Dejan Kosutic Certificar-se na ISO 27001 não significa que você pode bater na porta do organismo de certificação e pedir a ele que lhe dê um certificado – existem muitas coisas que você tem que preparar para poder obter o seu certificado.
É verdade que é um processo um tanto complexo, assim eu o dividi em 5 áreas chave que você tem que abordar:
1) Obtenha suporte de sua diretoria
Muitas organizações negligenciam esta etapa, e esta é a razão número um do porquê projetos da ISO 27001 falham: a gerência intermediária inicia a implementação, mas inevitavelmente encontram problemas que requerem a ajuda da diretoria. Mas a diretoria, por não saber o porquê disto ser importante, não faz nada sobre o assunto.
Assim, para evitar tal situação, primeiro você tem que conseguir a atenção e o entendimento do seu CEO e/ou principais executivos – e para fazer isso, você tem que apresentar a eles benefícios de negócio claros relacionados a implementação da ISO 27001 em sua organização, tais como: aumento da participação no mercado, lucros mais altos, risco de conformidade mais baixo, etc. Argumentos do tipo “nós teremos um ótimo firewall novo” não funcionará com estes caras.
Este artigo ajudará você a formular estes benefícios de negócio: Quatro benefícios fundamentais da implementação da ISO 27001.
2) Planeje o orçamento
Iniciar a implementação sem nenhum orçamento planejado levará você a lugar nenhum – é verdade que este tipo de projeto provavelmente custará menos do que você inicialmente esperou (sim, você entendeu direito), mas isso não significa que você pode realiza-lo sem nenhum dinheiro.
Em muitos casos você terá estes custos: literatura e treinamento, assistência externa (seja um consultor ou serviços online), tecnologia, certificação, e – geralmente o maior custo de todos – seus próprios empregados. Isto porque muito da tecnologia você provavelmente já possui instalada, mas seus empregados terão que se organizar melhor de forma a começar a usar esta tecnologia de uma forma mais segura.
Leia este artigo para maiores detalhes: Qual é o custo da implementação da ISO 27001?
3) Trate a implementação como um projeto
Implementar a ISO 27001 trata primariamente de reorganizar como os processos de segurança são feitos em sua organização – assim você não pode dar este trabalho para uma pessoa e esperar que ele ou ela faça todo o trabalho completamente sozinho; da mesma forma, você não pode dá-lo a um iniciante ou alguém que não possui experiência em conduzir um projeto e esperar que tal pessoa coordene tudo que é necessário por toda a sua organização.
A implementação da ISO 27001 precisa ser tratada como um projeto regular, o que significa selecionar um gerente de projeto experiente, definir os prazos e entregas, definir que será o patrocinador do projeto, etc.
Este artigo ajudará você: ISO 27001 project – How to make it work.
4) Não pule as etapas de implementação
Já vi muitos entusiastas de segurança pulando etapas cruciais na ISO 27001, tal como avaliação de risco, apenas para ir para a implementação “real” de várias salvaguardas (controles de segurança). Mas esta norma é escrita de uma forma muito sequencial, e isto é feito por uma razão muito boa: você não pode consertar algo a menos que saiba o que está quebrado.
Ou, traduzindo para o linguajar de segurança: você não deveria implementar controles a menos que existam incidentes em potencial que requeiram tal investimento; em outras palavras, primeiro você tem que realizar uma avaliação de risco de modo a encontrar quais coisas ruins podem acontecer, e então decidir quais salvaguardas você precisa para mitigar estes riscos.
Há um total de 16 etapas que você precise realizar para implementar a norma por completo – você encontrará explicações sobre estas etapas aqui: Lista de verificação para implementação da ISO 27001.
5) Escolha do organismo de certificação mais apropriado
Nem todos os organismos de certificação (também chamados de registradores) são criados de forma igual. As chances são de que você encontrará ao menos alguns deles em seu país, assim você será capaz de escolher aquele que se adequará melhor a você.
Preço é importante, claro, mas não é o único critério que você deveria usar – o que também é importante é que os auditores conheçam o seu setor de atuação, que eles tenham uma boa reputação, que eles possam certificar outras normas também, etc.; a lista prossegue – veja este artigo para mais: How to choose a certification body.
Quanto tempo levará?
Você será capaz de implementar a ISO 27001 sem tratar destes cinco elementos? Sim. Mas se você quer se certificar em um curto espaço de tempo, estes são os assuntos cruciais que você terá que cuidar.
Se você está preparado e organizado, você será capaz de implementar e certificar sua ISO 27001 entre 4 a 6 meses para uma organização pequena, em até 10 meses para uma organização de médio porte e em 12 meses ou mais para organizações de grande porte. Esta ferramenta ajudará você a calcular o tempo com mais precisão: Calculadora de Duração de Implementação da ISO 27001.
Por outro lado, se você não levar este projeto de forma séria o bastante, ele pode se tornar um daqueles projetos que parecem muito bons, mas nunca terminam.
Clique aqui para fazer o download de um modelo gratuito de uma ISO 27001 Project Proposal que ajudará você a apresentar este projeto para a sua diretoria.
Nós agradecemos a Rhand Leal pela tradução para o português.
