Auditoria ISO 27001: Guia completo

Sua empresa está pronta para comprovar a sua conformidade aos requisitos durante uma auditoria ISO 27001? Afinal, um ataque cibernético é um risco a que todas as organizações precisam estar atentas e é preciso contar com as melhores práticas para evitar uma violação.

Estudos da Cybersecurity Ventures, consultoria de pesquisa de segurança cibernética, indicam que, até 2025, globalmente, os ataques irão gerar prejuízos anuais de US$ 10,5 trilhões para as empresas. E o dano não é apenas financeiro, também atinge a reputação da marca.

De acordo com o relatório do Fórum Econômico Mundial Global Cybersecurity Outlook 2022, a falha na infraestrutura de TI provocada por um ataque cibernético é a preocupação número um dos líderes de segurança, à frente do roubo de identidade.

A preocupação com a cibersegurança está há tempos no radar dos líderes de segurança, mas no nosso mundo cada vez mais interligado – e fragmentado –, os riscos para as pessoas, organizações, serviços e sistemas decorrentes de ataques cibernéticos nunca foram tão grandes. À medida que a tecnologia ficou mais sofisticada, o mesmo aconteceu com os cibercriminosos.

Proteger as informações de uma empresa contra violações de dados e hackers é uma tarefa cada vez mais complexa, muitas vezes envolvendo muitos sistemas, ferramentas e pessoas. No entanto, todos os melhores esforços podem levar ao fracasso se todo o sistema não for gerenciado de forma eficaz para garantir visibilidade sobre o que funciona e o que não funciona, e como tudo se enquadra nas estruturas e estratégias organizacionais.

A norma ISO 27001 é um padrão reconhecido globalmente para implementação de um Sistema de Gestão da Segurança da Informação (SGSI), e fornece às empresas de qualquer porte e de todos os setores de atividade requisitos e orientações para estabelecer, implementar, manter e melhorar continuamente a sua gestão.

Qualquer empresa precisa pensar estrategicamente sobre as suas necessidades de segurança da informação e como elas se relacionam com os seus próprios objetivos, processos, dimensão e estrutura.

A conformidade comprovada após a auditoria ISO 27001 sinaliza que a empresa implementou com eficiência o sistema para gerenciar riscos relacionados à segurança dos dados de propriedade ou manuseados pela empresa, e que esse atende a todas as melhores práticas e princípios adaptados ao seu porte e necessidades.

As empresas que adotam a abordagem holística descrita na SGSI garantirão que a segurança da informação seja integrada nos processos organizacionais, nos sistemas de informação e nos controles de gestão e até o final de 2022, cerca de 71 mil empresas já haviam obtido a certificação ISO 27001 globalmente, segundo a ISO Survey.

Com o aumento da criminalidade cibernética e o surgimento constante de novas ameaças, pode parecer difícil ou mesmo impossível gerir os riscos de segurança.

A ISO 27001 ajuda as organizações a se tornarem conscientes dos riscos e a identificarem e abordarem proativamente os pontos fracos.

Um sistema de gestão de segurança da informação implementado de acordo com esta norma é uma ferramenta de gestão de riscos, resiliência cibernética e excelência operacional.

A certificação é uma forma de demonstrar às partes interessadas e aos clientes que a empresa está comprometida e é capaz de gerenciar informações de forma segura e protegida, trazendo uma camada adicional de confiança.

Afinal, para ter sucesso no mercado é preciso conquistar a confiança dos seus clientes.

Um sistema de gestão de segurança da informação que atenda aos requisitos da ISO 27001 preserva a Confidencialidade, Integridade da informação e Disponibilidade dos dados, sistema conhecido como a tríade CIA (Confidentiality, Information integrity and Availability of data), aplicando um processo de gestão de riscos.

Confira os requisitos e riscos de cada princípio da segurança da informação:

Confidencialidade: Somente as pessoas certas podem acessar as informações mantidas pela organização

Risco: os criminosos obtêm os dados de login dos clientes e os vendem na Dark Web

Integridade da informação: Os dados processados para a continuidade dos negócios ou armazenados para terceiros são mantidos de forma confiável e não são apagados ou danificados

Risco: um membro da equipe exclui acidentalmente uma linha de um arquivo durante o processamento

Disponibilidade de dados: A organização e seus clientes podem acessar as informações sempre que necessário para atender aos objetivos de negócio

Risco: o banco de dados corporativo fica offline devido a problemas no servidor ou falhas no backup

Uma auditoria ISO 27001 envolve um auditor competente e objetivo que vai revisar o SGSI ou elementos dele e testar se o sistema implementado atende aos requisitos da norma, aos requisitos de informação e objetivos da própria organização, e que as políticas, processos e outros controles são eficazes e eficientes.

A auditoria ISO 27001 é realizada com base em outra norma, a ISO 19011, que estabelece as melhores práticas de auditorias internas e externas, incluindo todas as fases, como planejamento, condução, relatórios e avaliação da competência dos auditores.

Quanto mais preparada a sua empresa estiver para a auditoria ISO 27001, melhor. Uma pré-auditoria interna deve ser realizada semanas antes da data da auditoria.

O processo de certificação ISO 27001 consiste em diversos tipos de auditorias, incluindo internas e externas. Todas devem ser regidas por um programa e um plano de auditoria.

O auditor líder é responsável pelo desenvolvimento do plano de auditoria e pode ter o auxílio de uma equipe dependendo do escopo da auditoria. O número de pessoal efetivo dentro do escopo do SGSI e a complexidade dos processos organizacionais são os fatores-chave na determinação da duração da averiguação do SGSI (em termos de dias de auditagem).

Confira os processos envolvidos em cada auditoria:

Auditoria interna

A cláusula 9.2 da norma determina que as organizações realizem auditorias internas em intervalos programados para determinar a conformidade com os requisitos da norma, e que precisam ser regidas por um processo formal.

As empresas devem contratar auditores com expertise comprovada, que façam parte da equipe de um órgão certificador como a TÜV Rheinland, já que dificilmente contarão com recursos internos habilitados para esse processo. Isso irá garantir a qualidade e independência da auditoria.

Auditorias externas

Já as auditorias de Estágio 1 e Estágio 2, Vigilância e Recertificação são consideradas auditorias externas, e obrigatoriamente, devem ser realizadas por auditores externos, e em alguns casos, também poderão ser realizadas pelas partes interessadas.

Auditoria de Fase 1

Embora não seja obrigatória, as organizações podem realizar uma análise de gaps para verificar o status de implementação do SGSI antes de prosseguir para uma auditoria de Fase 1. Uma auditoria de Fase 1 é essencialmente uma revisão de documentos para garantir que a documentação necessária esteja em vigor para a operacionalidade do SGSI. O objetivo de uma auditoria de Estágio 1 é avaliar a maturidade de uma organização para uma certificação ISO 27001.

Auditoria de Fase 2

As auditorias da Fase 2 concentram-se na implementação e eficácia dos controles de segurança da informação de uma organização, bem como na sua conformidade com os requisitos da ISO 27001. A Etapa 2 pode ser vista como a auditoria inicial de certificação.

Após essa auditoria a empresa recebe a sua certificação ISO 27001.

Auditorias de Vigilância

As auditorias de Vigilância ocorrem anualmente entre as auditorias de Estágio 2 e de Recertificação. O seu objetivo é validar a conformidade operacional e a melhoria contínua do SGSI.

Auditoria de Recertificação

As auditorias de Recertificação são essencialmente outra auditoria de Estágio 2, onde todos os requisitos são avaliados para verificar a conformidade do SGSI com a norma. As auditorias de Recertificação ocorrem a cada três anos no final do ciclo de certificação e o SGSI é novamente certificado por três anos.

As duas principais atividades de um auditor consistem em:

Revisão dos documentos: verificação da documentação da organização com o objetivo de avaliar a aderência aos princípios da norma. O auditor vai examinar a documentação da organização para avaliar a integridade e adequação do SGSI. Seu foco está em compreender como a organização pretende abordar os riscos de segurança da informação e atender aos requisitos da ISO 27001.

Revisão do processo: essa é a parte principal da auditoria ISO 27001, quando o auditor verifica in loco a adesão da organização ao padrão ISO, avaliando a eficácia dos controles do SGSI. Ele verifica se a empresa executou as medidas necessárias para enfrentar os riscos de segurança e proteger informações confidenciais. Após a auditoria no local, é compilado um relatório abrangente resumindo as conclusões, e que destaca as não conformidades. Quando e se são identificadas não conformidades, a organização é obrigada a formular e implementar ações corretivas para corrigir deficiências. As ações corretivas são fundamentais para alcançar a conformidade.

Tenha em mente que um auditor ISO segue um cronograma rigoroso. Devido às limitações de tempo, ele só tem tempo suficiente para auditar um ou dois exemplos de cada processo-chave.

Novamente, estar preparado é sua primeira linha de defesa ou o auditor pode ter a sensação de que a empresa enfrenta problemas ou simplesmente não está suficientemente engajada.

Quando os requisitos da ISO 27001 são atendidos, a organização é capaz de operar um SGSI para proteger suas informações valiosas, comercialmente sensíveis e privadas. A principal característica da norma é um conjunto de processos que ajuda a gerir os riscos de ataques cibernéticos.

Também ajuda a manter as medidas de segurança da informação atualizadas, revisando e melhorando continuamente o SGSI para lidar com as mudanças no ambiente de negócios e nos riscos.

Mas como avaliar a maturidade da sua segurança da informação e se preparar para implementar a ISO 27001?

Avalie as questões abaixo e saiba mais:

Contexto empresarial

O design e a implementação do seu SGSI são baseados em uma análise do contexto de negócios da sua organização? Para garantir que você obtenha todos os benefícios e valor, o escopo e a configuração precisam corresponder aos objetivos de negócio.

Você analisou as necessidades e expectativas das partes interessadas, internas e externas? Quaisquer necessidades em termos de confidencialidade, integridade e disponibilidade de informações devem ser atendidas pelo SGSI.

Liderança e comprometimento da alta gestão

A alta gestão demonstra liderança e compromisso – por exemplo, assumindo um papel ativo no envolvimento, promoção, monitoramento e revisão do desempenho e eficácia do SGSI?

A sua organização possui uma política de segurança da informação documentada? Em caso afirmativo, esta política é revista e atualizada regularmente para garantir que permanece relevante e eficaz?

Foram atribuídos recursos suficientes (financeiros, humanos e técnicos) para apoiar o processo de implementação?

A alta gestão atribuiu as funções e responsabilidades relevantes do SGSI aos gerentes e funcionários?

Avaliação e tratamento de riscos

Você realizou uma avaliação de risco abrangente para identificar, analisar e avaliar os riscos que enfrenta em termos de perda de confidencialidade, integridade e disponibilidade de informações? Este é um processo fundamental e obrigatório para todas as organizações.

Os resultados da avaliação de riscos são usados para determinar a melhor opção para mitigar os riscos? Uma abordagem muito adotada é selecionar um conjunto apropriado de controles de segurança da informação para reduzir os riscos. Eles podem ser obtidos de um conjunto padrão de controles ou desenvolvidos pela organização.

Os controles são revisados e atualizados regularmente para garantir que a segurança da sua informação permaneça eficaz?

Competência, conscientização e treinamento

A sua organização garante que possui gestores e funcionários competentes para as tarefas ou atividades relevantes para o SGSI?

Todos os colaboradores receberam treinamento sobre a importância da segurança da informação e compreendem o papel que desempenham na proteção dos ativos de informação da organização? O treinamento de todos é apropriado para suas respectivas funções?

Avaliação de desempenho

Você realiza monitoramento, medição, análise e avaliação regulares do seu SGSI? Isto permite aos gestores responderem a uma pergunta sempre presente: “As nossas informações estão seguras?” A avaliação também garante que você fará melhorias no SGSI quando necessário para mantê-lo atualizado.

A sua organização realiza auditorias internas imparciais do seu SGSI para garantir que ele seja efetivamente implementado e mantido?

A implementação da estrutura de segurança da informação especificada na norma ISO 27001 ajuda sua empresa a:

• Reduzir sua vulnerabilidade à crescente ameaça de ataques cibernéticos
• Responder aos crescentes riscos de segurança
• Garantir que ativos como demonstrações financeiras, propriedade intelectual, dados de funcionários e informações confiadas por terceiros permaneçam intactos, confidenciais e disponíveis conforme necessário
• Entregar uma estrutura gerenciada centralmente que protege todas as informações em um só lugar
• Preparar pessoas, processos e tecnologia em toda a sua organização para enfrentar riscos e outras ameaças baseados em tecnologia
• Garantir a segurança das informações em todas as formas, incluindo dados digitais, em papel e na nuvem
• Reduzir custos aumentando a eficiência e eliminando despesas com tecnologias de segurança ineficazes

Os auditores da TÜV Rheinland são certificados em nossa própria Academia, credenciada pelo CQI IRCA para realizar os cursos de gerente de auditoria. As diretrizes do curso IRCA garantem um nível uniforme de treinamento do auditor e somente organizações que demonstrem o conhecimento técnico e de treinamento necessário e tenham a capacidade de avaliar e verificar corretamente o desempenho de potenciais auditores e formadores de auditores recebem a sua aprovação.

Com isso, nossos auditores especialistas em segurança da informação têm o conhecimento e as habilidades necessárias para avaliar a conformidade do sistema de gerenciamento de segurança da informação de uma organização com a ISO 27001.

Todo esse processo de auditoria ISO 27001 parece extremamente complexo, mas, com o nosso suporte, todas as etapas podem ser simplificadas.

Entre em contato com TÜV Rheinland e saiba mais.