Wolfgang Mahr Implementar normas de sistemas de gestão ISO, mesmo com a ajuda de kits de implementação e consultores, pode ser uma tarefa desafiadora. Na prática, às vezes parece apropriado melhorar a prontidão e a proteção em várias áreas de uma organização, cobrindo múltiplos processos e disciplinas. Embora seja desejável uma abordagem orientada para a segurança que exija uma proteção imediata contra uma grande variedade de ameaças (isto é, a implementação simultânea de ambas as normas ao mesmo tempo), as limitações práticas exigem, na maioria das vezes, uma abordagem sequencial (implementação da primeira das duas normas, então a outra).
Quando implementar a segurança da informação primeiro
Esta pode ser a conclusão em indústrias pesadas de TI em organizações orientadas para o comércio e serviços. Se os principais resultados de tal organização são predominantemente serviços e não produtos físicos, isso pode ser uma indicação de que a tecnologia da informação é crucialmente importante para proporcionar valor agregado.
Exemplos podem ser empresas de telecomunicações, instituições financeiras, companhias de seguros, sites de comércio eletrônico, etc. Essas organizações têm em comum que o processamento e armazenamento de informações são extremamente importantes para a operação. Perda ou vazamento de informações, não disponibilidade de informações ou perda de integridade da informação deve ser evitada, a fim de criar valor para os clientes e preservar a confiança na organização.
Como há uma tendência para uma crescente ameaça aos ativos de dados e informação (interferência voluntária e intencional com e destruição desses ativos), como negação de acesso a sites, bloqueio de acesso, roubo de dados e / ou chantagem, colocar mais prioridade na segurança da informação como medida de precaução será cada vez mais importante no futuro.
Leia o artigo Lista de verificação para implementação da ISO 27001 para ver as etapas de implementação da ISO 27001.
Quando implementar a continuidade de negócio primeiro
Em indústrias e organizações onde o processamento de informações é a espinha dorsal necessária da operação, mas onde uma análise de impacto revela que processos e recursos importantes (que suportam produtos e serviços chave) dependem de outros insumos além da TI, enfrentamos um desafio diferente. Apenas “consertar” a TI ou a segurança da informação pode deixar muitos outros processos e recursos vulneráveis a ameaças não relacionadas a TI.
Se optarmos por um olhar mais atento a uma empresa de manufatura típica, mesmo antes de realizar uma análise de impacto nos negócios, veremos processos de matérias-primas ou produtos semiacabados fluindo para o local de produção, veremos as instalações de produção no centro da organização, e existe um fluxo de produtos para instalações de armazenamento (armazéns) e / ou transporte just-in-time para clientes ou instalações de fabricação subsequentes. Embora este processo na maioria dos casos seja suportado por recursos de TI, existem certamente outras ameaças para este processo de produção. Em resumo, a organização depende de fornecedores e de uma cadeia de suprimentos; as instalações de produção e armazenagem podem ser ameaçadas por fogo, inundação, sabotagem, etc.; e a cadeia de entrega também precisará ser protegida.
Se operar em uma área que experimenta um aumento de riscos naturais, tais como tempestades, incêndios ou inundações, uma implementação imediata de medidas de continuidade de negócios pode ser de primordial importância. O mesmo vale se uma análise de ameaças e vulnerabilidades tiver mostrado que a organização vai enfrentar ameaças crescentes de sabotagem física ou terrorismo.
Leia o artigo 17 steps for implementing ISO 22301 para tornar sua implementação da ISO 22301 mais fácil.
Quando implementar ambos os sistemas ao mesmo tempo?
Caso sua organização não esteja claramente em uma das categorias descritas acima (ou se você simplesmente não pode decidir), você pode tentar uma implementação combinada. Embora isso pareça loucura ou algo excessivo em primeiro lugar, existem sinergias óbvias ao tentar executar uma implementação simultânea.
Por quê? Normas modernas de sistemas de gestão ISO foram concebidas para serem quase idênticas em termos de estrutura. Por exemplo, as principais partes das normas são gerais e não específicas para sistemas de gestão. Isso significa que os procedimentos a seguir para a implementação são muito semelhantes e implementar duas normas de forma quase simultânea resulta em um esforço de implementação significativamente reduzido. Além disso, ferramentas modernas de implementação e kits de implementação oferecem excelente suporte para o gerenciamento da implementação.
Veja o webinar gratuito ISO 27001 & ISO 22301: Why is it better to implement them together? saber mais sobre a implementação de ambos as normas.
Como decidir?
Se a sua organização enfrenta uma infinidade de ameaças que não são de TI (cada uma delas sendo capaz de parar as operações), e se sua TI está apenas apoiando seus processos de negócios, você pode obter mais “retorno pelo seu esforço” focando na implementação de um Sistema de Gestão de Continuidade de Negócio, baseado na ISO 22301.
Por outro lado, se você não está oferecendo produtos físicos, mas apenas lida com produtos digitais e os processos de tecnologia da informação são o coração de sua organização – você deveria implementar um Sistema de Gestão de Segurança da Informação de acordo com a ISO 27001 assim que razoavelmente possível.
A maioria das organizações encontra-se em algum lugar no meio destas situações, o que significa que a implementação de um SGCN com um tratamento abrangente de questões de segurança da informação pode constituir uma abordagem completamente razoável, afinal.
Use este Plano do projeto para implementação da ISO 27001 / ISO 22301 gratuito para definir as etapas e o cronograma de implementação.
Nós agradecemos a Rhand Leal pela tradução para o português.
