A Norma ISO/IEC 27001 é certamente considerada uma linha de base da segurança da informação que pode ser aplicada em qualquer organização, independentemente de seu porte ou setor. Em um mundo em constante transformação digital e com legislações que tratam da proteção de dados, percebe-se uma grande valorização das empresas que priorizam a segurança da informação. Por esta razão, muitas empresas buscam essa certificação como um diferencial competitivo, pois assim elas demonstram a preocupação com a confidencialidade, integridade e disponibilidade da informação. As empresas do segmento de finanças, consultorias de TI e seguradoras têm sido as que mais investem nessa certificação.
Para uma empresa que deseja se certificar na ISO/IEC 27001, ela precisará de um Projeto de Implementação de um SGSI (Sistema de Gestão da Segurança da Informação), que é uma abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação de uma organização, a fim de alcançar os objetivos de negócios. Ela consiste em estabelecer políticas, procedimentos, diretrizes, recursos e atividades associadas, bem como gerenciá-los coletivamente para proteger os ativos de informação.
O Sistema de Gestão de Segurança da Informação também precisará de uma equipe para atuar em diversas atividades, como: desenvolver e atualizar políticas, procedimentos, treinamentos, avaliação de riscos, assegurar controles físicos, técnicos e organizacionais, acompanhar KPIs (indicadores), garantir conformidade com leis locais, comunicações internas, ações de melhoria contínua e da auditoria interna e, até mesmo, no apoio a alta gestão ou intermediação e resposta às auditorias externas.
Se você deseja ingressar na área de Segurança da Informação, a Norma ISO/IEC 27001 pode ser a sua porta de entrada. Geralmente, os cursos Tecnólogos ou de Pós-graduação com foco em Segurança da Informação irão abordar essa norma, mas o ideal é começar investindo em uma certificação foundation para valorizar o seu currículo e comprovar o conhecimento das metodologias, requisitos, estrutura e abordagem de gerenciamento fundamentais. A ISFS (EXIN Information Security Foundation based on ISO/IEC 27001) ou a ISO/IEC 27001 Foundation da PECB são uma destas certificações. Não há pré-requisitos para se inscrever nem um nível alto de dificuldade nesses exames e, ao contrário do que muitos pensam, não é necessário já possuir experiência ou grande conhecimento técnico para obter êxito.
Para progressão na carreira e demonstrar um conhecimento intermediário é indicado certificações profissionais, como a EXIN Information Security Management ISO/IEC 27001 ou certificações avançadas de instituições renomeadas no mercado, como a PECB ou BSI.
Se você deseja progredir de um cargo Trainee/Analista para o de um Consultor responsável por implementar a norma ISO/IEC 27001, você pode buscar a certificação de Implementador Líder (conhecida como Lead Implementer da PECB ou BSI). É necessário comprovar no mínimo dois anos de experiência sendo um ano em Segurança da Informação para credencial de Consultor e já para Consultor Líder, é necessário o mínimo de cinco anos de experiência, sendo dois anos em Segurança da Informação. Caso não consiga comprovar o tempo mínimo no momento da prova, pode tirar a credencial profissional como Consultor Provisório e depois atualizar os seus dados.
Já se o seu maior desejo é atuar com Auditoria Interna ou Externa, o ideal é buscar a certificação de Auditor Líder (Lead Auditor da PECB ou BSI). Também será necessário comprovar o tempo de experiência de maneira similar ao citado acima (5 anos/2 anos).
A grande vantagem de adquirir alguma dessas certificações avançadas é que você pode realizar módulos adicionais/certificações sanduíches e obter certificações de outros sistemas de gestão tanto para Implementador Líder ou Auditor Líder. Então, após ter uma certificação ISO/IEC 27001 (Implementador ou Auditor), por exemplo, é possível adquirir outras certificações como a ISO/IEC 27701 de privacidade de dados, ISO/IEC 22301 Continuidade de Negócios, ISO/IEC 20000 Sistema de Gestão de Serviços de TI, ISO 9001 Sistema de Gestão da Qualidade e ISO 14001 Sistema de Gestão Ambiental realizando módulos adicionais.
Em um mercado com carência de profissionais qualificados, investir em uma certificação é extremamente relevante porque demonstra que o profissional busca se manter atualizado, bem como, é uma evidência formal de que adquiriu o conhecimento com sucesso, validado por uma instituição reconhecida internacionalmente.