Dejan Kosutic Se você está começando a implementar a ISO 27001, provavelmente está procurando uma maneira fácil de fazer isso. Deixe-me desapontá-lo: não há maneira fácil de fazer isso. No entanto, vou tentar facilitar seu trabalho. Aqui está uma lista com os dezesseis passos que você tem de executar se quiser obter a certificação ISO 27001:
1. Obter o apoio da gerência
Isso pode parecer bastante óbvio e, normalmente, não é levado muito a sério. Mas, na minha experiência, este é o principal motivo do fracasso dos projetos de ISO 27001: a gerência não fornece um número suficiente de pessoas para trabalhar no projeto ou fornece pouco dinheiro. (Leia Quatro benefícios fundamentais da implementação da ISO 27001 para obter ideias de como apresentar o caso à gerência.)
2. Tratar como um projeto
Como já foi dito, a implementação da ISO 27001 é complexa, envolve várias atividades, muitas pessoas e dura vários meses (ou mais de um ano). Se você não definir claramente o que deve ser feito, quem vai fazê-lo e em que período de tempo (ou seja, aplicar gestão de projetos), você pode nunca terminar o trabalho.
3. Definir o escopo
Se você tem uma organização grande, provavelmente faz sentido implementar a ISO 27001 em apenas uma parte da organização, reduzindo significativamente o risco do projeto. (Problemas com a definição do escopo da norma ISO 27001)
4. Escrever uma política do SGSI
A Política do SGSI é o documento de mais alto nível em seu SGSI. Ela não deve ser muito detalhada, mas deve definir algumas questões básicas da segurança da informação em sua organização. Mas qual é o seu objetivo se não é detalhada? O objetivo é que a gerência defina o que deseja alcançar e como controlar isso. (Política de segurança da informação: o quão detalhada deve ser?)
5. Definir a metodologia da avaliação de riscos
A avaliação de riscos é a tarefa mais complexa do projeto da ISO 27001. O objetivo é definir as regras para a identificação de ativos, vulnerabilidades, ameaças, impactos e probabilidade, e definir o nível de risco aceitável. Se essas regras não forem claramente definidas, você pode se encontrar em uma situação em que obterá resultados inutilizáveis. (Leia Dicas de avaliação de risco para pequenas empresas.)
6. Realizar avaliação de riscos e tratamento de riscos
Aqui você tem de implementar o que definiu no passo anterior. Isso pode demorar vários meses para organizações grandes, então você deve coordenar esse esforço com muito cuidado. O objetivo é obter uma visão abrangente sobre os perigos para a informação da sua organização.
O propósito do processo de tratamento de riscos é diminuir os riscos que não são aceitáveis. Isso geralmente é feito pelo uso dos controles do Anexo A.
Nesta etapa, deve-se escrever um Relatório de avaliação de riscos, que documente todos os passos dados durante os processos de avaliação de riscos e tratamento de riscos. Além disso, deve-se obter a aprovação dos riscos residuais, seja como um documento separado ou como parte da Declaração de aplicabilidade.
7. Escrever a Declaração de aplicabilidade
Depois de terminado o processo de tratamento de riscos, você saberá exatamente quais controles do Anexo A precisará (há um total de 114 controles, mas você provavelmente não precisará de todos eles). O objetivo deste documento (frequentemente referido como SoA) é listar todos os controles e para definir quais são aplicáveis e quais não são, e as razões para essa decisão, os objetivos a serem alcançados com os controles e uma descrição de como eles serão implementados.
A Declaração de aplicabilidade também é o documento mais adequado para obter autorização da gerência para implementar o SGSI.
8. Elaborar o Plano de tratamento de riscos
Quando você pensou que já havia resolvido todos os documentos relacionados aos riscos, aparece mais um. O objetivo do Plano de tratamento de riscos é definir exatamente como os controles do SoA devem ser implementados – quem irá fazer o trabalho, quando, com que orçamento etc. Esse documento é, na verdade, um plano de implementação focado em seus controles, sem o qual você não seria capaz de coordenar os próximos passos do projeto.
9. Definir como medir a eficiência dos controles
Outra tarefa que frequentemente é subestimada. A questão aqui é: se você não pode medir o que você fez, como pode ter certeza de ter cumprido o objetivo? Portanto, não se esqueça de definir a forma como você irá medir o cumprimento dos objetivos que definiu, tanto para o SGSI inteiro quanto para cada controle aplicável na Declaração de aplicabilidade.
10. Implementar os controles e procedimentos obrigatórios
É mais fácil falar do que fazer. É aqui que você deve aplicar os quatro procedimentos obrigatórios e os controles aplicáveis do Anexo A.
Esta geralmente é a tarefa mais arriscada do seu projeto. Ela normalmente envolve a aplicação de novas tecnologias, mas acima de tudo, a implementação de novos comportamentos na organização. Muitas vezes, novas políticas e procedimentos são necessários (o que significa que uma mudança é necessária), e as pessoas geralmente resistem à mudança – é por isso que a próxima tarefa (treinamento e conscientização) é crucial para evitar esse risco.
11. Implementar programas de treinamento e conscientização
Se você deseja que sua equipe implemente todas as novas políticas e procedimentos, primeiro você tem de explicar a eles porque isso é necessário e treiná-los para serem capazes de trabalhar como previsto. A ausência dessas atividades é a segunda razão mais comum para o fracasso do projeto da ISO 27001.
12. Operar o SGSI
Esta é a parte em que a ISO 27001 torna-se uma rotina diária da sua organização. A palavra crucial aqui é: “registros”. Auditores amam registros – sem registros será muito difícil provar que qualquer atividade foi realmente executada. Mas, em primeiro lugar, os registros devem ajudá-lo – com eles você pode monitorar o que está acontecendo – você saberá com certeza se seus funcionários (e fornecedores) estão realizando suas tarefas como exigido.
13. Monitorar o SGSI
O que está acontecendo em seu SGSI? Quantos incidentes você tem, de que tipo? Todos os procedimentos são executados corretamente?
É aqui que os objetivos para seus controles e metodologia de medição se unem: você tem de verificar se os resultados obtidos estão alcançando o que você definiu em seus objetivos. Se não estão, você sabe que algo está errado e que precisa executar ações corretivas e/ou preventivas.
14. Realizar auditoria interna
Muitas vezes as pessoas não estão cientes de que estão fazendo algo errado (por outro lado, algumas vezes elas sabem, mas não querem que ninguém descubra isso). Mas desconhecer problemas existentes ou possíveis pode prejudicar sua organização. Você precisa realizar auditorias internas para descobrir essas coisas. O objetivo aqui não é iniciar ações disciplinares, mas tomar ações corretivas e/ou preventivas. (Leia Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2.)
15. Executar análise crítica da gestão
A gerência não tem de configurar o firewall, mas deve saber o que está acontecendo no SGSI, ou seja, se todos realizaram suas funções, se o SGSI está obtendo os resultados desejados etc. Com base nisso, a gerência deve tomar algumas decisões cruciais.
16. Ações corretivas e preventivas
O objetivo do sistema de gestão é assegurar que tudo o que está errado (as chamadas “inconformidades”) seja corrigido ou, de preferência, prevenido. Portanto, a ISO 27001 exige que as ações corretivas e preventivas sejam realizadas de forma sistemática, o que significa que a causa básica de uma inconformidade deve ser identificada e, então, resolvida e verificada.
Espero que este artigo tenha esclarecido o que precisa ser feito, pois apesar de a ISO 27001 não ser uma tarefa fácil, ela não é necessariamente complicada. Você só precisa planejar cada passo com cuidado e, não se preocupe, você irá obter seu certificado.
Para encontrar uma lista mais detalhada das etapas de implementação, confira Conformio compliance software.
