ISO 27002: qual sua função e como obter a certificação?

últimos artigos

ISO 27002: o que é, como tirar a certificação e relação com a LGPD

Com o crescimento da tecnologia bem como as suas aplicações e desenvolvimentos, uma questão surgiu quanto à segurança e privacidade na Internet. E para resolver esse problema foi criada a norma ISO 27002.

Afinal, a ISO 27002 é um compilado de práticas que prestam auxílio para o Sistema de Gestão de Segurança da Informação (SGSI) e, por isso, deve ser aplicada em conjunto com a ISO 27001.

O que é ISO 27002?

A ISO 27002, também conhecida como ISO/IEC 27002, é um regulamento que conta com uma série de práticas que, quando aplicadas corretamente, ajudam na implementação de um SGSI.

Logo, é possível entender que essa é então uma norma de gestão da segurança da informação, se tornando um ponto crucial para garantir a proteção de todo o ambiente de dados.

O nome da norma se dá pelas empresas as quais são responsáveis pela criação desta, sendo elas a Organização Internacional de Normalização (ISO) e a Comissão Eletrotécnica Internacional (IEC).

Ela serve como um guia prático que ajuda no desenvolvimento e implantação de métodos e controles da segurança da informação dentro de uma empresa.

Sendo assim, o intuito de torna o de assegurar que os negócios terão prosseguimento ao mesmo tempo em que os riscos são minimizados e o retorno sobre investimento, bem como oportunidades da organização, são maximizados.

Ao todo existem cerca de quatro modelos de ataque que uma instituição pode sofrer, sendo eles:

  1. Modificação;
  2. Interceptação;
  3. Fabricação;
  4. Interrupção.

Agora, através da boa execução das práticas contidas na norma uma empresa se torna capaz de evitar essas investidas.

Ainda de acordo com a norma, a segurança da informação possui alguns princípios básicos e necessários para ser efetiva.

Estes, por sua vez, são:

  • Confidencialidade;
  • Irretratabilidade, ou seja, o não-repúdio;
  • Disponibilidade;
  • Autenticidade;
  • Integridade.

Assim, para possuir uma boa segurança é necessário que a empresa siga todos estes preceitos.

Mas de nada adianta a empresa ter ciência dessa lei se não souber como aplicá-la. Portanto, o aconselhado é possuir um profissional do setor de TI que possui especialização nessa área através desta certificação.

Como tirar a certificação ISO 27002?

Certificações na área de segurança da informação são cruciais para empresas, pois através delas é gerado destaque no mercado.

Afinal, possuir um certificado assegura que aquela empresa é responsável e possui qualidade em tudo o que oferece, sejam serviços ou produtos.

O mesmo, no entanto, vale para os profissionais que trabalham nessa organização, uma vez que servem como diferencial e destaque no currículo.

De tal forma, o colaborador se torna então mais propenso a conseguir vagas ou cargos melhores dentro de alguma empresa.

Tendo como base o tema deste artigo, a dúvida que fica é justamente sobre como pode ser retirada a certificação da ISO 27002.

Para isso, é possível que o candidato realize a prova EXIN ISO 27002 que, por sinal, é a única norma de gestão de segurança da informação que possui certificações para profissionais.

Vale pontuar que tanto esta como a antecessora, de número 27001, estão disponíveis para serem feitas no EXIN.

As provas oferecidas pela EXIN podem ser feitas de forma digital ou presencial, sendo então um ponto positivo para quem deseja alcançar o certificado.

E, independentemente de qual for o método escolhido, se torna necessário também possuir conhecimentos básicos para poder alcançar um bom resultado no exame e, consequentemente, alcançar o certificado.

Para poder realizar a prova, seja digital ou presencial, o candidato deve entrar no site da EXIN e realizar a compra e agendamento pelo próprio site.

Quais benefícios a certificação oferece ao profissional de TI?

A certificação da ISO 27002 tem sido cada vez mais buscada por profissionais de TI.

Isso se dá uma vez que ela é suficiente para assegurar que aquele colaborador é apto a exercer a função corretamente.

Além disso, este certificado ainda comprova que o candidato possui alta qualidade e conhecimento quando o foco é a segurança da informação.

Ao falar sobre o conteúdo que normalmente se encontra no exame, é necessário ter conhecimento sobre os conceitos dessa área.

De tal forma, podem ser cobrados temas como medidas de redução de risco e tipos de ameaça, entre outros.

Sendo assim , um profissional que tem em mente os conceitos básicos dessa área é capaz de realizá-la facilmente, uma vez que a dificuldade do exame não é considerada alta, assim como as provas de outras certificações.

Ao todo são 40 questões, tendo duração máxima de uma hora. Para conseguir o certificado é necessário acertar, pelo menos, 26 questões, valor equivalente a 65%.

Além disso, é importante mencionar ainda que existem três níveis nessa certificação, sendo eles o Foundation, Advanced e o Expert.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

Diferença entre as normas 27001 e 27002

Uma vez citado que existe uma correlação entre as normas ISO 27001 e 27002, cabe entendermos então qual é a diferença entre elas.

A primeiro momento é válido pontuar que, de acordo com alguns especialistas na área, o aconselhado é aplicar ambas as normas em conjunto.

Dito isso, vamos então ao que tange a ISO 27001.

Ela é a norma que define todos os requisitos que um Sistema de Gestão da Segurança da Informação deve ter.

Este, por sua vez, é um sistema que faz parte da gestão de uma empresa, tendo como base alguns aspectos como o risco do negócio.

Isso serve para estabelecer, monitorar, revistar, implementar, operar, manter e até melhorar a segurança dos dados.

Afinal, o SGSI possui dentro dele a estrutura da empresa, políticas, atividades de planejamento e outras informações da empresa.

De toda maneira, essa norma é a principal que deve ser seguida por uma instituição caso ela queira obter o certificado empresarial em gestão da segurança da informação.

Assim, ela é considerada como a única norma internacional em que pode ser feita uma auditoria e que define os requisitos do SGSI.

Já a ISO 27002 SGSI, é, como citado anteriormente, o código de prática que auxiliam na implementação do sistema.

E é justamente por isso que o aconselhado é que ambas sejam aplicadas em conjunto, devido a ligação que elas possuem.

Contudo, a 27001 pode ser consultada de maneira independente caso a empresa queira adotar boas práticas para a gestão de segurança da informação.

Qual é o ano da versão atual da norma ISO 27002?

A também conhecida como ABNT 27002 foi criada no ano de 1995, ano por sinal em que foram criadas as diretrizes de série 27000.

Dentro destas, no entanto, se encontra o antigo padrão da 27002, que substituiu a 17799 no ano de 2005.

Contudo, a partir de 2007 foi implementada a nova edição da 17799 e incorporada ao esquema de numeração da ISO 27002, sendo então distribuída então em 11 seções.

Estas, por sua vez começam a ser contadas a partir do número 5, e são:

  • 5: Política de Segurança da Informação;
  • 6: Organização da Segurança da Informação;
  • 7: Gestão de ativos;
  • 8: Segurança em recursos humanos;
  • 9: Segurança física e do ambiente;
  • 10: Segurança das operações e comunicações;
  • 11: Controle de acesso;
  • 12: Aquisição, desenvolvimento e manutenção;
  • 13: Gestão de incidentes de segurança da informação;
  • 14: Gestão da continuidade do negócio;
  • 15: Conformidade.

Contudo, uma vez que houve um grande avanço tecnológico desde 2007 até então, no ano de 2013 ocorreu mais uma alteração na norma para ficar o mais atual e adequado.

Por isso, atualmente a ISO 27002 está de acordo com as alterações feitas em 2013, ano em que foram feitas as últimas atualizações.

No entanto, existe um questionamento entre profissionais de TI sobre a possibilidade de que, com o advento da LGPD, sejam feitas mais modificações na lei.

Qual a relação entre esta norma e a LGPD?

ISO 27002 e LGPD

A Lei Geral de Proteção de Dados, como o nome propõe, é a legislação brasileira que tem como finalidade regular e garantir que requisitos da proteção de dados pessoais sejam respeitados por empresas.

Por isso, é possível entender que as empresas se tornam então obrigadas a aplicar a proteção de dados pessoais em suas tomadas de decisão, e é aí que entra o papel da ISO 27002 na LGPD.

Isso se dá uma vez que essa medida fornece formas e requisitos que servem de auxílio para estar de acordo com a lei.

Esta, por sua vez, é a razão pela qual se torna indicado que as organizações que fazem uso dos dados pessoais de clientes tenham ciência da importância que esses meios de proteção sejam aplicados.

Afinal, caso alguma instituição não se adeque de acordo com a lei e seja pega pela Autoridade Nacional de Proteção de Dados (ANPD) — entidade responsável pela fiscalização de cumprimento da LGPD —, ela pode sofrer sanções em um valor de até R$50 milhões.

Sendo assim, entende-se que a finalidade da ISO 27002 é oferecer meios de melhorar, de forma geral, o Sistema de Gestão da Segurança da Informação, ponto o qual as empresas devem estar atentas com o advento da LGPD.

Denis Zeferino
Denis Zeferino
Denis Zeferino é Data Protection Officer (DPO) certificado pela EXIN. Bacharel em Ciência da Computação e pós-graduado em Gestão de Infraestrutura de TI, Segurança da Informação e Cybersecurity. Tem mais de 15 anos de experiência, conciliando sua vida profissional entre o universo da Tecnologia e Segurança da Informação e da Educação. É membro da Associação Nacional dos Profissionais de Privacidade de Dados e dedicado a levar o entendimento da LGPD e Proteção de Dados aos alunos do Certifiquei.