Certificação ISO 27001 já é o maior crescimento dos 3 últimos anos, segundo a ISO. Existem diversos fatores para isso ocorrer, dentre eles os regulamentos de proteção de dados pelo mundo, porém não só eles.
A certificação ISO 27001 se caracteriza ela implementação de um sistema de gestão de segurança da informação de acordo com requisitos normativos e aplicabilidade de controles. A certificação ISO 27001 provê a organização a possibilidade de implementar controles robustos de segurança da informação e dados.
A certificação ISO 27001 se baseia na principal norma da série ISO 27000, na série existem outras normas de extensão que atualmente estão em evidência como ISO 27701 – Privacidade de dados, ISO 27017 – Segurança em nuvem, ISO 27018 – Privacidade de dados em nuvem, entre outras. Nesse caso, a certificação ISO 27001 poderia ser estendida para essas normativas. Primeiro a organização precisa ser certificada em ISO 27001 e em seguida ou durante uma certificação inicial fazer a extensão para essas normativas.
ISO 27701 por exemplo, é uma das Normas mais comentadas hoje no mundo, isso devido a ter sido concebida para atendimento pleno da GDPR Europeia, e como a nossa LGPD – Lei Geral de Proteção de Dados, foi baseado na referência europeia, consequentemente a normativa busca atender a LGPD.
Por quê a certificação ISO 27001 está em evidência no mundo?
Conforme comentado acima, a ISO 27001 possui um arcabouço de atendimento a LGPD, GDRP e diversas outras legislações a nível global, portanto esse é um dos principais motivos de as organizações buscarem uma referência internacional, como a certificação ISO 27001, para atender esses requisitos legais e regulatórios.
Outro ponto importante, é a preocupação dos grandes players do mercado com a segurança de informação manipulada por seus parceiros de negócios/fornecedores, esse na minha opinião, é um dos fatores principais para o crescimento da ISO 27001 no mundo. Existem diversas grandes empresas certificadas como Microsoft, Google, Facebook, Huawei, entre outras, portanto esses grandes players cobram seus parceiros de negócios a se certificarem, para assim terem mais segurança de como as informações são tratadas e manipuladas.
Não posso deixar de citar, a própria pressão e preocupação da sociedade com a manipulação de dados, portanto esse também é um fator que empresas que atuam no B2C buscarem a certificação e demonstrarem aos seus clientes esses controles.
Como buscar a certificação ISO 27001 para minha organização?
A decisão pela busca da certificação deve ser uma decisão estratégica da empresa, portanto, deve partir da alta direção. Como qualquer projeto, o fator de sucesso é o comprometimento dos líderes do negócio.
O ponta pé inicial do projeto deve passar por uma análise de gap, o chamado gap analysis, assim o organismo de certificação, irá utilizar as mesmas técnicas de uma auditoria de certificação e identificar lacunas no que tange ao atendimento da certificação ISO 27001. É importante ressaltar, que esse processo não é consultivo, ou seja, em nenhum momento o auditor do organismo de certificação vai lhe dizer como resolver os gaps, e sim vai pontuar os gaps para obtenção da certificação ISO 27001.
Após essa etapa a organização toma a decisão se utiliza sua força de trabalho interna para implementar os gaps da certificação ISO 27001, ou contrata uma consultoria para lhe ajudar na implementação e obtenção da certificação ISO 27001.
Após a implementação estiver concluída, a empresa chama novamente o organismo de certificação, que irá realizar a auditoria inicial de certificação ISO 27001, divididas em duas fases fase 1 (auditoria documental) e fase 2 (auditoria de processos). Ao final dessas auditorias, o auditor líder do organismo de certificação vai recomendar ou não a certificação, caso recomendado a organização recebe seu certificado com validade de 3 anos, condicionado a auditorias anuais de certificação. Caso o auditor não recomende a certificação, a empresa precisará passar por uma auditoria de follow-up para evidenciar ações corretivas apontadas.
Com a certificação ISO 27001, como posso divulgar?
Uma vez certificado, a empresa pode divulgar seus selos de certificação em assinaturas de e-mail, cartão de visita, site, etc. A divulgação da certificação é de extrema importância, pois demonstra a sociedade e as partes interessadas o diferencial competitivo em relação aos concorrentes.
Apesar da certificação ISO 27001 ser a certificação que mais cresce em todo mundo nos últimos 3 anos, não existem muitas empresas certificadas, e sim, a certificação ISO 27001 é um diferencial de mercado muito grande, e sua importância aumenta a cada ano que se passa.
