TI CorporativaGerência de ProjetosO desafio de manter a ISO 27001

O desafio de manter a ISO 27001

-

Publicidade

Figura - O desafio de manter a ISO 27001Certificar uma organização (escopo) em uma norma internacional requer dedicada preparação e análise inicial do ambiente. Inclusive, pode-se realizar um Gap Analysis para entender o quanto este objetivo está distante. A partir daí, estabelecer um plano de ação para a certificação que provavelmente envolverá várias áreas e colaboradores da organização. Então, o responsável pelo projeto terá a missão de gerenciar o trabalho a ser realizado.

A equipe do projeto é mobilizada e as atividades começam a ser realizadas… A organização define o prazo para a sua conclusão e também contrata a entidade que fará a auditoria de terceira parte (auditoria para a certificação). Projeto concluído, auditoria realizada e certificação obtida! E agora?

Penso que é legítimo ter o sentimento de dever cumprido e dedicar um tempo para refletir, repensar algumas rotinas e também diminuir o ritmo, uma vez que processos de auditoria costumam trazer esforços adicionais. No entanto, a certificação reforça compromissos com processos, prazos, entregas e também com a melhoria contínua do Sistema de Gestão da Segurança da Informação implementado.

De fato, a organização precisa definir papéis e responsabilidades para a certificação e sua manutenção. Que ao meu ver, pode demandar mais esforço, visto que o objetivo inicial foi atingido e este assunto pode ter saído do foco e da escala de prioridades.

Cada organização vai definir a sua estratégia de manutenção, mas cito aqui alguns pontos de atenção que julgo importantes (sem a intenção de esgotar as necessidades/possibilidades). Portanto, verifique:

  • Se houve alguma mudança na estratégia da organização que requeira uma revisão no Sistema de Gestão de Segurança da Informação implementado;
  • As mudanças ocorridas na organização e os impactos nos processos de Avaliação e Tratamento dos Riscos de Segurança da Informação;
  • A necessidade de revisar a Declaração de Aplicabilidade;
  • Se todos os requisitos/controles que requerem a implementação em intervalos regulares foram atendidos, entre eles, auditoria interna e análise crítica pela direção;
  • O tratamento das não conformidades detectadas em auditorias internas e externas anteriores;
  • Se o prazo para a revisão de Políticas, Normas e Procedimentos foi atendido (particular de cada organização). Lembre-se de contemplar as mudanças da organização e considerar o conceito adotado para “Informação Documentada”;
  • Se houve “perda” ou mudança de colaboradores relevantes no sistema, entre eles, auditores internos e gestores de áreas críticas;
  • Se a organização avaliou o desempenho da segurança da informação e a eficácia do Sistema de Gestão da Segurança da Informação. Geralmente por meio de indicadores (particular de cada organização).

Considero estes itens relevantes porque suportam a implementação e a manutenção do sistema. Além disso, é natural que o nível de exigência passe a ser mais alto na medida em que a organização vai ganhando maturidade em Segurança da Informação. Sendo assim, manter uma certificação também é um desafio. Não podemos perder o foco e a noção de que a certificação é só o começo.

Fonte:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro, 2013.

Elaine Pinto
Elaine Pinto Consultora de Qualidade e Processos, ARCON Serviços Gerenciados de Segurança Elaine Pinto é Consultora de Qualidade e Processos e Auditora Líder no processo de Certificação ISO/IEC 27001 da Arcon. Formada em Administração e Arquivologia, Elaine se especializou em Gestão Estratégica e Qualidade e Auditoria de Sistemas de Gestão da Qualidade e Segurança da Informação. Com mais de 10 anos de experiência em Gestão, é coautora do livro Guia Oficial para Formação de Gestores em Segurança da Informação e atuou em empresas como Módulo Security Solutions e Petrobras.

Latest news

IA para MSPs: como a inteligência artificial está transformando o mercado de serviços gerenciados

A Inteligência Artificial (IA) está desempenhando um papel crucial na transformação dos Prestadores de Serviços Gerenciados (MSPs). Mais do...

O que é integração de sistemas de RH e como ela facilita o trabalho?

A integração de sistemas de RH traz muitos benefícios, principalmente em termos de otimização do tempo e de recursos. Sem ela, diferentes plataformas podem gerar dados desconexos e difíceis de consolidar, o que pode levar a erros e à sobrecarga de trabalho manual.

Cibersegurança como pilar da resiliência empresarial: a abordagem estratégica dos MSPs

Na última década, a segurança cibernética deixou de ser um tema restrito às áreas de TI para se tornar...

Plano de conteúdo para redes sociais: o que divulgar sendo uma empresa de TI?

Não encontrar o conteúdo certo para a rede social da sua empresa é um problema que está perto de acabar. Acesse e conheça o Plano de Conteúdo!
Publicidade

Estratégia de comunicação para TI: 5 erros para NÃO cometer

Existem 5 erros comuns que você não pode cometer mais na comunicação da sua empresa. Se você é um MSP que busca o sucesso, acesse e confira!

Inovação e Liderança: Uma Jornada de Transformação Digital

Inovação e Liderança: Uma Jornada de Transformação DigitalNo ritmo acelerado do mundo de hoje, a combinação de inovação e empreendedorismo é fundamental para profissionais que desejam gerar impacto nas organizações. Ao longo da minha carreira, passei de funções técnicas para posições de liderança, e, nesse caminho, aprendi como a tecnologia pode ser uma força transformadora nos negócios.

Must read

IA para MSPs: como a inteligência artificial está transformando o mercado de serviços gerenciados

A Inteligência Artificial (IA) está desempenhando um papel crucial...

O que é integração de sistemas de RH e como ela facilita o trabalho?

A integração de sistemas de RH traz muitos benefícios, principalmente em termos de otimização do tempo e de recursos. Sem ela, diferentes plataformas podem gerar dados desconexos e difíceis de consolidar, o que pode levar a erros e à sobrecarga de trabalho manual.
- Advertisement -

You might also likeRELATED
Recommended to you