Segurança da Informação

Ξ Deixe um comentário

A ISO/IEC 27001 na Gestão de Segurança da Informação

publicado por Cristiano Pimenta

Figura - A ISO/IEC 27001 na Gestão de Segurança da InformaçãoO primeiro passo é reconhecer que o tema Segurança da Informação é relevante e deve ser incorporado à estratégia de negócio.

Da decisão estratégica

Tendo a compreensão pela alta direção de que as ações para preservação da Confidencialidade, Integridade e Disponibilidade farão a diferença na proteção das informações dos seus clientes, na oferta de melhores produtos e de serviços seguros, na privacidade dos dados, na imagem de uma empresa diligente, preocupada e que busca – por meio de um processo de gestão de risco organizado, seguro e auditado com independência – a transparência requerida junto a acionistas, clientes, colaboradores, parceiros e prestadores de serviços.

Da adoção de um sistema de gestão

Com a mesma facilidade que se encontram vários métodos com a proposição de organizar um sistema de gestão (inclusive alguns pouco ortodoxos), esta mesma facilidade também pode levá-lo ao desperdício de tempo, dinheiro e ao abismo da falsa sensação de estar protegido. Assim, simplifique a busca e vá até uma fonte confiável e adote o padrão ISO – International Organization for Standardization (Organização Internacional de Normalização). Nesta fonte, em especifico a série ISO IEC 27000 e seus desdobramentos, estão os pilares que o apoiarão nesta jornada.

Do diagnóstico atual (Gap Analysis)

A decisão é estratégica e endereça a adoção pela organização de um Sistema de Gestão de Segurança da Informação (SGSI). Para isso, será necessário conhecer a situação atual em relação aos requisitos de segurança exigidos para estabelecer, implementar, manter e melhorar continuamente o próprio modelo de gestão.

Levantar a situação atual é a realização de uma auditoria preliminar (mesmo interna) que permite conhecer qual o nível de atendimento e/ou aderência à uma norma de sistema de gestão e quais ações corretivas, caso necessário, devem ser executadas.

Do plano de ação

Com o fruto do resultado de Gap Analysis deve-se elaborar um plano de ação, sendo uma ferramenta de gestão muito utilizada para planejamento e acompanhamento de atividades para o atingimento de um resultado desejado.

A forma é variada, porém, deve conter no mínimo: as atividades, os prazos de execução e/ou atingimento, os recursos (Humanos, Tecnológicos, etc) necessários e os responsáveis. Caso tenha dificuldade, pense na elaboração do plano com conceitos tipo SMART (Especifico, Mensurável, Alcançável, Relevante e no Tempo) e organize-o com conceitos tipo 5W1H (Quem? O quê?, Onde?, Quando?, Por que? e Como?).

Da Comunicação

A aplicação de um modelo de gestão, seja ele qual for, vai requer um grande esforço de toda a organização e esse esforço sem dúvida passa pela comunicação. Trata-se de Segurança da Informação, sobre a qual desejamos o aculturamento para um comportamento positivo frente às ameaças que rodeiam nossas empresas todo dia.

Para isso, divulgue a política de segurança da informação para todas as partes interessadas, por meio de palestras e workshops, apresentando os requisitos de controle, os benefícios para o negócio e a importância da proteção das informações. De forma estruturada, pense no que comunicar, quando comunicar, quem deve comunicar, a quem será comunicado e qual meio deve ser utilizado.

Da pré-auditoria

A realização da pré-auditoria tem um papel fundamental pois potencializa o grau de êxito, quando o objetivo é alcançar a certificação do modelo de Gestão de Segurança da Informação. Tal iniciativa contribui para a otimização do tempo e preparação do time, possibilitando melhorias consideráveis na qualidade de todos os esforços aplicados.

Da remediação

O instrumento remediação trata da ação de fazer correções. Após um Gap Analysis e/ou Auditorias Interna e Externa, caso tenha alguma não conformidade ainda passível de reversão e diante de um novo prazo pactuado com o auditor interno e/ou externo, deve-se procurar reparar e corrigir qualquer anomalia identificada. Caso contrário, incorre-se em não obter o êxito esperado na certificação.

Da conclusão

Se você obteve da alta direção o informe de que a Segurança da Informação passou a ser parte da estratégica do negócio, se realizou o diagnóstico da situação atual, elaborou relatório com os pontos de atenção, preparou o plano de ação, fez o cronograma com todas as fases, trabalhou a comunicação adequadamente junto a todos os envolvidos, organizou e executou o plano de ação, monitorou cada fase, colocou em marcha a pré-auditoria, se manteve o foco e partiu para a remediação… sim, o trabalho foi corretamente executado e pode-se considerar que a probabilidade de alcançar a certificação é alta.

  •  
    6
    Shares
  • 6
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Cristiano Pimenta, Mestrando em Recursos Humanos y Desarrollo Digital de Talento– IEP/Madri,Espanha. Possui MBA em Serviços de Telecomunicações – UFF/RJ, Pós-graduação em Gestão – Ênfase em Pessoas / Fundação Dom Cabral, Graduação em Tecnologia da Informação – UNISUL/SC. Sua trajetória profissional ao longo de mais de 20 anos de experiência, inclui posição de liderança em empresas como Arcon/Nec Soluções de Segurança Cibernética, Telemig Celular, Amazônia Celular, Vivo | e Modulo Security. Foi executivo responsável por de diversas áreas, tais como: Delivery de IT Security , Operações de IT Security, Recursos Corporativos (Recursos Humanos, Tecnologia da Informação, Qualidade & Processos, Sistemas), Produtos & Alianças, GRC, Segurança da Informação, PMO, SOC - Security Operation Center, Consultoria em Segurança da Informação.

Cristiano Pimenta

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Facebook

Facebook By Weblizar Powered By Weblizar

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes