Rhand Leal
fevereiro 3, 2016
Produtos para implementação, manutenção, treinamento, e conhecimento para Sistemas de Gestão de Segurança da Informação (SGSI) de acordo com a norma ISO 27001.
Automatize a implementação e manutenção do seu SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSI de acordo com a ISO 27001.
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um SGSI bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de conformidade e treinamento para organizações de infraestrutura crítica para a diretiva de cibersegurança de Rede e Sistemas de Informação da União Europeia.
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com a diretiva de cibersegurança NIS 2.
Programa corporativo de treinamento para empregados e gestão sênior para conformidade com o Artigo 20 da diretiva de cibersegurança NIS 2.
Produtos de conformidade e treinamento para proteção de dados pessoais de acordo com o Regulamento Geral de Proteção de Dados da União Europeia (EU GDPR).
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com o regulamento de privacidade EU GDPR.
Cursos acreditados para indivíduos e profissionais de privacidade que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão da Qualidade (SGQ) de acordo com a norma ISO 9001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ de acordo com a ISO 9001.
Cursos acreditados para indivíduos e profissionais de qualidade que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e ao SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão Ambiental (SGA) de acordo com a norma ISO 14001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGA de acordo com a ISO 14001.
Cursos acreditados para indivíduos e profissionais ambientais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 14001 e ao SGA usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação e treinamento para Sistemas de Gestão de Saúde e Segurança Ocupacional (SGSSO) de acordo com a norma ISO 45001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSSO de acordo com a ISO 45001.
Cursos acreditados para indivíduos e profissionais de saúde & segurança que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação e treinamento para Sistemas de Gestão da Qualidade (SGQ) de dispositivos médicos de acordo com a norma ISO 13485.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ para dispositivos médicos de cordo com a norma ISO 13485.
Cursos acreditados para indivíduos e profissionais de dispositivos médicos que querem treinamento e certificação da mais alta qualidade.
Produtos de compliance para o Regulamento de Dispositivos Médicos da União Europeia (EU MDR).
Todas a políticas, procedimentos e formulários para estar em conformidade com a EU MDR.
Produtos para implementação de Sistemas de Gestão de Serviços de Tecnologia da Informação (SGSTI) de acordo com a norma ISO 20000.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSTI de acordo com a ISO 20000.
Produtos para implementação de Sistemas de Gestão de Continuidade de Negócio (SGCN) de acordo com a norma ISO 22301.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGCN de acordo com a ISO 22301.
Produtos para implementação para laboratórios de teste e calibração de acordo com a norma ISO 17025.
Todas as políticas, procedimentos e formulários requeridos para implementar a ISO 17025 em um laboratório.
Produtos para implementação de Sistemas de Gestão da Qualidade automotiva (QMS) de acordo com a norma IATF 16949.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ automotivo de acordo com a IATF 16949.
Produtos para implementação de Sistemas de Gestão da Qualidade (SGQ) aeroespacial de acordo com a norma AS9100.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ aeroespacial de acordo com a AS9100.
Produtos para implementação, manutenção, treinamento, e conhecimento para consultores.
Lide com múltiplos projetos ISO 27001 automatizando tarefas repetitivas durante a implementação do SGSI.
Todas as políticas, procedimentos e formulários requeridos para implementar várias normas e regulamentos para seus clientes.
Organize um programa corporativo de cibersegurança para os empregados do seu cliente, e apoie um programa de cibersegurança bem-sucedido.
Cursos acreditados ISO 27001, 9001, 14001, 45001, e 13485 para profissionais que querem treinamento e certificação reconhecidas da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (QMS), e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Encontre novos clientes, parceiros potenciais, e colaboradores e encontre uma comunidade de profissionais com ideias semelhantes local e globalmente.
Produtos para implementação, manutenção, treinamento, e conhecimento para a indústria de TI.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de compliance, treinamento, e conhecimento para organizações essenciais e importantes.
Documentação para estar em conformidade com a NIS 2 (cibersegurança), GDPR (privacidade), ISO 27001 (cibersegurança), e ISO 22301 (continuidade de negócio).
Programa de treinamento corporativo para empregados e gestão sênior para estar em conformidade com o Artigo 20 da diretriz de segurança NIS 2.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de manufatura.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de transporte & distribuição.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para escolas, universidades e outras organizações educacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), e GDPR (privacidade).
Programa corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes e apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para empresas de telecomunicações.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para bancos, seguradoras, e outras organizações financeiras.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersecurança), ISO 22301 (continuidade de negócio), GDPR (privacidade), e NIS 2 (ciberseurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para entidades governamentais locais, regionais e nacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para hospitais e outras organizações de saúde.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor de dispositivos médicos.
Documentação para estar em conformidade com a MDR e ISO 13485 (dispositivos médicos), ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor aeroespacial.
Documentação para estar em conformidade com a AS9100 (aeroespacial), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para a indústria automotiva.
Documentação para estar em conformidade com a IATF 16949 (automotiva), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para laboratórios.
Documentação para estar em conformidade com a ISO 17025 (laboratórios de teste e calibração) e ISO 9001 (qualidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e o SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
Pense sobre um exame médico. Nosso objetivo é que o médico nos informe que nossa saúde está ok e que viveremos um vida longa, certo? E como o médico avalia nossa saúde para determinar se estamos no caminho certo ou não? Pelo uso de vários indicadores biológicos, tais como pressão sanguínea, níveis de colesterol, frequência cardíaca, etc.
Pense agora sobre sua organização. Como você pode dizer se ela está no caminho certo para atingir seus objetivos, especificamente objetivos de segurança da informação? Este artigo mostrará alguns indicadores de desempenho chave (key performance indicators – KPIs) que você pode considerar para avaliar o desempenho de um SGSI.
Um indicador de desempenho chave (key performance indicator- KPI) é uma métrica usada para se avaliar fatores que são cruciais para o sucesso de uma organização. Ele se difere de um objetivo no fato de que um objetivo é algo que você quer atingir, enquanto que um KPI é algo usado para verificar se seus esforços estão levando você em direção do objetivo definido. Por exemplo, se 60 km/h é a meta de velocidade, o velocímetro ajuda você a atingir e manter esta velocidade. Para mais informações sobre objetivos de controle, por favor leia ISO 27001 control objectives – Why are they important?.
Em um cenário onde tomadores de decisão estão cercados por informações, e têm recursos limitados para trabalhar os objetivos, definir as mais relevantes (os KPIs) e como e quando elas deveriam ser apresentadas é uma boa forma de se ajudar a monitorar resultados e tomar decisões apropriadas.
Além da verificação se alguém está no caminho para atingir os objetivos propostos, os KPIs podem ser usados para apoiar a ISO 27001 ajudando a comunicar a importância da gestão da segurança da informação e objetivos (cláusulas 5.1.a e 6.2 da ISO 27001).
Embora existam muitos critérios que você pode usar para a seleção de um KPI (uma busca na Internet pode mostrar dúzias de opções), alguns aspectos são comuns a eles e podem tornar sua tarefa mais fácil:
Relevante ao negócio: o indicador deveria estar alinhado a objetivos claros do negócio ou requisitos legais, que torna mais fácil para as pessoas entender porque ele deveria ser medido e avaliado. A ISO 27001 tem alguns requisitos que podem ser atendidos pelo uso de indicadores relacionadosa eficácia (veja cláusulas 9.1 e 9.3) e conformidade (Anexo A.18), mas uma organização também deveria considerar indicadores de eficiência também; por exemplo, o Retorno Sobre Investimento em Segurança (ReturnOn Security Investment – ROSI) pode mostrar quão bem usados são os recursos para apoiar a cláusula 7.1.
Integrado ao processo: atividades para coletar os dados necessários para um KPI deveriam adicionar o mínimo de trabalho possível, em comparação às atividades usuais para a entrega do produto/serviço, e a informaçãonecessária (ex.: marcar uma etapa como concluída ou registrar o tempo para se realizar uma atividade) deveria estar nos mesmo formulários já usados pelo processo.
Assertivo: o indicador deveria ser capaz de localizar assuntos relevantes (ex.: etapas de processos, áreas organizacionais, recursos, etc.) que precisam de atenção. Por exemplo, um KPI relacionado ao número de falhas em tentativas de login explicitamente limitao escopo ao processo de login.
Os seguintes exemplos cobrem uma sequência completa do PDCA (Plan-Do-Check-Act / Planejar-Executar-Verificar-Atuar), mostrando como indicadores diferentes podem ser usados para se ter uma visão completa do desempenho dos processos relacionados a gestão da segurança da informação.
Percentagemde iniciativas de negócio apoia das pelo SGSI: indicador que mostra o nível de alinhamento e integração do SGSI com o negócio. Quanto mais alto o valor, mais otimizados os recursos do SGSI, uma vez que os recursos de gestão estão sendo usados sobre mais aspectos da organização. Você pode usar o Documento sobre o escopo do SGSI, comparado a todos os serviços/processos da organização, para obter esta informação.
Percentagemde iniciativas de segurança da informação contendo estimativas de custo/benefício: indicador que mostra a maturidade da organizaçãono tratamento de riscos. Quanto maior o valor, mais decisões de tratamento de riscossão baseadas em fatos. Você pode usar o Relatório de avaliação de riscos e o Plano de tratamento de riscos, comparados a todas as iniciativas de segurança implementadas, para obter esta informação.
Percentagem de acordos com cláusulas de segurança da informação: indicador que mostra como serviços e produtos, providos por você ou fornecidos a você, estão legalmente apoiados considerando aspectos de segurança da informação (ex.:disponibilidade, confidencialidade, integridade e continuidade). Quanto maior o valor, melhor suportadas estão suas relações com clientes e fornecedores. Você pode usar Acordos de Não Divulgação e SLAs com cláusulas de segurança da informação, comparados com todos os acordos relacionados a serviços e produtos, para obter esta informação.
Número de quedas de serviço relacionadas à segurança da informação: quedas relacionadas a assuntos de segurança da informação refletem diretamente a eficácia do SGSI. Esta informação pode ser obtida de relatórios operacionais.
Duração de interrupções de serviço: tão importante quando o número de quedas, a duração média das interrupções é uma medida importante da eficácia do SGSI. Esta informação pode ser obtida de relatórios operacionais.
Tempo de resolução de incidente: outra medida importante da eficácia do SGSI, esta informação pode ser obtida de relatórios operacionais.
Percentagem de avaliações de controles realizadas: indicador que dá a você uma visão de quantas medidas de segurança estão sendo revisadas. Quanto maior o valor, mais controles estão sendo analisados em termos de eficácia, eficiência e oportunidades de melhoria (assumindo que as avaliações são realizadas de acordo com a ISO 27001). Você pode usar o Plano de tratamento de riscos, comparadoao Planos de Treinamento, Registro de incidentes, Relatório de Auditoria e Minutas de Revisão da Gestão, para obter esta informação.
Númerode iniciativas de melhoria: indicador que mostra a proatividade do SGSI de uma organização com relação a mudanças no ambiente e oportunidades identificadas. Mudanças com o objetivo de melhorar resultados ou prevenir perdas, ao invés de corrigir erros ou problemas, são bons exemplos que refletem um alto valor neste KPI. Você pode usar os Relatório de Auditoria e Minutas de Revisão da Gestão para obter esta informação.
Organizações estão sob constante pressão para atingir resultados, e para fazer isso, é essencial contar com instrumentos de navegação apropriados que possam mostrar a elas se estão ou não no curso certo e permitir ajustes em tempo hábil. Mas também é essencial que estes instrumentos sejam bem escolhidos e calibrados, caso contrário você pode se encontrar atacando os problemas errados e transformando uma situação ruim em algo pior.
Para aprender mais sobre a avaliação de desempenho na ISO 27001, por favor veja nosso ISO 27001:2013 Foundations Course gratuitamente.
Nós agradecemos a Rhand Leal pela tradução para o português.
Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.
Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.
Você pode cancelar sua inscrção a qualquer momento. Para mais informações por favor veja nosso aviso de privacidade.