhoria contínua do SGSI;
- Ferramentas de tratamento de ocorrências de não conformidades ou desvios podem ocorrer, porem a implantação do padrão que estabelece como tratar tais situações, garantirão à organização a evolução dos processos e um cliente que estará satisfeito com as ações e com as evoluções de segurança que serão implementadas para garantir a segurança da informação.
DESCUBRA AS VANTAGENS DE IMPLEMENTAR O SGSI
Como já explicamos neste post, os dados de uma empresa representam um dos mais valiosos ativos. Afinal de contas, eles podem interferir na performance tanto de forma positiva como negativa. Por esse motivo, é crucial tratar os registros do público com cuidado e fazer o devido gerenciamento dessas informações.
Quando a organização protege seus dados e os de seus clientes, ao mesmo tempo ela protege a si mesma. O raciocínio é simples: arquivos salvos em segurança e fáceis de serem acessados contribuem para uma gestão de indicadores mais eficiente.
Assim, é possível usar esses acervos para novas táticas de marketing, por exemplo. Além disso, as informações dos clientes servem como termômetro para medir a qualidade do trabalho.
Porém, a posse de dados de terceiros é um fator de elevado risco quando não se investe em proteção da maneira adequada. Com a ISO 270o1, a empresa vai bem além do cumprimento da LGPD. Isso porque o selo ISO é consagrado no mercado internacional como sinônimo de boas práticas.
Hoje em dia, quase todos os negócios armazenam dados dos consumidores: celulares, e-mails, fichas técnicas, CPFs, números de contas bancárias e assim por diante. No entanto, com esse certificado, obtém-se mais confiança dos clientes na organização. Afinal, a companhia passa a mensagem de que vai oferecer a defesa necessária dos informes.
Ou seja, do ponto de vista de gestão, o SGSI é tão importante como as obrigações contábeis, a gestão do estoque, o monitoramento do fluxo de caixa ou mesmo o balanço patrimonial. Isso porque esses itens influenciam na qualidade do trabalho e, como consequência, na própria reputação. Nesse contexto, veja a seguir quais são as vantagens de implementar o SGSI:
Redução de custos
Com o SGSI, a empresa precisa ter um controle de dados de elevada precisão. Desse modo, ela ganha ferramentas para embasar melhor seus investimentos e atitudes. Assim, cada passo dado seguirá as diretrizes fornecidas por informações concretas.
E a consequência natural é a economia. Além disso, quando as decisões são baseadas em fatos e números, a tendência é uma melhor fluidez nos processos, algo que também ajuda a encolher as despesas.
Diferencial de mercado
Todos nós sabemos que a certificação ISO dispensa apresentações, não é mesmo? Diante disso, não seria diferente com a ISO 27001, que trata do SGSI. Ou seja, quem tem esses selos de aprovação consegue aumentar as chances de fechar novos negócios. Afinal, esses certificados funcionam como o green card da credibilidade. Por esse motivo, esse investimento traz muitos pontos extras para enfrentar a concorrência e se destacar no mercado, praticamente em qualquer área ou atividade.
Melhoria contínua
Os certificados ISO, para serem renovados, exigem que a empresa esteja sempre se atualizando nas boas práticas. Desse modo, é como se a organização se responsabilizasse por providenciar o melhor para a proteção dos dados de forma permanente.
Por causa disso, a companhia entra em um círculo positivo de desenvolvimento e maturidade. Afinal, é necessário passar constantemente por auditorias (para comprovar aos certificadores o cumprimento das exigências ISO). Essa rotina dá várias chances para avaliar, corrigir e modificar. Ou seja, o SGSI coloca o negócio em um processo de melhoria contínua no tratamento de suas informações.
QUAL A PERSPECTIVA?
A cultura da transparência nas organizações torna-se imperativa a cada ano, já é realidade quando um investidor avalia determinada organização, o quanto ela atende a regulamentações obrigatórias e voluntárias como é o caso da NBR ISO 27001:2013.
Enquanto isso, é nosso dever como profissionais alertarmos aos empresários sobre a importância do SGSI, para que possamos colocar em prática a transformação do país.
A PGBR está há 60 anos no mercado de Auditoria está pronta para atender Pequenas e Médias Empresas, Sociedades de Grande Porte, entidades do Terceiro Setor e Companhias de Capital Aberto.
Inovamos e nos atualizamos constantemente e, nos colocamos como uma opção de acreditação global, com largo entendimento local para apoiar as empresas nacionais e internacionais que atuam no mercado brasileiro.
Ficou interessado? Quer saber mais sobre como proteger as informações da empresa? Então leia também nosso post que mostra 4 motivos para implementar a LGPD!
