TI CorporativaSegurança da InformaçãoA ISO/IEC 27001 na Gestão de Segurança da Informação

A ISO/IEC 27001 na Gestão de Segurança da Informação

-

Publicidade

Figura - A ISO/IEC 27001 na Gestão de Segurança da InformaçãoO primeiro passo é reconhecer que o tema Segurança da Informação é relevante e deve ser incorporado à estratégia de negócio.

Da decisão estratégica

Tendo a compreensão pela alta direção de que as ações para preservação da Confidencialidade, Integridade e Disponibilidade farão a diferença na proteção das informações dos seus clientes, na oferta de melhores produtos e de serviços seguros, na privacidade dos dados, na imagem de uma empresa diligente, preocupada e que busca – por meio de um processo de gestão de risco organizado, seguro e auditado com independência – a transparência requerida junto a acionistas, clientes, colaboradores, parceiros e prestadores de serviços.

Da adoção de um sistema de gestão

Com a mesma facilidade que se encontram vários métodos com a proposição de organizar um sistema de gestão (inclusive alguns pouco ortodoxos), esta mesma facilidade também pode levá-lo ao desperdício de tempo, dinheiro e ao abismo da falsa sensação de estar protegido. Assim, simplifique a busca e vá até uma fonte confiável e adote o padrão ISO – International Organization for Standardization (Organização Internacional de Normalização). Nesta fonte, em especifico a série ISO IEC 27000 e seus desdobramentos, estão os pilares que o apoiarão nesta jornada.

Do diagnóstico atual (Gap Analysis)

A decisão é estratégica e endereça a adoção pela organização de um Sistema de Gestão de Segurança da Informação (SGSI). Para isso, será necessário conhecer a situação atual em relação aos requisitos de segurança exigidos para estabelecer, implementar, manter e melhorar continuamente o próprio modelo de gestão.

Levantar a situação atual é a realização de uma auditoria preliminar (mesmo interna) que permite conhecer qual o nível de atendimento e/ou aderência à uma norma de sistema de gestão e quais ações corretivas, caso necessário, devem ser executadas.

Do plano de ação

Com o fruto do resultado de Gap Analysis deve-se elaborar um plano de ação, sendo uma ferramenta de gestão muito utilizada para planejamento e acompanhamento de atividades para o atingimento de um resultado desejado.

A forma é variada, porém, deve conter no mínimo: as atividades, os prazos de execução e/ou atingimento, os recursos (Humanos, Tecnológicos, etc) necessários e os responsáveis. Caso tenha dificuldade, pense na elaboração do plano com conceitos tipo SMART (Especifico, Mensurável, Alcançável, Relevante e no Tempo) e organize-o com conceitos tipo 5W1H (Quem? O quê?, Onde?, Quando?, Por que? e Como?).

Da Comunicação

A aplicação de um modelo de gestão, seja ele qual for, vai requer um grande esforço de toda a organização e esse esforço sem dúvida passa pela comunicação. Trata-se de Segurança da Informação, sobre a qual desejamos o aculturamento para um comportamento positivo frente às ameaças que rodeiam nossas empresas todo dia.

Para isso, divulgue a política de segurança da informação para todas as partes interessadas, por meio de palestras e workshops, apresentando os requisitos de controle, os benefícios para o negócio e a importância da proteção das informações. De forma estruturada, pense no que comunicar, quando comunicar, quem deve comunicar, a quem será comunicado e qual meio deve ser utilizado.

Da pré-auditoria

A realização da pré-auditoria tem um papel fundamental pois potencializa o grau de êxito, quando o objetivo é alcançar a certificação do modelo de Gestão de Segurança da Informação. Tal iniciativa contribui para a otimização do tempo e preparação do time, possibilitando melhorias consideráveis na qualidade de todos os esforços aplicados.

Da remediação

O instrumento remediação trata da ação de fazer correções. Após um Gap Analysis e/ou Auditorias Interna e Externa, caso tenha alguma não conformidade ainda passível de reversão e diante de um novo prazo pactuado com o auditor interno e/ou externo, deve-se procurar reparar e corrigir qualquer anomalia identificada. Caso contrário, incorre-se em não obter o êxito esperado na certificação.

Da conclusão

Se você obteve da alta direção o informe de que a Segurança da Informação passou a ser parte da estratégica do negócio, se realizou o diagnóstico da situação atual, elaborou relatório com os pontos de atenção, preparou o plano de ação, fez o cronograma com todas as fases, trabalhou a comunicação adequadamente junto a todos os envolvidos, organizou e executou o plano de ação, monitorou cada fase, colocou em marcha a pré-auditoria, se manteve o foco e partiu para a remediação… sim, o trabalho foi corretamente executado e pode-se considerar que a probabilidade de alcançar a certificação é alta.

Cristiano Pimentahttp://www.cristianopimenta.com.br
Cristiano Pimenta, CISM - Certified Information Security Manager, MBA em Serviços de Telecomunicações - UFF/RJ, Pós-graduação em Gestão - Fundação Dom Cabral/MG, Master en Dirección de Recursos Humanos, Desarrollo Digital de Talento – IEP/Madri, Graduação em Tecnologia da Informação – UNISUL/SC.

Latest news

IA para MSPs: como a inteligência artificial está transformando o mercado de serviços gerenciados

A Inteligência Artificial (IA) está desempenhando um papel crucial na transformação dos Prestadores de Serviços Gerenciados (MSPs). Mais do...

O que é integração de sistemas de RH e como ela facilita o trabalho?

A integração de sistemas de RH traz muitos benefícios, principalmente em termos de otimização do tempo e de recursos. Sem ela, diferentes plataformas podem gerar dados desconexos e difíceis de consolidar, o que pode levar a erros e à sobrecarga de trabalho manual.

Cibersegurança como pilar da resiliência empresarial: a abordagem estratégica dos MSPs

Na última década, a segurança cibernética deixou de ser um tema restrito às áreas de TI para se tornar...

ADDEE traz HaloPSA ao Brasil, apostando na eficiência para MSPs

Plataforma de atendimento e automação promete otimizar a gestão de serviços com funcionalidades integradas para todo o ciclo de vida...
Publicidade

Plano de conteúdo para redes sociais: o que divulgar sendo uma empresa de TI?

Não encontrar o conteúdo certo para a rede social da sua empresa é um problema que está perto de acabar. Acesse e conheça o Plano de Conteúdo!

Estratégia de comunicação para TI: 5 erros para NÃO cometer

Existem 5 erros comuns que você não pode cometer mais na comunicação da sua empresa. Se você é um MSP que busca o sucesso, acesse e confira!

Must read

IA para MSPs: como a inteligência artificial está transformando o mercado de serviços gerenciados

A Inteligência Artificial (IA) está desempenhando um papel crucial...

O que é integração de sistemas de RH e como ela facilita o trabalho?

A integração de sistemas de RH traz muitos benefícios, principalmente em termos de otimização do tempo e de recursos. Sem ela, diferentes plataformas podem gerar dados desconexos e difíceis de consolidar, o que pode levar a erros e à sobrecarga de trabalho manual.
- Advertisement -

You might also likeRELATED
Recommended to you