• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como manter o SGSI após a certificação

    Se você pensou que seu trabalho havia acabado após a certificação ISO 27001, você está enganado – o verdadeiro trabalho como seu Sistema de Gestão de Segurança da Informação (SGSI) apenas começou.

    OK, mas por onde você começa? A boa notícia é que você já tem todo o direcionamento em sua documentação, mas aqui está uma visão geral sobre o que você deve ter foco:

    1) Operar o SGSI. Primeiro de tudo, você tem que ter certeza de que realiza todas as atividades descritas em suas políticas e procedimentos. E não quero dizer apenas criando artificialmente alguns registros e fazendo de conta que você está fazendo algumas atividades por conta dos auditores – Eu realmente quero dizer fazer o que está escrito, em conformidade com todos os requisitos de todos os seus documentos e gerando registros reais. Se você pensa que isto não faz sentido, então você tem que simplificar seus documentos ou excluir alguns documentos que não são obrigatórios.

    2) Atualize a documentação. Circunstâncias em sua organização mudarão – vocês criarão novos produtos, você comprarão novos softwares, sua organização mudará, etc. Isto significa que você terá que atualizar suas políticas ou procedimentos ou ele se tornarão inúteis. A melhor prática é nomear um proprietário para cada documento, e aquela pessoa terá que revisar seu documento periodicamente (geralmente uma vez ao ano), e recomendar possíveis mudanças.

    3) Revisar a avaliação de riscos. Novamente, devido a mudança das circunstâncias, as ameaças e vulnerabilidades mudarão, significando que seus riscos irão mudar; e se seus riscos mudaram, isto significa que seus controles existentes não serão o suficiente. É por isso que você deveria enviar os resultados da última avaliação de riscos para os proprietários de risco para que eles possam revisá-los e atualizá-los se necessário – uma vez que isso tenha sido feito, você tem que implementar novos controles baseados nestes resultados. Esta revisão deve ser feita ao menos uma vez ao ano, ou com maior frequência caso alguma mudança significativa tenha ocorrido.

    4) Monitorar e medir o SGSI. Embora esta atividade pareça ser muito abstrata e provavelmente a mais difícil de atingir, é também uma das mais importantes – de outra forma, como você saberia se está fazendo um bom trabalho ou não? Ao falar sobre monitoramento, você tem que observar vários eventos relacionados à segurança, tais incidentes, erros, exceções, etc. Baseado nestas informações, você pode aprender o que fazer melhor e como prevenir futuros incidentes de acontecer. Mas isso não é tudo – você tem que medir se seu SGSI atinge os resultados esperados. Para fazer isso, você precisa medir se atingiu os objetivos – por exemplo, se o objetivo é reduzir o número de incidente em 50% no ano corrente, você tem que pegar o número atual de incidentes a partir dos resultados de monitoramento e comparar com o número de incidentes do ano anterior. Leia também ISO 27001 control objectives – Why are they important?

    5) Realizar auditorias internas. Isto pode parecer apenas mais uma daquelas situações do tipo “Oh não, outras tarefa inútil da ISO 27001,” mas o fato é – quando feita de forma apropriada, uma auditoria interna pode revelar a você muito mais fraquezas de segurança do que muitas das outras atividades em conjunto. Para atingir isto você tem que treinar alguns dos seus empregados para fazer este trabalho, ou contratar um auditor externo. Não importa qual opção você escolha, você tem que capacitar esta pessoa para fazer o trabalho de forma abrangente e estar preparado para agir sobre os resultados da auditoria. Leia também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

    6) Realizar análise crítica pela direção. Esta é uma atividade crucial, uma vez que ela envolve ativamente sua alta direção na segurança da informação. Você tem que informá-los sobre assuntos essenciais relacionados ao seu SGSI, e solicitar a eles que tomes decisões cruciais – Por exemplo, mudanças na organização, disponibilizando recursos, eliminando obstáculos, etc. Saiba mais aqui: Por que a análise crítica pela direção é importante para a ISO 27001 e ISO 22301?

    7) Realizar ações corretivas. Novamente, esta não é uma “tarefa da ISO 27001,” porque ações corretivas são coisas que você faz regularmente – muito provavelmente você faz melhorias sobre o que você está fazendo, você apenas não as chama de “ações corretivas,” então o truque é continuar fazendo estas melhorias de forma a serem aceitáveis pela ISO 27001. Veja também Uso prático das ações corretivas para a ISO 27001 e ISO 22301.

    E não esqueça de que o organismos de certificação realizará visitas de supervisão ao menos uma vez ao ano – eles verificarão todos os sete assuntos listados anteriormente, e também se você fechou todas as não conformidades abertas na última visita, então tenha certeza de não esquecer delas. Veja também Surveillance visits vs. certification audits.

    Mas basicamente, a manutenção do SGSI resume-se a isso: você deveria fazer isso por você mesmo, para manter sua organização mais segura – não por causa de um auditor de certificação.

    Para ajudá-lo com a manutenção do seu SGSI, verifique este Conformio compliance software.

    Nós Agradecemos a Rhand Leal pela tradução para o Português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.