A Kryptus, empresa brasileira especializada em criptografia e segurança da informação, acaba de receber a certificação ISO/IEC 27001:2013, que cobre 100% dos processos realizados na matriz da empresa, em Campinas, São Paulo. Apesar de ISO 27001 ser referência internacional para SGSI (sistemas de gestão da segurança da informação), no Brasil, apenas 110 empresas conseguiram se adequar a essa norma, de acordo com dados do último levantamento ISO Survey 2018.
Essa certificação soma-se a outros credenciamentos de segurança que a empresa já obteve, em particular das Forças Armadas. A conquista é resultado de um amplo trabalho de adequação realizado por iniciativa da própria Kryptus, sob a Gerência de TI, capitaneada por Igor Jardim, gerente e auditor líder para a norma e responsável pelo setor de SGSI. O projeto mobilizou todas as áreas da empresa, culminando na harmonização de processos e atendimento de necessidades de negócio, ações fundamentais para empresas que atuam no mercado de proteção de comunicações críticas e de dados sensíveis, como é o caso da Kryptus.
Segundo Jardim, a maior parte das empresas busca a certificação na norma ISO 27001 para atender a um projeto específico, como uma licitação que exige a norma, por exemplo, mas observa que essa implementação pontual prejudica a qualidade e segurança da entrega. “Por isso iniciamos um trabalho de adaptação gradual que envolveu toda a organização e contou com reestruturação completa não apenas da TI, mas de todos os processos internos unidos à diversas auditorias internas para conquistar excelência na certificação, sem impactar nossas operações”.
Impulsionado por esse ambiente, o processo de migração da empresa para o trabalho remoto fluiu com facilidade. “Nossos colaboradores já têm uma visão muito abrangente da segurança, eles sabem que não basta implementar uma senha complexa e que simplesmente trabalhar dentro de um sistema de empresa não significa necessariamente estar seguro”, explica. “Todos sabem da importância de implantar controles de segurança”, conclui.
Publicada pela International Organization for Standardization (ISO) e pela International Electrotechnical Commission (IEC), a norma ISO/IEC 27001:2013 é utilizada em todo o mundo para que as organizações adotem um modelo adequado de definição, implementação, operação, monitoramento, revisão e gestão de um sistema de gestão da segurança da informação. Por ser uma abordagem 360°, trata de múltiplos aspectos da informação contida na organização.