A segurança da informação continua sendo a principal preocupação das empresas na era digital em operações internas e externas. Na sua esmagadora maioria, organizações em todo o mundo se voltam para a ISO 27001 para demonstrar e certificar suas práticas e requisitos internos de segurança. A OneTrust tem a certificação ISO 27001 desde 2018 e foi a primeira organização a obter a certificação com a extensão de privacidade ISO 27701-1 em 2019. Além disso, a OneTrust ajuda os clientes em diferentes mercados a estabelecer, manter e melhorar continuamente um sistema de gestão de segurança da informação, bem como planejar e implementar padrões do setor, como a ISO 27001.
Andrew Clearwater, Diretor responsável pela privacidade da OneTrust, e Brian Philbrook, Conselheiro-chefe de Privacidade, compartilharam suas perspectivas sobre a jornada rumo à certificação.
Quem desenvolveu a certificação ISO 27001?
Como Diretor responsável pela privacidade, Andrew fornece aconselhamento, liderança e orientação sobre proteção de dados e lidera o Comitê de ISMS da OneTrust.
Quando questionado sobre o desenvolvimento da ISO 27001, Andrew mencionou primeiramente que a norma é referida como ISO/IEC 27001:2013 e foi publicada não apenas pela Organização Internacional para Padronização (ISO), mas em parceria com a Comissão Eletrotécnica Internacional (IEC).
Ele acrescenta: “A ISO é um órgão independente que trabalha em 165 países. Seu objetivo é promover padrões proprietários, industriais e comerciais no mundo todo. Além disso, a IEC é uma organização internacional de padrões que prepara e publica padrões internacionais para todas as tecnologias elétricas, eletrônicas e outra tecnologias relacionadas”.
O que é a certificação ISO 27001?
Como Conselheiro-chefe de Privacidade, Brian fornece orientação sobre regulamentos e padrões globais e lidera o desenvolvimento e a inovação de conteúdo na plataforma OneTrust. Ele também é membro do Comitê de ISMS da OneTrust e foi parte integrante do processo de certificação ISO 27001.
Brian explica que a ISO/IEC 27001:2013 é o principal padrão internacional que descreve os requisitos para estabelecer, implementar, manter e melhorar continuamente um ISMS.
De acordo com Brian, “o padrão trabalha especificamente para proteger a confidencialidade, a integridade e a disponibilidade das informações. O objetivo é que as organizações apliquem o processo de gestão de riscos às suas iniciativas de ISMS, proporcionando confiança a todas as partes interessadas atuais ou potenciais de que seus riscos são suficientemente gerenciados. As organizações que cumprem os requisitos da ISO 27001 podem ser certificadas por um órgão de certificação credenciado após concluírem com êxito uma auditoria em relação à norma”.
Quem usa a certificação ISO 27001?
A ISO 27001 está entre os padrões de segurança mais amplamente reconhecidos no mundo devido ao fato de que os requisitos são aplicáveis à maioria das organizações, independentemente do tamanho, do setor ou da localização geográfica.
Andrew amplia essa afirmação, ressaltando que “o padrão não só ajuda uma organização a garantir que os riscos de segurança sejam gerenciados de maneira econômica, como também demonstra aos clientes e parceiros que a empresa está operando de maneira confiável, e que essa confiança diferencia as empresas com as quais as pessoas querem trabalhar das que não querem.”
A jornada da OneTrust para a Certificação ISO 27001
Brian afirmou que “a meta da OneTrust de implementar um padrão de segurança internacional foi impulsionada principalmente pelo desejo de demonstrar um programa de segurança da informação abrangente e confiável aos nossos clientes”.
Ele acrescentou que a OneTrust estava em uma situação única para obter a certificação ISO 27001, graças ao fato de que a organização também fornece uma ferramenta para ajudar as empresas a operacionalizar um programa de gestão de segurança da informação. Assim, a OneTrust teve a oportunidade de obter a certificação, usando suas próprias ferramentas de software para chegar lá (o que representou um bônus para mostrar o poder da plataforma aos clientes).
De acordo com Andrew, “a fim de criar com sucesso um programa de segurança, a OneTrust identificou inicialmente as partes interessadas dentro da empresa que seriam essenciais para o sucesso. Começamos com colegas das áreas técnicas, porque eles tinham controles de segurança e, em seguida, trabalhamos com os responsáveis de outros departamentos, incluindo vendas, marketing, desenvolvimento Web, entre outros. Ao fazer isso, nossa equipe de segurança foi capaz de instruir a organização sobre as principais políticas e procedimentos de segurança. Como resultado, a empresa se preparou melhor para a auditoria inicial da ISO 27001”.
Normalmente, a organização contrata um conjunto de auditores externos terceirizados para iniciar o processo de certificação ISO 27001. Há três etapas para esse processo que exigem um investimento financeiro:
- Avaliação do nível de preparo: Essa análise inicial dá à organização a chance de identificar lacunas no programa já no início, com a ajuda de um terceiro experiente, e pelo fato de lidar com essas lacunas antes de iniciar o processo de certificação.
- Auditoria Interna: Essa auditoria é exigida pela cláusula 9.2 da ISO 27001 e pode ser conduzida por uma parte interna com conhecimento suficiente da ISO 27001 que trabalhe de forma independente do ISMS ou por terceiros qualificados. A finalidade da auditoria interna é determinar se os procedimentos, controles, processos, acordos e outras atividades dentro do IMS estão em conformidade com as normas ISO 27001 e 27701, regulamentos aplicáveis e a documentação interna da organização, se são efetivamente implementados e mantidos, e se atendem aos requisitos e definem objetivos. As auditorias internas devem ser realizadas pelo menos anualmente e devem garantir a cobertura cumulativa de todo o escopo do IMS. As auditorias internas são planejadas com base na avaliação de riscos e nos resultados das auditorias anteriores. Elas são normalmente conduzidas antes da análise da gestão e sempre antes da auditoria de certificação externa ISO 27001.
- Auditoria externa (certificação): Depois que quaisquer “não conformidades” identificadas na auditoria interna tiverem sido corrigidas, as organizações podem agendar suas auditorias externas (certificação). Isso exige que a organização trabalhe com um auditor credenciado. Se a certificação for obtida, ela será acompanhada por duas auditorias anuais de vigilância e por auditorias de renovação da certificação a cada três anos.
Assim como muitas organizações que tentam obter a certificação pela primeira vez, a OneTrust aprendeu muitas lições ao longo do caminho e continua a evoluir anos depois. Um obstáculo comum para iniciantes na ISO 27001 é o desenvolvimento de um verdadeiro “sistema de gestão”, conforme exigido para a certificação.
Em muitos casos, quem está tentando a certificação pela primeira vez possui todos os controles técnicos adequados, mas o mesmo não pode ser dito sobre suas políticas, procedimentos, metodologias, objetivos, métricas e atas de reuniões. Como resultado, uma organização deve designar um comitê liderado por um presidente com atas documentadas. Não só isso, mas as políticas de segurança não podem apenas explicar a necessidade de distribuir avaliações de riscos, mas precisam destacar claramente que a organização sabe como conduzi-las, já as conduziu e pode comprovar isso. Em parte, a criação de um registro de riscos ajuda a fazer isso.
Após o processo de auditoria de um ano, a OneTrust recebeu sua certificação ISO 27001. A certificação não só ajuda a demonstrar aos clientes que a OneTrust tem garantias de segurança razoáveis em vigor, como também pelo fato de ter se submetido ao processo de auditoria feito por uma parte externa preparou a empresa para futuras auditorias dos clientes.
“Olhando para o futuro, permanecemos comprometidos em manter nossa certificação ISO 27001, pois ela conduz a organização a melhorar continuamente a segurança. É aqui que entra em jogo a plataforma OneTrust de confiança. Com a ajuda da OneTrust, podemos estabelecer, manter e melhorar continuamente o ISMS, bem como o planejamento e a implementação da ISO 27001”, concluiu Andrew.
Próximos passos para a certificação ISO 27001:
- Assista ao webinar: ISO 27701 Nova Norma de Privacidade – Como obtivemos a certificação e como você também pode! (em inglês)
- Veja a ficha informativa: OneTrust GRC Gestão Integrada de Risco
Recursos Adicionais:
- Confira o webinar: Como calcular riscos de TI para obter insights em tempo real
- Assista ao vídeo de Demonstração da Solução OneTrust GRC