A importância da certificação ISO/IEC 27001 para o fortalecimento da estratégia de Segurança da Informação em contact centers

  • Ludmila
  • janeiro 17, 2025
  • Nenhum comentário

Os contact centers modernos desempenham um papel fundamental na relação entre as empresas e seus clientes, e na busca pela customização de serviços, personalização dos atendimentos e automação de seus processos, aderindo aos desafios de modelos como o SAC 4.0, eles são obrigados a lidar com uma enorme quantidade de informações, muitas delas pessoais e sensíveis.

O setor tem se tornado, cada vez mais, alvo de tentativas de fraude, sequestro de dados e outras ameaças cibernéticas. Diante disso, cresce entre as empresas a consciência de que, para sustentar suas operações, é indispensável investir em um Sistema de Gestão de Segurança da Informação (SGSI) bem estruturado. Essa iniciativa permite a implementação de boas práticas voltadas à proteção de ativos, à garantia da continuidade dos negócios e ao cumprimento dos requisitos legais e contratuais relacionados à segurança da informação.

Nesse contexto, referenciais de segurança como a ISO/IEC 27001, o PCI-DSS, entre outros, tornam-se excelentes modelos, pois estabelecem padrões rigorosos, estruturados e reconhecidos internacionalmente para uma gestão eficaz da segurança da informação. Esses frameworks auxiliam os contact centers não apenas a se protegerem contra ameaças cibernéticas, mas também a fortalecerem sua reputação junto aos seus clientes, criando diferenciais competitivos para o mercado, a partir da segurança da informação.

Mas o que é a ISO/IEC 27001?

A ISO/IEC 27001 é uma norma internacional, que define os requisitos para implementar, manter e melhorar continuamente um SGSI, incluindo controles técnicos e organizacionais que endereçam aspectos como gestão de riscos, políticas de segurança, proteção de dados, continuidade de negócios e conformidade regulatória.

Nos contact centers, onde o ambiente operacional é altamente dinâmico, a ISO/IEC 27001 oferece um modelo bastante sólido e abrangente para lidar com os desafios da segurança da informação.

Por que a ISO/IEC 27001 é essencial para contact centers?

1. Proteção contra ameaças cibernéticas

Como dito, os contact centers lidam com um volume significativo de interações e, ao mesmo tempo, são alvos de ataques de Phishing, Ransomware e Engenharia Social, que estão entre as ameaças mais comuns. Nesse sentido, a ISO/IEC 27001 ajuda as empresas a criarem barreiras contra essas ameaças, por meio de controles robustos e uma abordagem proativa para a gestão de riscos, observando os pilares de tecnologia, processos e pessoas.

2. Conformidade com regulamentações

Com o surgimento de novas legislações como a Lei Geral de Proteção de Dados (LGPD) no Brasil, além das regulações pertinentes aos segmentos de suas operações (ex: Bacen, ANS, Anatel, etc.), os contact centers precisam garantir que suas operações estejam sempre em conformidade, e aqui a ISO/IEC 27001 facilita este alinhamento, estabelecendo controles que fomentam a conformidade regulatória.

3. Ampliação da confiança do cliente

A Segurança da Informação tem sido uma preocupação crescente entre os consumidores e organizações. Portanto, empresas que possuem a certificação ISO/IEC 27001 demonstram compromisso com a proteção dos dados de seus clientes, diferenciando-as da concorrência.

4. Resiliência operacional

Os controles estabelecidos na norma ISO/IEC 27001 não apenas protegem contra os ataques cibernéticos, mas também preparam as empresas para lidar com incidentes de segurança de forma eficiente, obrigando-os a estabelecer planos de continuidade de negócios, a fim de garantir que as operações possam se recuperar rapidamente em caso de falhas.

E como implementar a ISO/IEC 27001?

A adoção da ISO/IEC 27001 pode apresentar desafios, como a necessidade de investimentos em tecnologia, mudanças culturais e intensa capacitação e conscientização de equipes. No entanto, os seus benefícios superam amplamente os custos e esforços envolvidos.

O primeiro passo para implementar a ISO/IEC 27001 é garantir o comprometimento da alta gestão, que deve priorizar a segurança da informação como uma estratégia organizacional. Com a liderança engajada, deve ser realizada uma avaliação detalhada dos riscos existentes na organização a fim de identificar vulnerabilidades e ameaças que possam comprometer seus ativos e operações, sendo essa análise fundamental para se desenvolver um plano de Gestão de Segurança da Informação, focalizando os ativos mais críticos e a continuidade do negócio.

A organização deve, então, criar e aplicar as políticas, procedimentos e controles de segurança aplicáveis a sua realidade, tomando como base os controles apresentados pelo Anexo “A” da norma, incluindo medidas técnicas, como, por exemplo: gestão de acessos, uso de criptografia, desenvolvimento seguro, além de medidas organizacionais, como treinamentos e conscientização dos colaboradores, buscando o equilíbrio entre tecnologia, processos e pessoas, para garantir uma abordagem integrada e eficaz.

Após a implementação dos controles necessários, deve monitorar continuamente os processos por meio de auditorias internas, identificando falhas e ajustando o sistema conforme preciso, buscando a melhoria contínua. Assim, quando o Sistema de Gestão de Segurança da Informação (SGSI) estiver reativamente maduro, a organização pode buscar a sua certificação junto a um organismo de acreditação. Essa validação formal reforça o compromisso da empresa com a segurança, fortalecendo sua reputação e capacidade de lidar com ameaças cibernéticas.

Em resumo, apesar do esforço e dos custos associados à sua adoção, a ISO/IEC 27001 proporciona uma abordagem sistemática para a Segurança da Informação, permitindo a identificação e mitigação de riscos, e garantindo que a organização esteja bem preparada para lidar com ameaças de segurança internas e externas.

Por esse motivo, a Sollo, já certificada há 5 anos na ISO/IEC 27001, estando inclusive atualizada para a versão 2022, considera esta norma como um componente estratégico para todas as empresas que desejam se destacar em um ambiente competitivo e cada vez mais regulado, não apenas mitigando riscos e protegendo os seus ativos, mas também melhorando a sua eficiência operacional e consolidando a sua imagem de confiabilidade e responsabilidade perante o mercado.

Lhenno Ferrari, Head Segurança da Informação.