The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Papéis e responsabilidades da alta direção na ISO 27001 e ISO 22301

Você sabia que, em muitos casos, falhas na implementação da ISO 27001 ou ISO 22301 estiveram relacionadas diretamente ao fato da alta direção não ter assumido suas responsabilidades pela segurança da informação / continuidade do negócio em suas organizações?

OK, você provavelmente sabia disso. Mas, quais são estas responsabilidades, e como você faz para que a direção comece a fazer o que eles deveriam?

Por que os executivos não se importam?

Como eu argumentei em meu artigo Management’s view of information security, a principal preocupação da alta direção é assegurar o sucesso de longo prazo de suas organizações, aumentar a lucratividade, controlar novas iniciativas, diminuir os riscos, etc.

Assim, para chamar a atenção dos executivos, você deve focar nos benefícios ao negócio – uma vez que eles percebam como a segurança da informação ou continuidade do negócio pode contribuir, por exemplo, para aumentar a receita ou diminuir os custos, aumentar a eficiência ou diminuir penalidades, então você terá a atenção deles. Aprenda aqui como atingir este objetivo: Quatro benefícios fundamentais da implementação da ISO 27001 e ISO 22301 benefits: How to get your management’s approval for a business continuity project.

Uma vez que eles aceitem o conceito dos benefícios ao negócio, você tem que alinhar seu Sistema de Gestão de Segurança da Informação (SGSI) / Sistema de Gestão de Continuidade do Negócio (SGCN) com os objetivos estratégicos da sua organização – isto é, você tem que descobrir como a segurança da informação ou continuidade do negócio podem apoiar sua estratégia de negócio. Por exemplo, se você é uma empresa de hospedagem (hosting), um dos seus objetivos estratégicos pode ser oferecer maior disponibilidade de seus servidores do que aquela oferecida pela concorrência – SGSI e/ou SGCN são muito relevantes para tais objetivos porque eles irão diretamente diminuir o número de incidentes e portanto aumentar o nível de disponibilidade.

Então, o que os executivos precisam fazer?

Uma vez que a sua alta direção entenda porque a ISO 27001 ou ISO 22301 são importantes, e que eles descubram que estas normas podem apoiar diretamente a estratégia da organização, você pode solicitar a eles que façam algo concreto sobre isso.

De acordo com a ISO 27001/ISO 22301, as responsabilidades da alta direção são as seguintes:

  • Publicar a política de alto nível – a alta direção precisa publicar a política de segurança da informação / política de continuidade do negócio, na qual eles irão definir a principal intenção sobre a segurança da informação / continuidade do negócio. Veja também Política de segurança da informação: o quão detalhada deve ser? e The purpose of Business continuity policy according to ISO 22301.
  • Determinar os objetivos – através dos objetivos, a alta direção define o direcionamento do SGCI/SGCN, e os objetivos também proveem uma medida clara para avaliar se o SGSI/SGCN é bem sucedido. Encontre mais aqui: ISO 27001 control objectives – Why are they important? e Definindo os objetivos de continuidade do negócio na ISO 22301.
  • Determinar as principais responsabilidades – a alta direção precisa definir quem está responsável pelos vários elementos relacionados a implementação e operação do SGSI e SGCN – em muitos casos, eles indicarão o gestor de segurança da informação (Chief Information Security Officer) ou coordenador de Continuidade do Negócio, mas a alta direção também precisa designar outras responsabilidades; a alta direção precisa apoiar todos estes gestores, e em última instância assegurar que eles tenham feito seus trabalhos. Veja também Chief Information Security Officer (CISO) – where does he belong in an org chart?
  • Comunicar a importância – uma vez que os executivos são aqueles que tem mais influência na organização, se eles não explicarem a todos os empregados porque o SGSI/SGCN é importante, então ninguém acreditará que eles precisam fazer algo a respeito, especialmente se os gestores máximos não “trilham o caminho”, i.e. cumprem eles mesmos as regras de segurança ou continuidade de negócio.
  • Prover todos os recursos necessários – sem dinheiro e sem tempo suficiente dos empregados, o projeto da ISO 27001 ou ISO 22301 irá falhar – este é o ponto onde o apoio da alta direção deve se tornar muito real e tangível. Pela minha experiência, esta é exatamente o ponto onde a gestão geralmente falha – eles geralmente redirecionam os recursos para outros projetos.
  • Realizar a análise crítica pela direção – este ‘é o momento onde a alta direção precisa rever tudo que aconteceu dentro de seu SGSI/SGCN, sendo que uma das tarefas primárias é concluir se os objetivos foram atingidos. Veja também Por que a análise crítica pela direção é importante para a ISO 27001 e ISO 22301?

Assim, a alta direção é realmente crucial para o sucesso do seu projeto ISO 27001/ISO 22301. Mas, não peça a eles para fazer qualquer coisa antes de convencê-los de que a ISO 27001 ou ISO 22301 é boa para o negócio, porque de outra forma, você apenas estará perdendo seu tempo. E iniciar o projeto sem apoio real de seus executivos e uma perda ainda maior de tempo.

Clique aqui para se registrar para um webinar gratuito ISO 27001 benefits: How to obtain management support.

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

2 respostas para “Papéis e responsabilidades da alta direção na ISO 27001 e ISO 22301”

  1. Marcelo Gherman disse:

    Hi Dejan, for the IT systems recovery plan, I usually insert a new step between steps 7th and 8th, comprising one or more of these tasks: a) IT architecture design; b) change management test and approval; c) acquisition; and d) deployment of the resources on the main and/or on the alternate site. Despite this step is roughly
    mentioned in section 7.1 of ISO 22301 standard, it is better described in
    section 7.1.2 of ISO 22313 standard and also corresponds to the
    “Implementing all necessary preparations” chapter of the Business
    Continuity Strategy template from your kit. Can you comment about this?

    • Marcelo, you are right that ISO 22301 is not very useful when it comes to technical implementation of IT infrastructure (i.e. disaster recovery). And I agree with you that ISO 22313 is a bit more useful, especially in clause 8.3.2.

      However, the standard that can help you the most from the IT point of view is ISO 27031 – again I agree with you that this step should be placed after the business continuity development and before writing the plans.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
  • DNV GL Business Assurance is one of the leading providers of accredited management systems certification.