Segurança da Informação

Ξ Deixe um comentário

A ISO/IEC 27001 na Gestão de Segurança da Informação

publicado por Cristiano Pimenta

Figura - A ISO/IEC 27001 na Gestão de Segurança da InformaçãoO primeiro passo é reconhecer que o tema Segurança da Informação é relevante e deve ser incorporado à estratégia de negócio.

Da decisão estratégica

Tendo a compreensão pela alta direção de que as ações para preservação da Confidencialidade, Integridade e Disponibilidade farão a diferença na proteção das informações dos seus clientes, na oferta de melhores produtos e de serviços seguros, na privacidade dos dados, na imagem de uma empresa diligente, preocupada e que busca – por meio de um processo de gestão de risco organizado, seguro e auditado com independência – a transparência requerida junto a acionistas, clientes, colaboradores, parceiros e prestadores de serviços.

Da adoção de um sistema de gestão

Com a mesma facilidade que se encontram vários métodos com a proposição de organizar um sistema de gestão (inclusive alguns pouco ortodoxos), esta mesma facilidade também pode levá-lo ao desperdício de tempo, dinheiro e ao abismo da falsa sensação de estar protegido. Assim, simplifique a busca e vá até uma fonte confiável e adote o padrão ISO – International Organization for Standardization (Organização Internacional de Normalização). Nesta fonte, em especifico a série ISO IEC 27000 e seus desdobramentos, estão os pilares que o apoiarão nesta jornada.

Do diagnóstico atual (Gap Analysis)

A decisão é estratégica e endereça a adoção pela organização de um Sistema de Gestão de Segurança da Informação (SGSI). Para isso, será necessário conhecer a situação atual em relação aos requisitos de segurança exigidos para estabelecer, implementar, manter e melhorar continuamente o próprio modelo de gestão.

Levantar a situação atual é a realização de uma auditoria preliminar (mesmo interna) que permite conhecer qual o nível de atendimento e/ou aderência à uma norma de sistema de gestão e quais ações corretivas, caso necessário, devem ser executadas.

Do plano de ação

Com o fruto do resultado de Gap Analysis deve-se elaborar um plano de ação, sendo uma ferramenta de gestão muito utilizada para planejamento e acompanhamento de atividades para o atingimento de um resultado desejado.

A forma é variada, porém, deve conter no mínimo: as atividades, os prazos de execução e/ou atingimento, os recursos (Humanos, Tecnológicos, etc) necessários e os responsáveis. Caso tenha dificuldade, pense na elaboração do plano com conceitos tipo SMART (Especifico, Mensurável, Alcançável, Relevante e no Tempo) e organize-o com conceitos tipo 5W1H (Quem? O quê?, Onde?, Quando?, Por que? e Como?).

Da Comunicação

A aplicação de um modelo de gestão, seja ele qual for, vai requer um grande esforço de toda a organização e esse esforço sem dúvida passa pela comunicação. Trata-se de Segurança da Informação, sobre a qual desejamos o aculturamento para um comportamento positivo frente às ameaças que rodeiam nossas empresas todo dia.

Para isso, divulgue a política de segurança da informação para todas as partes interessadas, por meio de palestras e workshops, apresentando os requisitos de controle, os benefícios para o negócio e a importância da proteção das informações. De forma estruturada, pense no que comunicar, quando comunicar, quem deve comunicar, a quem será comunicado e qual meio deve ser utilizado.

Da pré-auditoria

A realização da pré-auditoria tem um papel fundamental pois potencializa o grau de êxito, quando o objetivo é alcançar a certificação do modelo de Gestão de Segurança da Informação. Tal iniciativa contribui para a otimização do tempo e preparação do time, possibilitando melhorias consideráveis na qualidade de todos os esforços aplicados.

Da remediação

O instrumento remediação trata da ação de fazer correções. Após um Gap Analysis e/ou Auditorias Interna e Externa, caso tenha alguma não conformidade ainda passível de reversão e diante de um novo prazo pactuado com o auditor interno e/ou externo, deve-se procurar reparar e corrigir qualquer anomalia identificada. Caso contrário, incorre-se em não obter o êxito esperado na certificação.

Da conclusão

Se você obteve da alta direção o informe de que a Segurança da Informação passou a ser parte da estratégica do negócio, se realizou o diagnóstico da situação atual, elaborou relatório com os pontos de atenção, preparou o plano de ação, fez o cronograma com todas as fases, trabalhou a comunicação adequadamente junto a todos os envolvidos, organizou e executou o plano de ação, monitorou cada fase, colocou em marcha a pré-auditoria, se manteve o foco e partiu para a remediação… sim, o trabalho foi corretamente executado e pode-se considerar que a probabilidade de alcançar a certificação é alta.

  •  
    7
    Shares
  • 4
  • 3
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Cristiano Pimenta é diretor de Serviços da ARCON, empresa especializada em Serviços Gerenciados de Segurança de Tecnologia da Informação. Sua trajetória profissional ao longo de 20 anos de experiência em segurança da informação, tecnologia da informação e recursos humanos, inclui atuações de liderança na Módulo Security, Telemig Celular, Amazônia Celular e Vivo | Telefônica.

Cristiano Pimenta

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Facebook

Facebook By Weblizar Powered By Weblizar

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.