Papéis e responsabilidades da alta direção na ISO 27001 e ISO 22301

Você sabia que, em muitos casos, falhas na implementação da ISO 27001 ou ISO 22301 estiveram relacionadas diretamente ao fato da alta direção não ter assumido suas responsabilidades pela segurança da informação / continuidade do negócio em suas organizações?

OK, você provavelmente sabia disso. Mas, quais são estas responsabilidades, e como você faz para que a direção comece a fazer o que eles deveriam?

Por que os executivos não se importam?

Como eu argumentei em meu artigo Management’s view of information security, a principal preocupação da alta direção é assegurar o sucesso de longo prazo de suas organizações, aumentar a lucratividade, controlar novas iniciativas, diminuir os riscos, etc.

Assim, para chamar a atenção dos executivos, você deve focar nos benefícios ao negócio – uma vez que eles percebam como a segurança da informação ou continuidade do negócio pode contribuir, por exemplo, para aumentar a receita ou diminuir os custos, aumentar a eficiência ou diminuir penalidades, então você terá a atenção deles. Aprenda aqui como atingir este objetivo: Quatro benefícios fundamentais da implementação da ISO 27001 e ISO 22301 benefits: How to get your management’s approval for a business continuity project.

Uma vez que eles aceitem o conceito dos benefícios ao negócio, você tem que alinhar seu Sistema de Gestão de Segurança da Informação (SGSI) / Sistema de Gestão de Continuidade do Negócio (SGCN) com os objetivos estratégicos da sua organização – isto é, você tem que descobrir como a segurança da informação ou continuidade do negócio podem apoiar sua estratégia de negócio. Por exemplo, se você é uma empresa de hospedagem (hosting), um dos seus objetivos estratégicos pode ser oferecer maior disponibilidade de seus servidores do que aquela oferecida pela concorrência – SGSI e/ou SGCN são muito relevantes para tais objetivos porque eles irão diretamente diminuir o número de incidentes e portanto aumentar o nível de disponibilidade.

Então, o que os executivos precisam fazer?

Uma vez que a sua alta direção entenda porque a ISO 27001 ou ISO 22301 são importantes, e que eles descubram que estas normas podem apoiar diretamente a estratégia da organização, você pode solicitar a eles que façam algo concreto sobre isso.

De acordo com a ISO 27001/ISO 22301, as responsabilidades da alta direção são as seguintes:

• Publicar a política de alto nível – a alta direção precisa publicar a política de segurança da informação / política de continuidade do negócio, na qual eles irão definir a principal intenção sobre a segurança da informação / continuidade do negócio. Veja também Política de segurança da informação: o quão detalhada deve ser? e The purpose of Business continuity policy according to ISO 22301.
• Determinar os objetivos – através dos objetivos, a alta direção define o direcionamento do SGCI/SGCN, e os objetivos também proveem uma medida clara para avaliar se o SGSI/SGCN é bem sucedido. Encontre mais aqui: ISO 27001 control objectives – Why are they important? e Definindo os objetivos de continuidade do negócio na ISO 22301.
• Determinar as principais responsabilidades – a alta direção precisa definir quem está responsável pelos vários elementos relacionados a implementação e operação do SGSI e SGCN – em muitos casos, eles indicarão o gestor de segurança da informação (Chief Information Security Officer) ou coordenador de Continuidade do Negócio, mas a alta direção também precisa designar outras responsabilidades; a alta direção precisa apoiar todos estes gestores, e em última instância assegurar que eles tenham feito seus trabalhos. Veja também Chief Information Security Officer (CISO) – where does he belong in an org chart?
• Comunicar a importância – uma vez que os executivos são aqueles que tem mais influência na organização, se eles não explicarem a todos os empregados porque o SGSI/SGCN é importante, então ninguém acreditará que eles precisam fazer algo a respeito, especialmente se os gestores máximos não “trilham o caminho”, i.e. cumprem eles mesmos as regras de segurança ou continuidade de negócio.
• Prover todos os recursos necessários – sem dinheiro e sem tempo suficiente dos empregados, o projeto da ISO 27001 ou ISO 22301 irá falhar – este é o ponto onde o apoio da alta direção deve se tornar muito real e tangível. Pela minha experiência, esta é exatamente o ponto onde a gestão geralmente falha – eles geralmente redirecionam os recursos para outros projetos.
• Realizar a análise crítica pela direção – este ‘é o momento onde a alta direção precisa rever tudo que aconteceu dentro de seu SGSI/SGCN, sendo que uma das tarefas primárias é concluir se os objetivos foram atingidos. Veja também Por que a análise crítica pela direção é importante para a ISO 27001 e ISO 22301?

Assim, a alta direção é realmente crucial para o sucesso do seu projeto ISO 27001/ISO 22301. Mas, não peça a eles para fazer qualquer coisa antes de convencê-los de que a ISO 27001 ou ISO 22301 é boa para o negócio, porque de outra forma, você apenas estará perdendo seu tempo. E iniciar o projeto sem apoio real de seus executivos e uma perda ainda maior de tempo.

Clique aqui para se registrar para um webinar gratuito ISO 27001 benefits: How to obtain management support.

Nós agradecemos a Rhand Leal pela tradução para o português.