Com a nova Lei Geral de Proteção de Dados Pessoais (LGPD), todas as empresas precisam cumprir requisitos legais para proteger dados pessoais. A certificação ISO/IEC 27701 apoia a sua organização nesta importante missão, ao fornecer, com base na ISO 27001, os requisitos para um sistema de gestão de privacidade da informação que atenda às necessidades globais e particulares da sua empresa.
O Brasil é o país que mais sofre ataques cibernéticos na América Latina, de acordo com dados da Netscout. Além disso, com a nova LGPD, é indispensável que empresas se adequem às regras e protejam dados de parceiros, colaboradores ou clientes, sem serem penalizadas em custos e reputação. A ISO/IEC 27701 é uma certificação que atende justamente esta necessidade, estabelecendo rigorosos padrões de qualidade na operação e no controle da privacidade de dados pessoais.
Certificação ISO/IEC 27001 com reconhecimento internacional
A Fundação Carlos Alberto Vanzolini é membro da The International Certification Network (IQNet), rede internacional de entidades certificadoras, o que permite que a certificação para a sua empresa tenha a validação de uma das principais referências no assunto. Especialmente considerando que 30% do número total de certificados de sistemas de gestão emitidos no mundo foram gerados por membros associados à IQNet.
A ISO/IEC 27701 tem como objetivo promover um sistema de gestão de segurança e privacidade de informações que evolua constantemente, por isso, aborda o ciclo de melhoria contínua.
Conquistar a certificação ISO/IEC 27701 é colocar a sua empresa com os dois pés na era digital!
A atuar de forma mais estratégica na gestão de dados, com foco na segurança e na privacidade. Ao conhecer a norma ISO 27701:2019 você aprenderá sobre padrões internacionais de proteção de dados, além de se preparar para apoiar organizações na adequação de processos para conformidade com a LGPD.
Veja tudo o que você vai aprender:
Obs.:
A realização deste curso está condicionada ao número mínimo de matrículas.
As vagas estão sujeitas à capacidade máxima da turma.
Lidar com os dados pessoais é algo delicado e que demanda cuidado da empresa que recebe e armazena essas informações. Se antes o controle já se fazia necessário, com a Lei Geral de Proteção de Dados (LGPD), em vigor desde 2018, a atenção deve ser redobrada, visto que qualquer não conformidade é passível de multa, desde agosto de 2021.
Para auxiliar na adequação das empresas nesse quesito, a Fundação Vanzolini realiza a avaliação da conformidade de acordo com a ISO 27001, que permite uma gestão eficaz e proteção de toda a informação considerada crítica, por meio da correta seleção e implementação dos controles de segurança; e a ISO 27701, que garante a segurança da informação e privacidade de dados pessoais de clientes, fornecedores, funcionários, parceiros e gestores de instituições privadas, públicas e de todos os portes.
A Fundação Vanzolini conversou com Filipe Mendes e Jonas Marlon, respectivamente CEO e gerente de Qualidade da HostDime, primeira empresa certificada no Brasil com a ISO 27701, sobre o primeiro ano da empresa com a certificação. Confira:
FCAV: Qual a importância da certificação para a empresa?
Filipe Mendes: Com a certificação, a empresa pôde protocolar um passo a passo de como foi formado o seu organismo de controle e proteção dos dados. Além de gerar segurança dentro da organização ao proteger a movimentação dos principais dados e ativos da empresa, a implantação das normas também estende os benefícios para nossos parceiros e clientes.
FCAV: Qual a importância desta certificação para quem já era cliente da empresa e para os novos?
Jonas Marlon: A ISO 27701 estabelece critérios e fornece ferramentas para a empresa criar um sistema de gestão de privacidade da informação, com uma abordagem que abrange tecnologia, processos e pessoas. Então, com a certificação, nossos clientes são beneficiados, pois têm a confiança de terem seus dados críticos assegurados por uma infraestrutura certificada.
FCAV: Há alguma manutenção feita frequentemente com os colaboradores?
JM: Após a etapa de implementação, vem a transformação cultural. É preciso conscientizar colaboradores, investir em tecnologia e mão de obra, mapear os fluxos de dados e começar a trabalhar em prol dos resultados. Nós temos ações de conscientização o ano inteiro, por meio de conteúdos, quiz, entrevistas e muitos outros. É imprescindível ter uma equipe com alto índice de aderência e comprometida com o compliance.
FCAV: Qual o balanço deste primeiro ano com a certificação?
JM: Com os processos e controles implementados, conseguimos lidar naturalmente com várias situações no decorrer deste primeiro ano, como solicitações de titulares, compliance de novos fornecedores, solicitações de clientes, entre outras. Além disso, percebemos que houve uma maior procura, por parte dos clientes que levaram em conta nossas certificações, como diferencial para contratação dos nossos serviços. Enquanto primeira empresa no Brasil a obter a certificação ISO 27701, nos antecipamos a essa necessidade. Com isso, nosso balanço para o primeiro ano de certificação é muito positivo.
Com informações de: Sarah Kohan
A norma ISO 27701 especifica quais são os requisitos e fornece diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de Gestão de Privacidade da Informação (SGPI) e também, fornece diretrizes para os controladores e operadores de dados pessoais que têm grandes responsabilidades nas atividades de tratamento.
É aplicável a todos os tipos e tamanhos de organizações, tanto públicas quanto privadas, organizações controladoras e operadoras de dados pessoais e tem relação com as normas técnicas que lhe dão suporte para a implementação da conformidade.
A norma nasceu da extensão de requisitos da ISO 27001 e também das diretrizes da ISO 27002, ambas com o objetivo de manter a segurança da informação.
Para entender melhor sobre a norma da ISO 27701 é preciso compreender que ela tem relação a todo instante com as normas de segurança da informação, suas diretrizes e requisitos, ao mesmo tempo em que cria novas e específicas regras.
“A norma 27701, elaborada pelo comitê conjunto da ISO/IEC, é a primeira norma de privacidade global. Abrange todo ciclo de vida dos dados pessoais na organização desde a sua coleta de dados até o seu descarte de dados.
Segurança da informação e privacidade estão inter-relacionadas e ao anexar as melhores práticas de privacidade de dados à segurança, o comitê ISO/IEC facilita para milhares de empresas auditadas todos os anos na norma 27001, a ampliação de seus sistemas de segurança da informação para um sistema segurança da informação e privacidade de dados pessoais.
A adoção da ISO/IEC 27701 em uma organização fornece um caminho fácil para disseminação de práticas consistentes de processamento de dados pessoais. Uma vez certificada, a empresa ganha credibilidade no mercado demonstrando sua preocupação com o tratamento de dados pessoais através de auditorias externas com reconhecimento internacional.
De acordo com o último survey publicado pela ISO com dados de final de 2019, a ISO 27001 é a terceira norma mais adotada e certificada mundialmente, precedida pela ISO 9001 em primeiro lugar e ISO 14001 em segundo lugar. Analisando os países que adotam este padrão, a China está em primeiro lugar com 8.356 certificados válidos, seguida do Japão com 5.245 e do Reino Unido com 2.818 certificados.
Com as leis de proteção de dados pessoais em vigor em muitos países do mundo, como a LGPD no Brasil e a GDPR na União Europeia, a tendência é de crescimento rápido da adoção da ISO 27701.”
Confira alguns detalhes importantes da norma:
Com o curso Segurança da Informação e Privacidade de Dados Pessoais, conforme a norma internacional ISO 27701:2019 você conhecerá os requisitos para atender a Norma que foi concebida para ser uma ferramenta internacional de adequação às mais diversas regulamentações de proteção de dados em diversos países, como a LGPD – Lei Geral de Proteção de Dados do Brasil e a GDPR – General Data Protection Regulation da Europa.
Para evitar o roubo de dados de pessoas e empresas, realizado por criminosos, entenda mais sobre as normas de segurança e privacidade da informação ISO 27001 e 27701.
As normas ISO 27001 e 27701 auxiliam na segurança da informação de organizações, evitando golpes e fraudes.
De alguns anos para cá, temos acompanhado uma série de notícias a respeito do vazamento de dados de pessoas e empresas, por meios digitais. Foram roubados diversos CPFs e CNPJs, além de contas de celulares.
No caso das contas de celulares, as informações são extraídas dos computadores das operadoras de telefonia e comercializados na deep web, uma parte da internet que dificulta ao máximo o rastreamento de computadores.
Todas essas situações geraram um grande alerta aos internautas, que passaram a ter medo de ter suas informações vazadas e utilizadas para atividades criminosas. Afinal, esses vazamentos podem gerar diversas consequências negativas para as vítimas.
É por isso que é essencial implementar as normas ISO 27001 e 27701 para proteger os seus dados de forma eficaz, e, neste conteúdo, abordaremos a importância dessa implementação. Acompanhe a leitura!
A segurança da informação diz respeito à defesa dos dados, visa assegurar que os dados possam ser acessados apenas pelos seus responsáveis de direito ou pelas pessoas para as quais eles foram enviados.
No conceito de segurança da informação, a palavra “informação” é bastante ampla, já que pode estar relacionada aos dados financeiros, bancários, aos dados de um determinado projeto, serviço ou à propriedade intelectual, entre outros.
Dessa forma, a segurança da informação consiste de uma série de ações estratégicas, com o intuito de controlar e evitar riscos de roubo, danos e perdas de dados, servidores, dispositivos, sistemas e redes.
Há inúmeras possibilidades para a coleta e mau uso dos dados de sua empresa ou de seus dados pessoais. Tais ações têm como função identificar, registrar e combater possíveis ameaças.
Para as organizações, a falta de sistemas de segurança e de proteção nas trocas de informações pode levar a prejuízos significativos.
Os impactos negativos não se restringem às perdas financeiras, podem também causar prejuízos à reputação e à imagem da empresa, demonstrando que não é capaz de proteger seus dados ou de terceiros.
Ao colocar em risco a segurança dos dados de seus clientes, a empresa deixa de ser confiável, e isso é prejudicial à fidelização dos clientes..
Negligenciar as estratégias de segurança cibernética pode deixar sua empresa vulnerável a diversos riscos. Entenda quais são os principais:
Por meio de um malware (um software intencionalmente feito para causar danos a um computador, servidor, cliente ou uma rede de computadores), os criminosos podem capturar informações e infectar diversos documentos, impedindo o seu acesso.
A prática mais comum é o responsável pelo ataque realizar chantagens com a empresa atacada, em troca de uma chave de (re)acesso aos seus documentos.
Esse tipo de ameaça à segurança da informação diz respeito à fraude eletrônica; é um dos golpes mais comuns atualmente.
O phishing é uma técnica de engenharia social que, para atrair a atenção das pessoas, se vale de mensagens ou plataformas que parecem confiáveis ou originadas de lugares plausíveis, tais como as redes sociais, e-mails ou bancos.
Após atrair a atenção da vítima, a estratégia costuma direcioná-la a links maliciosos, capazes de executar funções indevidas nos servidores. Tipicamente se instala algum vírus no dispositivo.
Para compreender melhor as normas, é importante entender quais são as suas diferenças.
A LGPD (Lei Geral de Proteção de Dados) é a lei que regula o tratamento dos dados de pessoas físicas ou jurídicas, com o objetivo de garantir a proteção das informações e da privacidade.
Uma dúvida bastante comum é como as empresas podem adequar suas operações a esta Lei. Uma das formas mais eficientes para estar em conformidade com a LGPD dentro de uma organização, é aderir às normas ISO 27001 e 27701. Se a empresa tiver tais certificações, ela estará atendendo à Lei Geral de Proteção de Dados.
Entenda os objetivos da obtenção das certificações:
Um dos principais objetivos dessas duas certificações é garantir a conformidade com a LGPD, evitando que a sua organização seja vítima de fraudes.
Além disso, a ISO 27701 está de acordo também com a GDPR (General Data Protection Regulation). Ou seja, o Regulamento Geral de Proteção de Dados, que é um conjunto de regulações a respeito da proteção de dados na União Europeia.
Portanto, com as certificações ISO 27001 e 27701, a empresa está apta a ser auditada pela norma Europeia. É um caminho para a empresa captar clientes no continente europeu.
Ao garantir a capacitação de atendimento a essas normas, a empresa garante a segurança dos seus dados, das informações dos clientes e do seu negócio, evitando prejuízos financeiros e sociais.
O resultado é o aumento da confiança de clientes e parceiros, além da transparência com os titulares dos dados.
O público-alvo da capacitação das normas são executivos, líderes, gestores, profissionais das áreas de auditoria, segurança da informação, tecnologia da informação, controles internos, compliance, gestão de processos e riscos.
São também públicos-alvos os consultores, profissionais autônomos e colaboradores de qualquer segmento que desejem adotar as boas práticas de segurança da informação e privacidade em suas atividades ou empresas.
Primeiramente, é preciso deixar claro que, para implementar a ISO 27701, a ISO 27001 também deve ser aplicada. Ou seja, a organização deve contar com essa certificação, ou estar em processo de adequação.
Logo, é necessário identificar qual a maturidade de proteção e privacidade do negócio, e o que ele ainda precisa alcançar. Fazer uma comparação das medidas atuais com o que as normas ISO e a LGPD exigem, ajuda a entender o que ainda precisa ser feito.
Ao seguir a estrutura determinada pelas normas, as empresas cumprirão as exigências necessárias para garantir a proteção de dados.
A maioria dos requisitos se resumem a garantir e proteger a privacidade dos dados pessoais e sensíveis dos usuários, sejam eles clientes, parceiros ou colaboradores.
Confira os principais requisitos da norma 27001, de acordo com o site da Certifiquei:
É importantíssimo garantir a segurança da informação e proteção de dados tanto para pessoas físicas quanto jurídicas, já que ambas têm a possibilidade de serem vítimas de golpes e fraudes.
Além disso, atender aos requisitos das normas ISO 27001 e 27701 ajuda a atrair mais parceiros e clientes para as empresas.
Este conteúdo foi útil para você? Aprenda mais sobre o assunto: a Fundação Vanzolini oferece cursos com especialistas na área, para você ampliar o seu repertório e transformar a sua carreira.
Saiba mais sobre as certificações da Fundação Vanzolini
Conheça as capacitações em Sistemas de Gestão de Segurança da Informação da Fundação Vanzolini
Atualização da ISO/IEC 27001:2022
Interpretação dos Requisitos ISO 27001:2022
IQNet: ISO 27001 – Auditor Líder
A manutenção das certificações ISO 27001 e 27701 é um processo contínuo e necessário para garantir a segurança da informação e privacidade de dados. Saiba mais!
Com o aumento de ataques cibernéticos, cada vez mais as organizações buscam formas de se proteger. Nesse contexto, a manutenção das certificações ISO 27001 e 27701 é essencial para proteger as informações e dados das empresas.
Segundo o relatório da Security Report, o Brasil é um dos países mais afetados por vazamentos de dados. Em 2022, houve um aumento de 60% no número de vazamentos de dados no Brasil, e os custos desses vazamentos podem ultrapassar R$ 26 milhões em 2023.
E, ainda, de acordo com um relatório da empresa Tenable, em 2022, o Brasil foi responsável por 40% dos vazamentos de dados do mundo. Isso significa que, em um total de 257 terabytes de dados vazados, 984,7 milhões de dados (112 terabytes) foram do Brasil.
Esses números mostram o quanto é imprescindível que as empresas adotem medidas de proteção. Neste artigo, compreenda a importância da manutenção das certificações ISO para a segurança da informação e conheça os benefícios de mantê-las em sua empresa. Boa leitura!
A crescente digitalização das operações empresariais e governamentais têm destacado a necessidade crítica de garantir a segurança da informação e a proteção dos dados pessoais. Isso evidencia a importância da certificação por normas de segurança da informação, como:
Essas certificações surgem como um alicerce na busca pela conformidade com regulamentações rigorosas, como a LGPD no Brasil, Lei n° 13.709, que foi promulgada em 2018, inspirada na norma europeia de Proteção de Dados (GDPR – General Data Protection Regulation).
Diante disso, compreender a importância da manutenção dessas certificações é essencial para fortalecer a segurança cibernética e a privacidade de dados em um mundo cada vez mais conectado.
As normas ISO 27001 e 27701 podem ser aplicadas por organizações de todos os tamanhos e setores. Elas fornecem um conjunto de requisitos e diretrizes que podem ajudar as organizações a protegerem suas informações e garantir a privacidade dos dados pessoais.
A ISO 27001 é uma norma internacional, que define um conjunto de requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). O SGSI é um processo estruturado que ajuda as organizações a protegerem seus ativos de informação contra ameaças e riscos.
Já a ISO 27701 é uma extensão da ISO 27001, que trata especificamente das questões de privacidade de dados. Ela oferece diretrizes para estabelecer, implementar, manter e melhorar um Sistema de Gestão de Informações de Privacidade (SGIP).
Dessa forma, ela garante a conformidade com regulamentações de privacidade, como a LGPD. A norma visa proteger os direitos e a privacidade das pessoas físicas em relação ao processamento de seus dados pessoais.
A implementação pode ajudar as organizações a:
Sendo assim, as normas ISO/IEC 27001 e 27701 formam as bases para garantirem que as empresas realizem uma gestão da informação, assim como atuam para a proteção de dados, um tema crítico em nossa atualidade.
A manutenção das certificações ISO 27001 e 27701 é um processo contínuo e cíclico, essencial para a eficácia e relevância das práticas de segurança da informação e privacidade de dados. Esse ciclo consiste em cinco etapas cruciais:
A primeira etapa é avaliar a conformidade das práticas de segurança da informação e privacidade de dados da organização em relação aos requisitos das normas ISO 27001 e 27701. Isso envolve a identificação de lacunas e a criação de um plano de ação para abordar essas deficiências.
Para realizar essa avaliação, a organização pode utilizar uma variedade de métodos, incluindo:
Com um plano de ação em vigor, a organização implementa medidas corretivas e preventivas para preencher as lacunas identificadas. Isso pode incluir:
É importante que a organização implemente e melhore suas práticas de segurança da informação e privacidade de dados de forma contínua.
Isso ajudará a garantir que a organização esteja sempre em conformidade com as normas e que suas práticas estejam se adaptando às mudanças no cenário de segurança cibernética e privacidade de dados.
A organização deve monitorar regularmente suas práticas de segurança da informação e privacidade de dados para garantir que os controles implementados estejam funcionando efetivamente. Isso pode envolver auditorias internas, análises de risco e avaliações de conformidade.
O monitoramento e a avaliação contínuos são essenciais para garantir que a organização esteja sempre ciente de quaisquer problemas de segurança da informação e privacidade de dados.
As normas ISO 27001 e 27701 são dinâmicas, se adaptam e evoluem. A empresa deve revisar periodicamente seu SGSI e SGIP a fim de garantir que eles permaneçam alinhados com as versões mais recentes das normas e incorporem as melhores práticas emergentes.
A revisão e a atualização do SGSI e SGIP devem ser realizadas em um ciclo contínuo. Isso ajudará a garantir que a organização esteja sempre preparada para enfrentar as ameaças e os desafios de segurança da informação, além da privacidade de dados.
Após um período determinado, geralmente de três anos, a organização passa por uma auditoria, realizada por uma entidade de certificação independente. A auditoria avalia se a empresa ainda atende aos requisitos das normas ISO 27001 e 27701.
Uma vez aprovada, a renovação da certificação é um importante passo para garantir que a organização continue atendendo aos requisitos das normas e que suas práticas de segurança da informação e privacidade de dados permaneçam eficazes.
Realizar em sua empresa a manutenção das certificações ISO 27001 e 27701 oferece uma série de benefícios significativos para organizações e indivíduos, incluindo:
A manutenção das certificações ISO 27001 e 27701 é um investimento de longo prazo na segurança da informação e privacidade de dados. Elas ajudam as empresas a protegerem suas informações confidenciais, e também a construírem confiança com clientes, parceiros comerciais e stakeholders.
Ao adotar uma abordagem proativa para a gestão segura de dados, as organizações podem navegar pelo cenário de segurança cibernética, sempre em constante mudança, com confiança e seguridade. Para saber mais, acompanhe nosso blog.
Um lembrete importante: em outubro de 2022, foi publicada uma nova versão da ISO 27001. Todas empresas devem fazer a migração até outubro de 2025. Para mais informações, entre em contato com a Certificação:
(11) 3913-7100
Quer saber mais sobre Sistema de Gestão da Segurança da Informação (SGSI)? Conheça as certificações da Fundação Vanzolini
Saiba mais sobre as capacitações em Sistemas de Gestão de Segurança da Informação da Fundação Vanzolini
Atualização da ISO/IEC 27001:2022
Interpretação dos Requisitos ISO 27001:2022
IQNet: ISO 27001 – Auditor Líder
Megavazamento de dados expôs milhões de CPFs, CNPJs e contas de celulares
Em 2021, temos acompanhado com apreensão as notícias sobre a série de vazamentos de dados de pessoas e empresas realizados por criminosos, até onde se suspeita, por meios digitais. Os números impressionam. Entre janeiro e fevereiro as reportagens mostraram que foram roubados cerca de 223 milhões de CPFs, 40 milhões de CNPJs e mais de 102 milhões de contas de celulares. Nesse último caso, extraídos dos computadores das operadoras de telefonia e comercializados na deep web – espaço virtual que torna difícil o rastreamento de computadores.
Não se sabe ainda a extensão da gravidade do caso, que expôs dados de políticos, empresários, empresas e cidadãos. Situações como essas podem envolver riscos variados, como atingir a questão da soberania nacional, economia − colocando em risco os negócios e a produção das empresas − e afetar a vida de milhões de pessoas, com impacto nas finanças, privacidade e segurança pessoal.
Segundo a especialista em auditorias de sistemas de segurança da informação e privacidade de dados, da Fundação Vanzolini, Sarah Kohan, o caminho para as empresas e os governos realizarem a governança e a gestão segura de dados para o cumprimento da Lei Geral 13709, de 2018, de Proteção de Dados (LGPD), é atenderem aos requisitos das normas ISO/IEC 27001, que descreve como Gerenciar a Segurança da Informação em uma Organização; e aos requisitos da ISO/IEC 27701, que trata sobre a Visão Geral do Sistema de Gerenciamento de Informações de Privacidade.
“É importante chamar a atenção das pessoas sobre a importância do assunto e como ele impacta o dia a dia. Por exemplo, quando entramos em um prédio residencial ou comercial e a equipe de segurança nos solicita, na recepção, o número de RG ou CPF, temos o direito de saber o que eles vão fazer com esse dado, com essa informação. Para onde vai esse dado, como será armazenado e como e quando será descartado? Existe hoje todo um processo que as empresas precisam seguir para garantir a privacidade dos dados e o cumprimento da lei”, pontua Kohan.
A LGPD define que as empresas precisam expor regras claras sobre a coleta, armazenamento, processamento e compartilhamento de dados pessoais, com padrões de proteção elevados e penalidades importantes para as violações. A lei trata sobre “dados pessoais”, relacionadas à pessoa física e a “processamento de dados” como qualquer operação realizada com dados pessoais, como coleta, classificação, uso, acesso, cópia, processamento, armazenamento e controle de informações.
“Após o estabelecimento da legislação e das normas que regem a gestão de dados e gerenciamento de informações, empresas e governos precisam se alinhar a essa nova realidade, sob o risco de não conseguirem efetuar negócios em mercados internacionais, participar de licitações públicas, perderem valor no mercado de ações e sofrerem punições pesadas em multas fixadas por leis no Brasil e no exterior”, ressalta Kohan.
A norma pode ser aplicada para qualquer tipo de empresa, independentemente do porte ou segmento e estão voltadas para garantir a segurança da informação de clientes, funcionários e gestores, conforme o escopo a ser definido pelas empresas e órgão públicos. No primeiro momento, a empresa precisa buscar atender aos requisitos da ISO/IEC 27001; e, em seguida, buscar a qualificação para a ISO/IEC 27701 e comprovar que atende aos requisitos de privacidade de dados.
Nesse sentido, para avaliar a conformidade dos processos e realizar o serviço de certificação das normas ISO/IEC 27001 e 27701, a Fundação Vanzolini possui equipe técnica altamente capacitada; e as certificações da entidade são reconhecidas e validadas no exterior pela IQNet – “The International Certification Network” − rede internacional que engloba mais de 37 organismos presentes em mais de 150 países. No geral, 30% do total de certificados de sistemas de gestão emitidos no mundo foram gerados por organismos pertencentes à IQNet.
Essa preocupação com a segurança e proteção de dados e informações vem sendo tema de debates há anos em fóruns globais que envolvem governos, empresas, entidades de classe e sociedade. Em 2018, a União Europeia criou a lei para proteção de dados GDPR (General Data Protection Regulation), que influenciou a lei brasileira. Em seguida, os países do bloco encomendaram para ISO (Organização Internacional de Normalização ou International Organization for Standardization) a criação de uma norma para atender a essa legislação que resultou na ISO/IEC 27000. Em 2020, essa norma foi estendida quando se criou ISO/IEC 27701, com requisitos e diretrizes para um sistema de gestão de privacidade da informação (SGPI).
A transformação digital tornou a proteção de informações uma prioridade estratégica para empresas de todos os portes. Os dados organizacionais representam ativos valiosos que exigem salvaguardas rigorosas para proteger não apenas as organizações, mas também clientes, parceiros e demais stakeholders.
Quando se fala em segurança da informação, temos como aliada das organizações – de qualquer porte – a norma ISO 27001, que fornece uma estrutura robusta para proteger dados e ativos de informação.
Implementar e manter um SGSI conforme a ISO 27001 não apenas fortalece a segurança, mas também demonstra compromisso com a proteção de dados e a conformidade regulatória, aspectos cada vez mais valorizados no mundo digital.
Para entender mais sobre os requisitos para implementação e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI) eficiente e eficaz, de acordo com a ISO 27001, siga com a leitura!
De acordo com o ISO.org, a ISO/IEC 27001 é a norma mais conhecida do mundo para sistemas de gestão de segurança da informação (SGSI).
Dessa forma, a norma ISO 27001 fornece, para empresas de qualquer porte e de todos os setores de atividade, orientações para estabelecer, implementar, manter e aprimorar continuamente um sistema de gestão de segurança da informação.
Quando uma empresa está em conformidade com a ISO/IEC 27001 significa que ela implementou um sistema para gerenciar riscos relacionados à segurança das informações de sua propriedade ou gerenciados pela empresa, e que esse sistema respeita as melhores práticas e princípios presentes na norma internacional.
Com o aumento dos crimes cibernéticos e o surgimento constante de novas ameaças, pode parecer difícil ou até mesmo impossível gerenciar os riscos cibernéticos.
Segundo a pesquisa Global Cybersecurity Outlook de 2025, realizada pelo Fórum Econômico Mundial (WEF), a América Latina se destaca como a região com maior dificuldade de respostas a incidentes cibernéticos, com aproximadamente 42% das organizações latino-americanas expressando preocupações com esse tipo de crime.
Em texto publicado pela Agência Senado, conforme levantamento do fórum, existe uma escassez de 4,8 milhões de profissionais qualificados em cibersegurança.
Sendo assim, a ISO 27001 é uma ferramenta importante para ajudar as organizações a se conscientizarem dos riscos e a identificar e abordar as fragilidades de forma proativa.
A importância da ISO está no fato da norma promover uma abordagem holística à segurança da informação: avaliando controles organizacionais, de pessoas, físicos e tecnológicos.
Um sistema de gestão de segurança da informação implementado de acordo com esta norma é uma ferramenta para gestão de riscos, resiliência cibernética e excelência operacional.
Além disso, a conformidade com a norma deve reduzir o risco de incidentes de segurança, evitar multas regulatórias e melhorar a reputação da empresa.
Agora que sabemos o que é a ISO 27001 e qual sua importância para as empresas, vamos entender quais os principais pontos de atuação:
Implementar um SGSI eficaz exige planejamento cuidadoso e uma execução rigorosa. Para alcançar a conformidade com a ISO 27001, o processo de implementação e manutenção envolve as seguintes etapas:
A segurança das informações deve acompanhar as mudanças do mundo. Manter um SGSI eficiente envolve lidar e enfrentar desafios como:
Como falamos anteriormente, há uma escassez de pessoas qualificadas em cibersegurança e a capacitação profissional se coloca como um pilar fundamental para garantir a eficácia do SGSI.
Sem preparo, as informações ficam mais expostas, menos protegidas e mais suscetíveis aos ataques. É preciso contar com pessoas com conhecimento da norma e domínio das ferramentas para garantir o SGSI eficiente e atuante.
Como conseguir essa capacitação profissional?
A Fundação Vanzolini oferece diversos cursos voltados para segurança de dados, auditorias e normas, que formam profissionais prontos para enfrentar os desafios da modernidade.
Veja quais são eles:
O profissional vai entender como funciona a implantação e a manutenção de Sistemas de Gestão de Segurança da Informação, de acordo com os requisitos internacionais de qualidade da ISO 27001:2022, e se preparar para realizar auditorias internas.
Além de conhecer todos os itens da norma, ele vai aprender a implementá-los no mundo real, com o apoio de professores experientes, exercícios e estudo de caso.
Curso voltado para quem deseja se tornar auditor ou auditora líder na ISO 27001, com certificado internacional IQNET Academy. A formação oferece as melhores oportunidades na área de Segurança da Informação, com teoria e aplicação prática das técnicas.
O curso visa um aprofundamento na interpretação dos requisitos e ensina todos os passos para planejar, executar e gerenciar equipes de auditores.
O curso conta com conhecimento em competências que o farão do aluno um auditor interno qualificado na ISO 27001. Para isso, ele irá conhecer todos os aspectos técnicos da norma, saber as qualificações comportamentais relevantes e fazer estudos de caso para realizar programas de auditorias internas bem-sucedidos. Este curso tem certificado internacional com selo IQNET Academy.
Para atuar de forma mais estratégica na gestão de dados, com foco na segurança e na privacidade. Ao conhecer a norma ISO 27701:2019, o aluno aprenderá sobre padrões internacionais de proteção de dados, além de se preparar para apoiar organizações na adequação de processos para conformidade com a LGPD.
Com base em uma visão abrangente das tecnologias de controle e dos aspectos técnicos e organizacionais envolvidos, o curso explora os controles técnicos da ISO/IEC 27001 e as melhores práticas em proteção de dados. Os participantes adquirem as habilidades necessárias para garantir a segurança e a conformidade das informações.
Por fim, destacamos que a segurança da informação é uma jornada contínua, que exige monitoramento constante, adaptação às novas ameaças e busca pela melhoria contínua.
O cuidado com os dados, hoje em dia, é o cuidado com um insumo, com algo extremamente importante e valoroso para as empresas.
Nessa empreitada, a ISO 27001 fornece uma estrutura sólida para essa jornada, garantindo a proteção dos dados e a confiança dos stakeholders.
Se você deseja se aprofundar na implementação da ISO 27001 com especialistas, conte com a Fundação Vanzolini e seus cursos atualizados com foco prático. Todos os cursos então disponíveis também no formato In Company.
Para mais informações sobre os cursos:
Saiba mais sobre as certificações da Fundação Vanzolini
Fontes:
Sua empresa está segura? Veja como proteger seus dados
Golpes virtuais aumentam e não fazem distinção de idade
O que é gestão de segurança da informação ISO 27001?
O mundo está on-line e o cuidado com o que circula na web é essencial para proteger pessoas, empresas e dados. O Dia Internacional da Internet Segura (Safer Internet Day), comemorado este ano, no dia 11 de fevereiro, é uma iniciativa global, promovida para conscientizar e educar a sociedade sobre o uso responsável, ético e seguro da internet.
A data é um marco no calendário, que deve servir para mobilizar organizações, governos, empresas e cidadãos para debater e adotar boas práticas no ambiente digital.
No caso das organizações – tanto públicas, quanto privadas -, uma solução para colaborar com segurança no ambiente digital é a Certificação ISO 27001.
Acompanhe a leitura para saber mais sobre a importância do Dia Internacional da Internet Segura e quais os benefícios da ISO 27001 para as empresas.
Com o propósito de promover o uso ético e seguro da Internet e de outras tecnologias, foi criado, pelas Redes INSAFE-INHOPE e Comissão Europeia, em 2004, o Dia da Internet Segura, comemorado no dia 11 de fevereiro.
A data é celebrada por cerca de 200 países em todo o mundo e, no Brasil, o evento é promovido por organizações como a SaferNet Brasil, por meio de encontros e debates sobre temas essenciais, para disseminar informações sobre segurança digital, boas práticas on-line e direitos na internet.
Dessa forma, o Dia Internacional da Internet Segura é uma oportunidade para que a sociedade como um todo reflita sobre como construir um ambiente digital mais seguro e inclusivo para todos.
Embora, recentemente, uma das bigs tecs tenha anunciado o encerramento do seu sistema de checagem de fatos, o que pode levar à disseminação de fake news na internet, o uso do ambiente digital de forma ética e segura deve ser um compromisso coletivo, que beneficia pessoas e organizações.
Em uma realidade cada vez mais conectada, a internet é, sem dúvida, uma ferramenta essencial para a vida pessoal, profissional e educacional. No entanto, também é essencial frisar que o ambiente digital apresenta desafios como fraudes, roubo de identidade, fake news e exploração infantil.
“Plataformas digitais geraram esperança às pessoas em tempos de crise e luta, amplificaram vozes que antes não eram ouvidas, e deram vida a movimentos globais. No entanto, essas mesmas plataformas também expuseram um lado mais sombrio do ecossistema digital. Elas permitiram a rápida disseminação de mentiras e do discurso de ódio, causando danos reais em escala global.”
– António Guterres, secretário-geral das Nações Unidas.
Segundo o secretário-geral da ONU, 58,5% dos usuários regulares de internet demonstram preocupação com a proliferação de informações falsas on-line. O dado faz parte de um estudo realizado em 142 países, e foi apresentado durante o Informe do secretário-geral da ONU sobre “Integridade da Informação nas Plataformas Digitais”.
No mundo corporativo, a segurança digital atinge níveis ainda mais significativos e profundos e, como dever legal e ético, as organizações precisam seguir diretrizes e normas de cibersegurança capazes de garantir a proteção de dados e evitar ataques cibernéticos.
Segundo relatório da Trend Micro, divulgado em 2023, pela Associação Brasileira das Empresas de Software (Abes), somente no primeiro semestre de 2023 foram bloqueadas em todo o mundo 85,6 bilhões de ameaças virtuais. As principais envolveram ataques por e-mail, links maliciosos e arquivosinfectados.
Sendo assim, seja para pessoas ou organizações, o Dia Internacional da Internet Segura reforça a necessidade de:
Segundo relatório da empresa especializada Check Point Research, no Brasil, apenas no primeiro trimestre de 2024, os ciberataques cresceram 38%. Em média, cada empresa recebeu cerca de dois mil ataques por semana. (OBS: seria interessante ter link do relatório)
Como aliada da cibersegurança, as empresas podem contar com as certificações voltadas para a tecnologia, que são base para um acesso mais seguro, protegendo, assim, informações delicadas em ambientes profissionais.
Entre as certificações reconhecidas globalmente, temos a ISO 27001 e a 27701.
Por meio da implementação das normas nas organizações, é possível potencializar a proteção da rede, atendendo ao chamado urgente da sociedade e do Dia internacional da Internet Segura.
Além disso, a certificação gera benefícios à imagem da empresa perante o mercado e seus parceiros, refletindo em mais competitividade e lucratividade.
Além disso, a ISO/IEC 27001 dá à alta direção maior visibilidade e segurança no planejamento estratégico, permitindo decisões mais embasadas e alinhadas aos riscos e oportunidades do negócio.
Vale destacar que a norma pode ser aplicada a qualquer organização, independentemente do tamanho ou setor, concentrando-se em identificar, gerenciar e reduzir riscos associados à segurança da informação.
Para saber como implementar a ISO 27001 na sua empresa, conte com os serviços e cursos da Fundação Vanzolini:
Saiba mais sobre as certificações da Fundação Vanzolini
Conheça as capacitações em Sistemas de Gestão de Segurança da Informação da Fundação Vanzolini
Atualização da ISO/IEC 27001:2022
Interpretação dos Requisitos ISO 27001:2022
IQNet: ISO 27001 – Auditor Líder
Tecnologias para os Controles da ISO 27001
Fontes:
Conheça os padrões ISO de segurança e conquiste a confiança de seus clientes ao seguir as principais normas de proteção de informações.
Os padrões ISO de segurança se referem ao termo International Organization for Standardization, entidade responsável por desenvolver e publicar padrões de processos que visam qualidade, segurança e eficiência de serviços, produtos e sistemas.
Neste artigo, falaremos sobre as ISO 27001 e 27701, que têm como atribuições zelar, principalmente, pela segurança e sigilo de dados cibernéticos de empresas públicas ou privadas.
Recentemente, dados do Facebook, ChatGPT, de órgãos de saúde e de uma determinada empresa do ramo imobiliário sofreram com o vazamento de dados. As organizações, além de arcar com prejuízos financeiros, devido aos danos morais, ainda perdem a confiança e credibilidade. Por fim, a perda de clientes é uma das piores consequências.
Para tornar sua empresa segura a todos, continue lendo este artigo e saiba como não passar por nenhuma dessas situações que levam uma instituição a perder sua credibilidade e confiabilidade.
A ISO 27001 é uma certificação destinada a empresas de instituições públicas ou privadas que prezam pela segurança da informação, conforme os padrões do Sistema de Gestão de Segurança da Informação (SGSI).
A SGSI, por sua vez, é um conjunto de políticas, normas e protocolos processuais voltados para gerenciar os riscos e reduzir os danos causados pela falta de segurança dos dados de uma organização. Nesse sentido, a ISO oferece maior segurança, confidencialidade e integridade no armazenamento de informações.
Quanto a ISO 27701, é uma extensão da 27001. Enquanto a 27001 diz respeito ao Sistema de Gestão e Segurança de Informação, a 27701 se refere ao Sistema de Gestão de Privacidade da Informação (SGPI). Portanto, a 27701 protege, exclusivamente, dados pessoais dos clientes, funcionários e demais parceiros.
Ambas certificações são importantes, pois como citamos, uma complementa a outra e são imprescindíveis no quesito segurança cibernética. Nesse caso, o ideal é iniciar pela 27001, visto que a 27701 é uma extensão da primeira e não pode ser implementada sem ela. Ao optar pelas duas, você terá a certeza de que está no caminho mais seguro, sem deixar lacunas na proteção dos dados da instituição.
A certificação é ideal para instituições que lidam com informações importantes e sensíveis (sigilosas ou não), dados pessoais e empresariais de clientes, pessoas físicas ou jurídicas, informações financeiras, de propriedade intelectual, etc.
As principais organizações que buscam pela certificação ISO são:
Embora as instituições acima sejam as que mais comumente procurem pela certificação, qualquer empresa preocupada em oferecer segurança aos seus clientes pode obtê-la, pois a ISO 27001 possui muitos benefícios em relação a isso.
Existem vários casos de vazamento de dados, incluindo de empresas gigantes como a Meta (Facebook, Instagram e WhatsApp). Em 2021, ocorreu uma divulgação indevida de dados que afetou 533 milhões de pessoas, em 106 países.
Após esse episódio, a companhia deverá pagar mais de R$70 milhões em danos morais. E, além do prejuízo financeiro, os usuários passaram a não confiar mais nos aplicativos.
Se tal situação ocorre com uma das maiores e mais importantes organizações tecnológicas do mundo, pode-se dizer que todos estão suscetíveis à insegurança. Por isso, atender aos padrões ISO de segurança é uma indicação de que a empresa:
Como consequência a todos os aspectos citados, as empresas aumentam a confiança dos clientes e podem aumentar sua demanda, pois, com os casos frequentes de vazamento, os parceiros optam por quem cuida da segurança cibernética.
Ou seja: menos críticas e imprevistos e mais parceiros interessados no trabalho da instituição!
Leia mais: Proteção a fraudes: saiba mais sobre as normas ISO/IEC 27001 e 27701
A Fundação Vanzolini é uma certificadora da norma ISO 27001. Além disso, a Fundação ainda oferece um curso de interpretação dos requisitos. Isso porque as normas possuem exigências a serem cumpridas.
Os cursos de Interpretação dos Requisitos ISO 27001:2022 têm como objetivo:
O conteúdo programático do curso consiste em:
Quanto ao curso referente às normas ISO 27701, confira os principais conteúdos abordados:
Leia mais: Como funciona a manutenção das certificações ISO 27001 e 27701
Atender às normas, em um primeiro momento, pode parecer uma tarefa complicada para as equipes despreparadas. Então, cursos relacionados a elas são fundamentais para o processo transcorrer da melhor forma e também rapidamente.
Entre em contato e esteja nos padrões ISO de segurança. Com todas as ferramentas em mãos, a empresa estará pronta para receber a certificação e conquistar a confiança dos clientes e demais parceiros.
Este conteúdo foi útil para você? Aprenda mais sobre o assunto: a Fundação Vanzolini oferece cursos com especialistas na área, para você ampliar o seu repertório e transformar a sua carreira.
Conheça os cursos de Segurança de Dados da Fundação Vanzolini.
Auditoria remota – como fazer e responder a auditorias remotas
Gestão de Riscos: Metodologia e boas práticas – ISO 31000
Interpretação dos Requisitos ISO 37001:2016
LGPD na prática: Como implantar a Lei Geral de Proteção de Dados na sua empresa
LGPD para áreas Administrativas e Financeiras
LGPD para áreas com Relacionamento com Clientes ou Fornecedores
LGPD para área de Recursos Humanos
LGPD para área de Tecnologia da Informação
LGPD para DPO ou Encarregado de Dados
IQNET: ISO 27001 – Auditor Líder
Interpretação dos Requisitos ISO 27001:2022
Sistema de Gestão de Ativos – Requisitos ISO 55001
