A segurança da informação deve se concentrar na proteção de ativos, conformidade ou governança corporativa?

    Tradicionalmente, a segurança da informação tem sido percebida como uma atividade que foi construída em torno da proteção de ativos de informações sensíveis – afinal, era isso que a primeira revisão (2005) da ISO 27001, e sua predecessora BS 7799-2, também enfatizavam. Essas normas exigiam que as empresas identificassem todos …

    Leia mais ...

    Alinhando a segurança da informação com o direcionamento estratégico de uma organização de acordo com a ISO 27001

    Há um requisito da ISO 27001 que é muito raramente mencionado, ainda que seja provavelmente crucial para a “sobrevivência” de longo prazo de um Sistema de Gestão de Segurança da Informação SGSI) em uma organização: este é o requisito da cláusula 5.1 que diz que a alta direção precisa assegurar que …

    Leia mais ...

    Onde a segurança da informação se encaixa em uma organização?

    Frequentemente, ouço discussões controversas sobre se a segurança da informação é parte da TI, ou se ela deveria estar separada dela, parte de algum departamento de conformidade ou de riscos, etc. Mas, antes de determinarmos quem deveria estar lidando com a segurança da informação e a partir de qual unidade …

    Leia mais ...

    4 técnicas cruciais para convencer sua alta direção sobre a implementação da ISO 27001

    Não espere que sua gerência entenda por conta própria por que a ISO 27001 é boa para a organização deles – você tem que trabalhar duro para convence-los. Essencialmente, você precisa ter dois elementos para ser bem-sucedido neste processo: (1) preparar uma lista de benefício de negócio que são realmente aplicáveis …

    Leia mais ...

    Como se prepara para uma auditoria interna da ISO 27001

    Muitas pessoas simplesmente correm para preparar uma lista de verificação e realizar a auditoria interna da ISO 27001 – quanto mais cedo este trabalho “inútil” for realizado, melhor. Mas, tal correria apenas criará outros problemas, e tornará a auditoria interna mais longa do que o necessário. Assim, vejamos o que você …

    Leia mais ...

    Como documentar papéis e responsabilidades de acordo com a ISO 27001

    Profissionais de segurança da informação que são novos na ISO 27001 frequentemente tendem a pensar que esta norma requer uma definição muito centralizada e muito detalhada de papéis e responsabilidades. Na verdade, isto não é verdade. Por favor não me entenda errado: definir e comunicar papéis e responsabilidades é importante, porque é …

    Leia mais ...

    O que você deveria escrever em sua Política de Segurança da informação de acordo com a ISO 27001?

    O conteúdo da Política de Segurança da Informação é certamente um dos maiores mitos relacionados a ISO 27001 – muito frequentemente o propósito deste documento é mal-entendido, e em muitos casos as pessoas tendem a pensar que elas precisam escrever tudo sobre a sua segurança neste documento. Bem, isto não …

    Leia mais ...

    O que é um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ISO 27001?

    Se você iniciou uma implementação da ISO 27001, você certamente encontrou o termo Sistema de Gestão de Segurança da Informação ou SGSI. Termo muito vago, não é? E ainda, o SGSI é o principal “produto” da implementação da ISO 27001. Assim, o que exatamente é um SGSI? A ISO 27001 basicamente …

    Leia mais ...

    4 opções de mitigação no tratamento de riscos de acordo com a ISO 27001

    Muitas pessoas pensam que a avaliação de riscos é a parte mais difícil da implementação da ISO 27001 – verdade, a avaliação de riscos é provavelmente a mais complexa, mas o tratamento de riscos é definitivamente a mais estratégica e mais onerosa. O propósito do tratamento de riscos parece bastante simples: …

    Leia mais ...

    3 estratégias para implementar qualquer norma ISO

    Se você está considerando a implementação da ISO 27001, ISO 9001, ISO 14001, ISO 20000, ou qualquer outra norma de gestão ISO, você provavelmente está sobrecarregado com várias abordagens sobre como iniciar e terminar tal projeto com sucesso. Na minha opinião, existem três opções básicas para se implementar estar normas: …

    Leia mais ...

    Acreditação vs. certificação vs. registro no mundo ISO

    Coisa com as normas ISO podem se tornar realmente complicadas: existem muitas normas de gestão ISO – as mais populares são ISO 9001, ISO 14001, ISO 27001, ISO 22301, ISO 20000, etc. – e há uma infinidade de maneiras de se tornar acreditado / certificado / registrado com relação a …

    Leia mais ...

    Explanação sobre a cláusula 4.1 (Entendendo a organização) da ISO 27001:2013

    A cláusula 4.1 é um requisito completamente novo na versão 2013 da ISO 27001, e tem causado alguma confusão porque é bem vaga. (A propósito, há confusão muito similar com a ISO 22301, então este artigo também é aplicável a cláusula 4.1 da ISO 22301.) Então, vejamos sobre o que …

    Leia mais ...

    Como usar a ISO 22301 para implementar a continuidade de negócio na ISO 27001

    how to Um dos maiores mistérios na implementação da ISO 27001 é a seção A.17 do Anexo A, que trata da gestão da continuidade do negócio. Como a continuidade do negócio se relaciona à segurança da informação, e por que ela é incluída na ISO 27001? Infelizmente, a ISO 27001 não …

    Leia mais ...

    Como avaliar consequências e probabilidade na análise de risco da ISO 27001

    Se você está avaliando riscos de segurança da informação em sua organização, então a identificação de ativos, ameaças e vulnerabilidades é apenas a primeira metade do trabalho. (Veja também Avaliação de riscos da ISO 27001: Como combinar ativos, ameaças e vulnerabilidades.) A segunda parte do trabalho, não menos importante e …

    Leia mais ...