Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

Como certificações pessoais podem ajudar o SGSI de sua organização

Um doa maiores desafios ao se gerenciar a segurança da informação é assegurar que as pessoas possam lidar com informações e as atividades de segurança de forma apropriada. Pessoas despreparadas ou não treinadas podem ser um risco a informação, e para o negócio, sendo tão perigosas quanto quaisquer outras ameaças conhecidas.

Requisitos da ISO 27001 para competências

A ISO 27001 lida com esta situação através da sua cláusula 7.2 de uma forma bem direta:

  1. Identifique as competência necessárias para aquelas pessoas cujas atividades tenham impacto sobre o desempenho da segurança da informação;
  2. Assegure que estas pessoas tenham as competências necessárias, seja por meio de educação, treinamento ou experiência apropriadas;
  3. Obtenha as competências necessárias sempre que aplicável, e avalie a eficácia das ações tomadas para adquirir estas competências.

Adicionalmente, a ISO 27001 possui um item extra relacionado ao registro de evidências sobre a execução deste processo.

Pequenas organizações, ou aquelas sem conhecimento especializado interno sobre TI / Segurança, podem se deparar com as seguintes questões:

  • Quais competências eu preciso?
  • O que seriam educação, treinamento ou experiência apropriadas?
  • Como / Onde eu obtenho as competências necessárias e avalio as ações tomadas?

Assim como muitas outras questões envolvendo sistemas de gestão, existem muitos possíveis métodos para lidar adequadamente com competências em segurança da informação e recursos humanos, mas eu gostaria de apresentar a você o uso de certificações pessoais.

O que são certificações pessoais?

Certificações pessoais são designações concedidas a uma pessoa para assegurar qualificação na realização de um trabalho ou atividade. Geralmente concedidas por associações de profissionais ou institutos educacionais, elas também podem ser concedidas por um certificador privado (e.g., um fabricante ou fornecedor).

Alguns programas de certificação possuem padrões rigorosos para acreditação, similares àqueles para licenciaturas, e este é o ponto chave para apoiar o uso de certificações pessoais como forma de atender a cláusula 7.2. O American National Standards Institute (ANSI), o Institute for Credentialing Excellence (ICE), e o International Register of Certificated Auditors (IRCA) são exemplos de organizações que definem normas para acreditação de programas de certificação.

Como certificações pessoais podem ajudar minha organização a estar em conformidade com a cláusula 7.2?

Voltemos as questões feitas anteriormente para desenvolver esta resposta, mas lembre-se de que muitas das próximas informações se aplicam apenas a organizações de certificação acreditadas.

Quais competências minha organização precisa? Geralmente, organizações sabem quais produtos / serviços elas tem/precisam, mas não sabem o que é preciso para usá-los/operá-los. Nestes casos, certificações orientadas a produto / tecnologia podem ajudar ao definir o conjunto de conhecimentos necessários para configurar / usar / operar estes produtos / serviços adequadamente. Sistemas operacionais, bases de dados e serviços de e-mail são exemplos de produtos / serviços para os quais você pode encontrar certificações adequadas que podem ajudá-lo a definir quais competências sua organização precisa.

Outros casos relevantes são sobre funções / trabalhos que sua organização precisa realizar, tal como gestão ou garantia. Para estas, você pode encontrar certificações orientadas a profissão. Estas certificações se focam em conhecimento não orientado a tecnologia ou produto, provendo ao profissional competências mais holísticas sobre o uso de práticas. Gerente de projeto, gestor de segurança e auditor líder são exemplos de funções / trabalhos para os quais você pode encontrar certificações adequadas que podem ajudá-lo a definir quais competências sua organização precisa. Veja estes artigos para mais informações sobre treinamentos em ISO 27001 / BS 25999-2: Como aprender sobre a ISO 27001 e a BS 25999-2 e How to become ISO 27001 Lead Auditor.

O que seriam educação, treinamento ou experiência adequadas? Para obter algumas destas certificações, o profissional deve submeter a organização certificadora um conjunto de evidências de educação, treinamento e experiência anteriores (que podem variar de certificador para certificador e entre tipos de certificações), sob forma de diplomas escolares / universitários, certificados de treinamento e cartas de recomendação de empregadores. A partir destes requisitos sua organização pode definir parâmetros adequados para verificar o nível de educação, treinamento ou experiência de seus empregados.

Como / Onde uma organização pode obter as competências necessárias e avaliar as ações tomadas? Após obter as certificações, algumas delas devem ser mantidas pelo profissional (uma nova versão do produto pode ser lançada ou novos conhecimentos publicados). Para permanecerem atualizados, eles devem participar de programa de treinamento, ou outras atividades verificáveis que demonstrem que eles estão constantemente atualizando seus conhecimentos.

Para apoiar os profissionais na manutenção de suas certificações, muitos certificadores proveem referências para centros de treinamento, ou promovem eventos sobre novos produtos / tecnologias / práticas, onde estes profissionais podem obter / compartilhar o conhecimento necessário para desenvolver suas carreiras. Informações sobre estes cursos e eventos podem ser usadas pela sua organização para planejar e registrar atividades relacionadas a obtenção das competências necessárias.

Eu deveria adotar certificações pessoais para minha equipe? Como enfatizado anteriormente, tudo que você precisa ter para estar em conformidade com a cláusula 7.2, incluindo as evidências que você precisa, podem ser encontrado com a organização acreditada que emite os certificados. Assim, por que não usar certificações pessoais como critério de seleção para contratação, uma vez que tudo que você precisa para estar em conformidade com a cláusula 7.2 já está disponível lá e pode ser apresentado pelo candidato? E por que não estabelecer certificações pessoais como nível mínimo para seus empregados, assegurando desta forma que eles estejam mais comprometidos comas práticas de segurança e autodesenvolvimento?

Todos podem se beneficiar

As certificações mais reconhecidas são caras e árduas para se obter, e algumas delas tem poucos profissionais certificados; esta situação se reflete na disponibilidade e na média salarial destes profissionais. Por outro lado, pessoal mais competente se traduz em menor número de incidentes e maior produtividade. Se sua organização conseguir equilibrar os custos dos salários mais altos com a economia de custos, esta pode ser uma opção adequada; caso este não seja o seu caso, ainda assim você pode utilizar as informações disponibilizadas pelas organizações certificadoras para definir as competências que você precisa , como um benchmark.

Em qualquer caso, o fato permanece: certificações pessoais podem ser benéficas tanto para a organização quanto para o indivíduo. É uma proposta do tipo ganha ganha.

Estes cursos online gratuitos da ISO 27001 darão a você um conhecimento completo e a chance de se certificar pela por um dos principais organismos de certificação.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001