Neifer FrançaEm tempos de controle de segurança de dados alinhada a controles anticorrupção, as melhores ferramentas para essa gestão são as Normas ISO 37001 e ISO 27001. A primeira trata sobre antissuborno e pode ser estendida para processos anticorrupção, a segunda trata sobre segurança da informação e pode abranger todos os processos de segurança de dados da organização. Vamos falar mais sobre isso?
A ISO 27001 já é reconhecidamente a maior referência mundial em protocolo de gestão de segurança da informação, sua primeira versão foi em 2005 e atualmente está na versão 2013 já em revisão prevista para 2020. A ISO 27001 aborda temas de interesse para segurança de dados e informação, atende protocolos internacionais e promove uma politica de segurança de informação estruturada nas empresas certificadas.
A ISO 37001 é bem mais jovem do que a sua coirmã ISO 27001, foi publicada em 2016 e está em pleno crescimento de certificações no Brasil e em todo mundo. A ISO 37001 promove controles antissuborno e anticorrupção para as empresas certificadas, estabelece diretrizes para implementação de controles robustos, bem como maior transparência aos processos.
E qual a relação da ISO 37001 e ISO 27001?
A resposta é: compliance! Em estruturas empresariais está sendo desenvolvido processos de compliance em todas as esferas e a integração entre anticorrupção, integridade e segurança de dados é cada vez mais evidente. Figuras como o DPO (Data Protection Officer) e o CCO (Chief Compliance Officer) são papéis cada vez mais populares no organograma das organizações.
Os controles anticorrupção e segurança de dados se convergem em diversos temas, ações e processos, inclusive as normas ISO 37001 e ISO 27001 podem ser implementadas e geridas de forma integrada, bem como as auditorias de certificação.
Na ISO 37001 e ISO 27001 quais requisitos podem ser integrados?
Praticamente todos, respeitando obviamente o tema de cada uma das Normas. As Normas ISO são elaboradas respeitando um layout comum, o chamado Anexo SL, esse é um dos motivos da fácil integração, além dos citados acima. Apresento como exemplo 3 itens de fácil integração:
- Contexto da organização: o requisito 4.1 da ISO 37001 e ISO 27001 é comum, a organização ao estabelecer seu contexto nas duas Normas irá avaliar tanto os assuntos relacionados com antissuborno/anticorrupção como segurança da informação, assim avaliando as questões internas e externas e integrando esse requisito;
- Gestão de Riscos: A gestão de riscos é estabelecida tendo com base a avaliação dos processos da organização, com isso pode abranger riscos relacionados a antissuborno/anticorrupção e segurança de dados, e em muitas situações o risco pode ser o mesmo para as duas matérias.
- Política: A organização pode estabelecer o documento mais importante da organização de forma integrada, atendendo requisitos da ISO 37001 e ISO 27001 em um único documento, aproveitamento redução de horas de treinamento na capacitação das pessoas no que tange a política de antissuborno e segurança de dados.
Além da integração de requisitos e melhor gestão da organização na integração da ISO 37001 e ISO 27001, ressalto a redução de custos. Com a integração da ISO 37001 e ISO 27001 a organização reduz custos na implementação dos processos, na alocação de recursos humanos, na gestão dos processos, e no investimento do processo de certificação, por ser menos dias de auditoria em um processo integrado em comparação de um processo separado.
Nos dias de hoje não se pensa em compliance em somente um ponto e sim de forma abrangente contemplando todas as ferramentas disponíveis para controles organizacionais, e um dos caminhos é a ISO 37001 e ISO 27001, essa dupla está vindo com tudo!
Gabriela Maluf
Adicionar Comentário