Possíveis atuações no System de Gestão da Segurança da Informação (ISO/IEC 27001) 

Escrito por: Bárbara Moretto

30 de mayo de 2024

La Norma ISO/IEC 27001 es ciertamente considerada una línea de base de seguridad de la información que puede aplicarse en cualquier organización, independientemente de su puerta o sector. En un mundo en constante transformación digital y con legislaciones que tratan de la protección de los datos, se percibe una gran valorización de las empresas que priorizan la seguridad de la información. Por esta razón, muchas empresas buscan esa certificación como diferencial competitivo, lo que demuestra su preocupación por la confidencialidad, integridad y disponibilidad de la información. Como empresas del segmento financiero, las consultorías de TI y seguradoras han sido como las que más invierten sin certificación. 

Para una empresa que desee certificarse en ISO/IEC 27001, necesitará un proyecto de implementación de un SGSI (Sistema de Gestão da Segurança da Informação), que es un abordaje sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización, a fin de alcanzar los objetivos de negocios. Ela consiste em estabelecer políticas, procedimientos, diretrizes, recursos y actividades asociadas, bem como gerenciá-los coletivamente para proteger los activos de información. 

El Sistema de Gestão de Segurança da Informação también necesitará de un equipo para actuar en diversas atividades, como: desenvolver e actualizar políticas, procedimientos, treinamentos, evaluación de riesgos, asegurar controles físicos, técnicos e organizacionales, acompañar KPIs (indicadores), garantizar conformidad com leis locais, comunicações internas, ações de melhoria contínua e da auditoria interna e, até mesmo, no apoio a alta gestão ou intermediação e resposta às auditorias externas. 

Si desea ingresar al área de seguridad de la información, la norma ISO/IEC 27001 puede ser su puerta de entrada. Generalmente, los cursos de tecnólogos o de posgrado con foco en seguridad de la información van a abordar esa norma, pero lo ideal es comenzar a invertir en una certificación. fundación para valorizar su currículo y comprobar el conocimiento de las metodologías, requisitos, estructura y abordaje de la gestión fundamentada. Un ISFS (EXIN Information Security Foundation basado en ISO/IEC 27001) o un ISO/IEC 27001 Foundation da PECB son algunas de estas certificaciones. No hay requisitos previos para descubrir un nivel alto de dificultad en los exámenes y, al contrario de lo que muchos piensan, no es necesario tener experiencia o grandes conocimientos técnicos para obtener el éxito.  

Para progresar en la carrera y demostrar un cumplimiento intermedio se indican certificações profissionais, como EXIN Information Security Management ISO/IEC 27001 o certificações avanzadas de instituciones renombradas en el mercado, como PECB o BSI. 

Si desea progresar de un cargo Trainee/Analista para o de un Consultor responsable por implementar la norma ISO/IEC 27001, puede buscar una certificación de Implementador Líder (conhecida como Lead Implementer de PECB o BSI). É necessário comprovar no mínimo dos años de experiencia sendo um ano em Segurança da Informação para credencial de Consultor e já para Consultor Líder, é necessário o mínimo de cinco años de experiência, sendo dos años em Segurança da Informação. Caso não consiga comprovar o tempo mínimo no momento da prova, pode tirar a credencial profissional como Consultor Provisório e después de actualizar os seus dados.   

Si su mayor deseo es trabajar en Auditorios Interna o Externa, lo ideal es buscar una certificación de Auditor Líder (Lead Auditor da PECB o BSI). También será necesario comprobar el tiempo de experiencia de manejo similar al citado acima (5 años/2 años). 

Una gran ventaja de adquirir algunas de estas certificaciones avanzadas es que puede realizar módulos adicionales/certificações sanduíches y obtener certificações de otros sistemas de gestión tanto para Implementador Líder o Auditor Líder. Entonces, después de una certificación ISO/IEC 27001 (Implementador o Auditor), por ejemplo, es posible adquirir otras certificaciones como ISO/IEC 27701 de privacidad de datos, ISO/IEC 22301 Continuidade de Negócios, ISO/IEC 20000 Sistema de Gestión de Serviços de TI, ISO 9001 Sistema de Gestión de Calidad e ISO 14001 Sistema de Gestión Ambiental realizando módulos adicionales. 

En un mercado con carência de profesionales calificados, invertir en una certificación es extremadamente relevante porque demuestra que el profesional busca se manter atualizado, bem como, é uma evidencia formal de que adquiriu o conhecimento com sucesso, validado por una institución reconocida internacionalmente. 

Bárbara Moretto es Consultora Sênior y voluntaria en Womcy. Possui Pós-graduação em Governança de TI y más de 30 certificações de TI, entre ellas: ISO/IEC 27001 Lead Auditor, ISO/IEC 27701 Lead Implementer e ISO/IEC 20000 Foundation. Enlace: https://www.linkedin.com/in/barbara-moretto-86949116/
Si está disfrutando de nuestro contenido, considere compartir esta publicación con su comunidad en las redes sociales.
Compartir este