Com o crescente número de vazamentos e ataques cibernéticos, a segurança da informação se tornou uma das especialidades mais requisitadas no mercado de trabalho.
Levantamento da consultoria Robert Half concluiu que um dos cargos em alta na área de tecnologia em 2022 é o de coordenador de segurança da informação. Os principais setores que buscam este especialista são o mercado financeiro, varejo, logística e startups.
A valorização da especialidade em segurança da informação influencia a remuneração desse profissional, que pode receber salários de R$ 14,7 mil a R$ 20,2 mil, dependendo do porte da organização.
Pensando em aproveitar as oportunidades dessa área, mas não sabe por onde começar? O primeiro passo é conhecer as principais normas e padrões de segurança da informação.
Neste artigo, você vai aprender mais sobre a família ISO 27000. Ela é tão importante para quem quer trabalhar com segurança da informação que cursos de pós-graduação dedicam disciplinas inteiras para o assunto.
Confira o que você vai encontrar por aqui:
Vamos começar?
O que significa ISO
Antes de falarmos especificamente sobre o ISO 27000, é importante saber o que significam essas três letras.
ISO é a sigla para International Organization for Standardization (Organização Internacional para Padronização, em português).
A organização é não-governamental e independente. Ela tem como objetivo desenvolver e promover normas, testes, padronizações e certificações que facilitam as relações entre diferentes nações. Sob sua chancela já foram publicadas mais de 24 mil normas e padronizações internacionais, que abrangem segmentos como indústria, comércio, tecnologia, alimentação, agricultura e saúde.
A ISO foi fundada em 1947 e hoje conta com membros de 165 países. Aqui no Brasil, ela é representada pela Associação Brasileira de Normas Técnicas (ABNT).
Algumas dessas normas fazem parte da família ISO 27000, que você vai conhecer a seguir.
O que é ISO 27000
A ISO 27000 é um conjunto de certificações de segurança da informação e proteção de dados para empresas e órgãos públicos. Elas servem como base para a criação de um Sistema de Gestão de Segurança da Informação (SGSI) em organizações de pequeno, médio e grande porte.
O SGSI reúne políticas, procedimentos, diretrizes e recursos de proteção de informação de uma organização. O sistema deve estar alinhado aos objetivos de negócio e ser gerenciado de forma conjunta pela empresa.
As certificações da família ISO 27000 foram desenvolvidas em parceria entre a ISO e a International Electrotechnical Commission (IEC), outra organização internacional dedicada à padronização, porém voltada a tecnologias relacionadas à energia, multimídia, telecomunicações e eletroeletrônica.
A primeira versão foi publicada em 2005, como uma atualização do BS 7799, padrão britânico de segurança da informação. Hoje está em vigor a ISO/IEC 27000:2018.
Ela traz alguns princípios norteadores da segurança da informação. Os principais são:
- Confidencialidade
- Integridade
- Disponibilidade
- Autenticidade
O documento ainda traz termos e definições usados no processo de padronização de um SGSI. Ele serve como uma introdução para as outras normas do grupo.
Quantas normas tem a ISO 27000
A ISO 27000 é composta por 45 normas. As principais são:
ISO 27001
Traz os requisitos necessários para a implantação de um SGSI. Eles podem ser resumidos em 5 grandes etapas:
- Entender o contexto da organização: ela já tem um SGSI? Como ela lida com a segurança da informação?
- Avaliação de riscos: além de identificar riscos e oportunidades, é preciso conscientizar toda a empresa sobre a importância da segurança da informação.
- Controles operacionais: o objetivo é controlar, eliminar e diminuir a classificação dos riscos levantados na etapa anterior.
- Análise de eficácia: é feita uma auditoria interna para verificar o resultado da implantação dos controles operacionais.
- Melhoria: processo contínuo após o estabelecimento da certificação. A avaliação e controle de riscos devem ser feitos com frequência.
ISO 27002
Código de boas práticas que traz um conjunto dos controles necessários para a implementação do SGSI. Deve ser usada em conjunto com a ISO 27001.
O ISO 27002 substituiu o padrão 17799:2005. De forma resumida, a norma traz as seguintes diretrizes de segurança de informação:
- Criação de uma política de segurança da informação para a organização, que deve conter conceitos, objetivos e formas de controle;
- Planejamento da estrutura que fará a gestão da segurança da informação da organização;
- Identificação e classificação dos ativos;
- Criação de um plano de segurança para recursos humanos e fornecedores, com o objetivo de evitar fraudes e mau uso de recursos;
- Garantia da segurança física dos equipamentos e instalações de processamento de dados;
- Definição de procedimentos e responsabilidades da gestão de operações e comunicações;
- Definição de regras de controle de acesso às informações;
- Identificação, revisão e manutenção dos requisitos de segurança do sistema de informação;
- Criação de procedimentos de gestão de incidentes de segurança da informação;
- Criação de planos de continuidade dos negócios após um incidente de segurança da informação;
- Estabelecimento de processos de conformidade, ou seja, de respeito às regulamentações de proteção de dados e privacidade.
ISO 27701
É a certificação mais recente da família ISO 27000, implantada em 2019 para adequar as normas à General Data Protection Regulation (GDPR) e, no Brasil, à Lei Geral de Proteção de Dados (LGPD). Neste artigo, você encontra mais informações sobre as duas legislações.
A ISO 27701 é uma extensão da ISO 27001. Enquanto esta trata sobre o SGSI, a primeira aborda o Sistema de Gestão de Segurança Privada (SGSP) – em inglês, Privacy Information Management System (PIMS). Ela apesenta novos controles de segurança da informação para proteger a privacidade dos dados pessoais.
As três normas da família ISO 27000 são apresentadas com mais detalhes nos cursos Direito 4.0: Direito Digital, Proteção de Dados e Cibersegurança e Governança de TI, Segurança Digital e Gestão de Dados da Pós PUCPR Digital.
Quem explica mais sobre elas é Vinícius Brasileiro, gerente de Segurança da Informação da área Estratégia & Risco da Globo.
Vinícius Brasileiro fala sobre normas técnicas para segurança e privacidade da informação nos cursos da Pós PUCPR Digital.
Os benefícios de aderir à ISO 27000
Uma organização com as certificações da família ISO 27000 sinaliza para o mercado e para os clientes o comprometimento com a segurança da informação.
Esse grupo de normas também traz diretrizes que ajudam empresas e órgãos públicos a se adequarem à LGPD e a padrões internacionais de governança de TI.
Quem pode ter a certificação ISO 27000
As certificações da família ISO 27000 são indicadas para todas as organizações de pequeno, médio e grande porte, nacionais e multinacionais, independentemente do ramo de atuação.
Empresas estatais e órgãos públicos também podem receber a certificação.
Como obter a certificação ISO 27000
A certificação ISO 27000 comprova que a empresa segue os padrões internacionais de segurança da informação. Ela é emitida por uma empresa auditora externa, que precisa seguir as regras da ISO 27006. Esta norma trata especificamente dos auditores que certificam as organizações que implementaram um SGSI.
A certificação é feita em dois estágios:
- A auditoria faz uma análise preliminar e informal do SGSI da empresa. É verificado se existe a documentação chave, como a Política de Segurança da Informação, a Declaração de Aplicabilidade e o Plano de Tratamento de Risco.
- A auditoria faz uma análise aprofundada sobre a efetividade do controle ISMS, conforme os documentos chave apresentados pela organização.
A certificação ISO 27000 precisa ser renovada após a primeira emissão, por meio de revisões periódicas e novas declarações da organização que comprovem o respeito às normas e boas práticas no SGSI.
Profissionais que conhecem a ISO 27000 são disputados pelo mercado
Hoje, seguir as boas práticas estabelecidas pela ISO 27000 é um pré-requisito para toda organização que quer se proteger de ataques cibernéticos e respeitar a LGPD
Por isso cargos de segurança da informação estão em alta no mercado de trabalho, como falamos no começo deste artigo. E faltam profissionais capacitados para exercer esta função: há um déficit global de 2,72 milhões de especialistas em cibersegurança, segundo o Cybersecurity Workforce Study.
No Brasil, são 441 mil postos não preenchidos. O país tem a segunda maior força de trabalho em segurança da informação, ficando atrás apenas dos EUA.
E você não precisa ser da tecnologia para atuar neste segmento. Não é exigida uma formação específica para trabalhar com proteção de dados e privacidade. Uma pós-graduação em gestão, governança ou Direito Digital, inclusive, já vai deixar você preparado para lidar com a ISO 27000 e demais questões relacionadas à segurança da informação no dia a dia de uma organização.
Esperamos que a leitura sobre a ISO 27000 tenha te encorajado a aprender ainda mais sobre o assunto. Se quiser saber mais sobre temas relacionados à segurança da informação, confira os artigos abaixo:
>>> Cybersecurity: uma das profissões do futuro (e do presente)
>>> O que é Privacy by Design, uma solução para se adequar à LPGD
