A Gestão de Segurança da Informação é tão importante quanto a gestão de pessoas, financeira ou a de vendas em uma empresa, seja ela pequena, média ou grande. Uma boa referência para ajudar as empresas, é a ISO 27001, uma norma internacional ISO (International Organization for Standardization), que orienta as empresas a implementar a Gestão de Segurança da Informação, para melhorar a performance, a gestão de riscos, a resiliência e agregar valor ao negócio. Além de orientar sobre os fundamentos, ela possibilita que a empresa se certifique no ISO, o que representa um diferencial competitivo e risco menor para os acionistas, investidores e clientes.
Segundo a ISO, apenas 165 empresas no Brasil possuem gestão de segurança certificada nesta norma, o que representa uma ótima oportunidade para empresas nacionais e startups diferenciarem-se no mercado local e internacional.
Delegar às áreas de Tecnologia da Informação, sem investir de forma estruturada, ou terceirizar, sem a devida supervisão, são os dois erros mais comuns que impedem as empresas de estarem melhor protegidas. “Não se terceiriza a segurança do que é mais importante ao negócio: a reputação e a credibilidade.”, diz Jeferson D’Addario, CEO do Grupo Daryus, professor e consultor no tema há mais de 15 anos.
Segundo D’Addario, “comprar tecnologias de cibersegurança não é a única necessidade. É importante a mudança de mentalidade e atitude de todos na empresa, construindo uma cultura de segurança da informação suportada por processos e uma gestão adequada”.
Pensando em conscientizar e auxiliar as empresas que ainda não possuem essa certificação, a Daryus Consultoria, lista “5 passos indispensáveis para certificar sua empresa na ISO 27001”.
Passo 1) Comprometimento da liderança: É essencial que os líderes (CEOs, Presidentes, Diretores ou Administradores) estejam comprometidos com o propósito de alcançar a melhoria na segurança e cibersegurança, bem como obter uma certificação internacional.
Com a liderança a frente desse propósito, será possível transformar a mentalidade e a cultura, para que a Gestão de Segurança da Informação se torne um diferencial percebido por clientes, acionistas ou investidores. A gestão da segurança da informação é praticada e cultivada dia a dia, e os líderes precisam aprender para transformar suas empresas. Este tema é fundamental para a transformação digital e de negócios exigida nos próximos anos. Caso contrário, apostar em 5G, I.A. e outras novas tecnologias transformadoras pode se tornar um risco muito alto e inviável. Segundo o Global Risk Report 2023 (ref. World Economic Forum), o risco adverso proveniente do uso das novas tecnologias está entre os mais altos nesse momento.
Passo 2) Transformação da cultura corporativa: A implementação da norma ISO 27001 vai gerar uma transformação na cultura corporativa.
Melhoria na gestão de riscos nos processos de negócios, nos recursos humanos e na tecnologia da informação. “É importante destacar que apesar de algumas empresas terem receio de implementar uma certificação ISO, identificar os riscos de segurança da informação permitirá o tratamento adequado para evitar ou enfrentar incidentes de segurança. Isso auxilia em desafios como na adequação à LGPD (Lei Geral de Proteção de Dados), além de tornar o negócio mais competitivo”, afirma D’Addario.
Passo 3) Toda a empresa envolvida: É muito importante que todas as camadas da empresa estejam envolvidas para alcançar a transformação e a certificação, incluindo a liderança, os gestores, os colaboradores, os fornecedores e os parceiros.
Nesse passo, é necessário definir uma Política de Gestão de Segurança da Informação que esteja alinhada aos objetivos e expectativas do negócio, respeitando o orçamento, o porte e a cultura da organização. Os gestores e colaboradores ficam responsáveis por garantir a eficácia das práticas de segurança diárias, por isso é importante fazer ajustes, reuniões e validações dos riscos de segurança, além dos tratamentos a serem implementados, seguindo as recomendações da ISO. D’Addario salienta que “menos é mais! Cada empresa tem uma necessidade e pode não ter 100% da ISO implementada. Quanto se quer aceitar de riscos? E quanto podemos aceitar? São perguntas importantes para este ajuste. Todos na organização são parte da gestão de riscos e da segurança”, afirma o especialista.
Passo 4) Equilíbrio do tempo e dos recursos: Nos negócios é preciso gerir certos riscos e fazer escolhas, que são influenciadas pelo tempo, recursos e objetivos.
A Gestão da Segurança da Informação trata de priorizar o que é necessário para investir, monitorar e gerenciar os demais riscos existentes. “Sendo assim, não há necessidade de implementar todas as recomendações da ISO 27001, porém a empresa precisa estar ciente de tomar decisões baseadas na gestão de riscos. Isso poderá diferenciar empresas comuns que correm mais riscos, de empresas certificadas na norma 27001 que são mais resilientes”, explica o especialista.
Passo 5) Orientação de consultoria especializada: Contar com especialistas em Gestão e Governança da Segurança da Informação, para orientar e esclarecer dúvidas durante o processo, pode garantir o sucesso na implementação da ISO 27001.
Além de obter a proteção e a resiliência ao negócio, esse processo ajuda a melhorar a maturidade da gestão empresarial e de pessoas. “É possível também implementar o Sistema de Gestão de Segurança da Informação (SGSI) de forma parcial em setores da organização. Com o tempo a empresa pode expandir o escopo, de acordo com objetivos, requisitos, interesses e recursos disponíveis”, ressalta D’Addario.
As organizações podem obter benefícios com essa certificação, entre eles estão:
- Garantia de que os dados e informações estejam protegidos de ameaças internas e externas;
- Preparo para lidar com incidentes de segurança da informação;
- Melhoria na reputação e valor da empresa;
- Conformidade com leis e regulamentos;
- Diferencial competitivo relevante e reconhecimento internacional;
- Diminuição de risco operacional.
Sobre a Daryus Consultoria
O Grupo Daryus, empresa brasileira com experiência no mercado nacional e internacional, é referência em Consultoria e Educação no tema. A Daryus Consultoria, unidade estratégica de negócios do grupo, atua nos temas de: Continuidade de Negócios, Gestão de Riscos, Segurança da Informação e Privacidade, Cibersegurança e Proteção de dados pessoais (LGPD). Desde 2005, proporciona aos seus clientes apoio à gestão empresarial, estratégica e de riscos e, com isso, atende organizações líderes de vários segmentos.
Para mais informações, acesse: https://www.daryus.com.br/