Base de conhecimento / Implementação da ISO 27001

Sete passos para a implementação de políticas e procedimentos

Advisera Dejan Kosutic Dejan Kosutic

Alguma vez você já se viu responsável por documentar uma política de segurança ou um procedimento? Você não quer que esse documento acabe como tantos outros, acumulando poeira em alguma gaveta esquecida? Aqui estão algumas ideias que podem ajudá-lo…

Os passos apresentados a seguir têm base na minha experiência com vários tipos de clientes, grandes e pequenos, públicos ou privados, com ou sem fins lucrativos e acredito que podem ser aplicados a todos esses tipos. Na verdade, estas etapas para a implementação de políticas e procedimentos são aplicáveis a quaisquer políticas e procedimentos, não apenas àqueles relacionados a ISO 27001 ou ISO 22301.

1 Estude os requisitos

Primeiro você deve estudar com muito cuidado diversos requisitos; há uma legislação que requer uma documentação por escrito, um contrato com seu cliente ou alguma outra política de alto nível já existente em sua organização, como um padrão empresarial? Obviamente, há também os requisitos da ISO 27001 e da BS 25999-2 se você quiser cumprir essas normas.

2 Leve em consideração os resultados da sua avaliação de riscos

A sua avaliação de riscos determinará quais questões devem ser documentadas e o nível de detalhamento de cada questão; por exemplo, você pode precisar decidir se vai classificar as informações de acordo com a sua confidencialidade e, em caso positivo, se você precisa de dois, três ou quatro níveis de confidencialidade.

Este passo pode não ser relevante neste formulário se a sua política ou o seu procedimento não estiver relacionado à segurança da informação ou à continuidade dos negócios. No entanto, os princípios de gestão de riscos são aplicáveis a outras áreas, como gestão da qualidade (ISO 9001), gestão ambiental (ISO 14001) etc. Por exemplo, na ISO 9001 você deve determinar a importância de um processo para a gestão da qualidade e decidir se tal processo será documentado ou não.

3 Aperfeiçoe e alinhe seus documentos

Algo importante a considerar é a quantidade total de documentos: você vai escrever dez documentos de uma página ou um documento de 10 páginas? É muito mais fácil gerenciar um documento, principalmente se o grupo-alvo de leitores é o mesmo. Porém, não crie um único documento de 100 páginas.

Além disso, é preciso ter cuidado para alinhar este documento com outros documentos; as questões que você está definindo podem já ter sido parcialmente definidas em outro documento. Nesse caso, talvez não seja necessário escrever um novo documento e atualizar o documento existente seja suficiente.

Se você estiver escrevendo um novo documento sobre uma questão que já foi mencionada em outro documento, evite ser redundante. Seria um pesadelo para manter esses documentos. É muito melhor que um documento faça referência a outro, sem repetir o conteúdo.

4 Estruture o documento

Você também precisa seguir as regras da sua empresa para a formatação do documento; talvez já exista um modelo com fontes, cabeçalhos, rodapés e outros elementos predefinidos.

Se você já implementou a ISO 27001, a BS 25999-2 ou qualquer outra norma de gestão, você precisará seguir um procedimento para controle de documentos. Este procedimento define não apenas o formato do documento, mas também as regras para a sua aprovação, distribuição, etc.

5 Escreva o documento

A regra prática é: quanto menor a organização e menores os riscos, menos complexo será o documento. Não há nada mais inútil do que escrever um longo documento que ninguém vai ler. Você deve entender que a leitura do documento leva tempo e o nível de atenção é inversamente proporcional à quantidade de linhas do seu documento.

Uma boa técnica para vencer a resistência dos funcionários (as pessoas não gostam de mudanças, principalmente se isso significa, por exemplo, a obrigação de alterar as senhas regularmente) é envolvê-los na composição deste documento ou na elaboração de comentários sobre ele. Desta forma, eles irão compreender a sua importância.

6 Obtenha aprovação para o documento

Este passo dispensa explicações, mas a sua importância fundamental é: se você não é um gerente de alto escalão na empresa, não terá o poder de fazer este documento valer.

Por isso, alguém nessa posição deve entender, aprovar e exigir a implementação do documento. Parece fácil, mas acredite, não é. Este e o próximo passo representam a maioria das falhas de implementação.

7 Treine e conscientize seus funcionários

Este passo provavelmente é o mais importante, mas infelizmente muitas vezes é esquecido. Como mencionado anteriormente, os funcionários estão cansados das constantes mudanças e certamente não irão acolher mais uma, principalmente se isso representa mais trabalho para eles.

Portanto, é muito importante explicar aos funcionários o motivo pelo qual a política ou o procedimento é necessário e porque é bom não só para a empresa, mas também para os próprios funcionários.

Às vezes, será preciso treinar os funcionários. Seria errado deduzir que todas as pessoas possuem as habilidades necessárias para implementar novas atividades. Para você, o responsável pelo documento, pode parecer fácil e óbvio, mas para os outros funcionários, pode parecer algo de outro mundo.

Fim da história?

Se você pensou que você chegou ao final da implementação do documento, você errou. A jornada está apenas começando. Não basta ter uma política perfeita ou um procedimento apreciado por todos. Também é preciso mantê-lo.

Alguém precisa assegurar que o documento seja atualizado e melhorado. Do contrário, as pessoas deixarão de segui-lo. Você mesmo pode fazer isso. Além disso, alguém precisa verificar que se o documento atende às expectativas e você pode ser essa pessoa.

Como você deve ter notado lendo este artigo, não basta ter um bom modelo para uma política ou um procedimento de sucesso;-é necessário adotar uma abordagem sistemática para a sua implementação. E, ao fazê-lo, não se esqueça do mais importante: o documento não é um fim em si; é apenas uma ferramenta para permitir que suas atividades e seus processos sejam executados sem problemas. Não deixe que documento torne as atividades e os processos mais difíceis.

Para criar e tratar documentos com mais facilidade, confira o Conformio document management system.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Post anterior Como lidar com o registro de ativos (inventário de ativos) de acordo com a ISO 27001
Próximo post Como definir o escopo do SGSI

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Política de mesa limpa e tela limpa – O que a ISO 27001 requer?
by Rhand Leal