Modelo de segurança da informação para startups inspirado na ISO/IEC 27001

O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, idéias e marcas são exemplos de formas intangíveis da informação. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações, são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requer proteção contra vários riscos.

A segurança da informação é a proteção de informações contra ameaças. Todas as pessoas na organização que têm contato com algum tipo de informação precisam receber um treinamento sobre segurança da informação.
Algumas razões para implementar um sistema de gerenciamento de segurança da informação:

• Garantir a continuidade do negócio
• Minimizar riscos
• Maximar o retorno do investimento
• Diferencial competitivo de mercado
• Governança corporativa
• Atendimento aos requisitos de segurança dos clientes
• Em alguns casos poder ser usada como vantagem no marketing

Muitas empresas, especialmente as startups, negligenciam a importância de estabelecer normas e políticas de segurança e diretrizes para desenvolvimento seguro de software. O desafio é criar uma cultura forte em segurança da informação sem perder agilidade e evitando burocracia.

Nossas pesquisas apontaram para as normas da ISO/IEC 27001 e ISO/IEC 27002 voltadas à segurança da informação. A família ISO/IEC 27000 é composta por dezenas de normas relacionadas a segurança da informação, certificada e com confiança comprovada, servindo como base para outros modelos de governança como ITIL e COBIT.
A ISO/IEC 27001 estabelece requisitos mandatórios para planejar, implementar, monitorar e analisar o sistema de gerenciamento de segurança da informação e é usada como base para auditoria de certificação da empresa. Já a ISO/IEC 27002 traz recomendações de controles para o anexo A da 27001 e não pode ser usada como base para auditoria.

Pensamos em preparar a empresa para obter a certificação. Mas acredito que jamais vamos conseguir. Isso porque, para ficar em conformidade total com a ISO/IEC 27001, a organização perde muita agilidade no processo de desenvolvimento de software. Também o fato do escritório estar instalado em um coworking vai contra várias normas. Ainda tem o custo para obter a certificação que vai além de R$ 50.000,00.
Mesmo sem focar na certificação, utilizamos a ISO/IEC 27001 e ISO/IEC 27002 como inspiração para criar uma estrutura organizacional capaz de obter os benefícios de um sistema de gerenciamento de segurança da informação mas sem perder agilidade.

Certamente que documentar algumas normas não é garantia de segurança da informação, mas já é um começo.
Os documentos iniciais podem ser encontrados nos links abaixo:

• Sistema de Gerenciamento de Segurança da Informação (SGSI)
• Política de Segurança da Informação (PSI)
• Política de Desenvolvimento de Software (PDS)

Gostou? Então compartilhe e ajude outras empresas a se conscientizarem a importância de estabeler uma política de segurança da informação.
E se você já implementou ou está implementando, deixe seu comentário abaixo.