Como manter o SGSI após a certificação

Se você pensou que seu trabalho havia acabado após a certificação ISO 27001, você está enganado – o verdadeiro trabalho como seu Sistema de Gestão de Segurança da Informação (SGSI) apenas começou.

OK, mas por onde você começa? A boa notícia é que você já tem todo o direcionamento em sua documentação, mas aqui está uma visão geral sobre o que você deve ter foco:

1) Operar o SGSI. Primeiro de tudo, você tem que ter certeza de que realiza todas as atividades descritas em suas políticas e procedimentos. E não quero dizer apenas criando artificialmente alguns registros e fazendo de conta que você está fazendo algumas atividades por conta dos auditores – Eu realmente quero dizer fazer o que está escrito, em conformidade com todos os requisitos de todos os seus documentos e gerando registros reais. Se você pensa que isto não faz sentido, então você tem que simplificar seus documentos ou excluir alguns documentos que não são obrigatórios.

2) Atualize a documentação. Circunstâncias em sua organização mudarão – vocês criarão novos produtos, você comprarão novos softwares, sua organização mudará, etc. Isto significa que você terá que atualizar suas políticas ou procedimentos ou ele se tornarão inúteis. A melhor prática é nomear um proprietário para cada documento, e aquela pessoa terá que revisar seu documento periodicamente (geralmente uma vez ao ano), e recomendar possíveis mudanças.

3) Revisar a avaliação de riscos. Novamente, devido a mudança das circunstâncias, as ameaças e vulnerabilidades mudarão, significando que seus riscos irão mudar; e se seus riscos mudaram, isto significa que seus controles existentes não serão o suficiente. É por isso que você deveria enviar os resultados da última avaliação de riscos para os proprietários de risco para que eles possam revisá-los e atualizá-los se necessário – uma vez que isso tenha sido feito, você tem que implementar novos controles baseados nestes resultados. Esta revisão deve ser feita ao menos uma vez ao ano, ou com maior frequência caso alguma mudança significativa tenha ocorrido.

4) Monitorar e medir o SGSI. Embora esta atividade pareça ser muito abstrata e provavelmente a mais difícil de atingir, é também uma das mais importantes – de outra forma, como você saberia se está fazendo um bom trabalho ou não? Ao falar sobre monitoramento, você tem que observar vários eventos relacionados à segurança, tais incidentes, erros, exceções, etc. Baseado nestas informações, você pode aprender o que fazer melhor e como prevenir futuros incidentes de acontecer. Mas isso não é tudo – você tem que medir se seu SGSI atinge os resultados esperados. Para fazer isso, você precisa medir se atingiu os objetivos – por exemplo, se o objetivo é reduzir o número de incidente em 50% no ano corrente, você tem que pegar o número atual de incidentes a partir dos resultados de monitoramento e comparar com o número de incidentes do ano anterior. Leia também ISO 27001 control objectives – Why are they important?

5) Realizar auditorias internas. Isto pode parecer apenas mais uma daquelas situações do tipo “Oh não, outras tarefa inútil da ISO 27001,” mas o fato é – quando feita de forma apropriada, uma auditoria interna pode revelar a você muito mais fraquezas de segurança do que muitas das outras atividades em conjunto. Para atingir isto você tem que treinar alguns dos seus empregados para fazer este trabalho, ou contratar um auditor externo. Não importa qual opção você escolha, você tem que capacitar esta pessoa para fazer o trabalho de forma abrangente e estar preparado para agir sobre os resultados da auditoria. Leia também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

6) Realizar análise crítica pela direção. Esta é uma atividade crucial, uma vez que ela envolve ativamente sua alta direção na segurança da informação. Você tem que informá-los sobre assuntos essenciais relacionados ao seu SGSI, e solicitar a eles que tomes decisões cruciais – Por exemplo, mudanças na organização, disponibilizando recursos, eliminando obstáculos, etc. Saiba mais aqui: Por que a análise crítica pela direção é importante para a ISO 27001 e ISO 22301?

7) Realizar ações corretivas. Novamente, esta não é uma “tarefa da ISO 27001,” porque ações corretivas são coisas que você faz regularmente – muito provavelmente você faz melhorias sobre o que você está fazendo, você apenas não as chama de “ações corretivas,” então o truque é continuar fazendo estas melhorias de forma a serem aceitáveis pela ISO 27001. Veja também Uso prático das ações corretivas para a ISO 27001 e ISO 22301.

E não esqueça de que o organismos de certificação realizará visitas de supervisão ao menos uma vez ao ano – eles verificarão todos os sete assuntos listados anteriormente, e também se você fechou todas as não conformidades abertas na última visita, então tenha certeza de não esquecer delas. Veja também Surveillance visits vs. certification audits.

Mas basicamente, a manutenção do SGSI resume-se a isso: você deveria fazer isso por você mesmo, para manter sua organização mais segura – não por causa de um auditor de certificação.

Para ajudá-lo com a manutenção do seu SGSI, verifique este Conformio compliance software.

Nós Agradecemos a Rhand Leal pela tradução para o Português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.