Hannah Churchman Com milhares de organizações certificadas pela ISO 27001, e centenas de outras trabalhando de acordo com seus princípios, organizações reconhecem os benefícios da implementação de um Sistema de Gestão de Segurança da Informação. Desde a ajuda na manutenção da conformidade legal e regulatória, até a demonstração de credibilidade e confiança aos clientes, e redução da probabilidade de uma falha de segurança, as vantagens são claras de se ver.
Para pequenas e medias empresas que são as mais prováveis de gerir seus processos de segurança da informação internamente, conseguir implementar a ISO 27001 logo na primeira tentativa é de máxima importância para os negócios e, claro, para os seus clientes. Alguns assuntos que geralmente enfrento durante o processo de implementação incluem ter ou recrutar a equipe certa para levar a cabo a implementação; produção, controle e gestão de informações; e a correta interpretação de requisitos da norma.
Em adição aos assuntos acima mencionados, neste artigo compartilharei os três desafios principais enfrentados por pequenas e médias empresas e como superá-los com sucesso.
1) ‘Eu tenho coisas mais importantes para fazer.’
Minha abordagem, como um dos primeiros passos da implementação, é a formação de um Comitê de Segurança da Informação: os membros do pessoal responsáveis pelo sucesso do projeto e do Sistema de Gestão da Segurança da Informação de forma geral. Os funcionários são tipicamente selecionados de várias áreas do negócio, e a responsabilidade é delegada juntamente com suas funções primárias. Ao contrário de uma organização maior, onde haveria uma equipe inteira dedicada à gestão da segurança da informação, nas PME cada membro do comitê geralmente detém outras prioridades e responsabilidades.
A chave para superar esse desafio é garantir que a alta gerência deixe clara a importância e criticidade do sistema e seus processos na organização. E o SGSI (Sistema de Gestão de Segurança da Informação) definitivamente não é apenas um complemento. Isso garante que os membros da equipe começam a ver a segurança da informação de forma tão importante quanto seus papéis do dia-a-dia. Isso pode ser feito de várias maneiras:
- Incluindo as responsabilidades de segurança da informação claramente dentro das descrições de trabalho dos empregados
- Definindo objetivos de segurança da informação mensuráveis com responsabilidades e prazos definidos
- Designando um embaixador de segurança da informação dentro de cada função do negócio
Para saber mais, leia o artigo Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301.
2) ‘Por que isto importa para nós?’
Há muitas vezes um equívoco dentro das PMEs de que a segurança da informação não nos afeta na mesma escala que as grandes corporações, como a TalkTalk (em 2016, a empresa foi atingida com uma multa £400.000 por falhas de segurança que permitiram a um cyber-atacante acessar Dados do cliente “com facilidade”, de acordo com o “Information Commissioners Office”) e Microsoft (uma preocupante vulnerabilidade de segurança foi recentemente revelada pelo Google).
No entanto, segundo pesquisa compartilhada pela Raconteur, 59% das PMEs foram vítimas de um cyber-ataque. Isso é mais da metade das PMEs. E, se as estatísticas são para se levar a sério, muitas organizações não relatam um ataque – o que significa que este número poderia ser ainda maior. Estamos igualmente – se não mais – em risco por ter essa mentalidade.
A chave para lidar com esse risco é obtendo a adesão dos funcionários em toda a organização e garantindo que os novos processos para proteger a segurança da informação sejam levados a sério. Você poderia considerar:
- Ministrar sessões de treinamento e conscientização para a equipe
- Simular uma falha de segurança e descrever os impactos que ela teria
- Avaliar os riscos e implementar medidas de acordo – pessoas estão menos propensas a fazer algo se elas pensam que o que elas estão fazendo é contra as regras
Saiba mais sobre os benefícios da implementação da ISO 27001 no artigo Quatro benefícios fundamentais da implementação da ISO 27001.
3) ‘Isso levará muito tempo’
Responsabilidades adicionais resultam em trabalho adicional, certo? Não necessariamente.
Um exemplo disto seria a equipe de desenvolvimento sendo requerida a testar uma seleção aleatória de backups de banco de dados. Isso pode levar 15 minutos a cada semana, mas as consequências de se tentar recuperar os dados uma vez que são necessários e se descobre que o arquivo de backup está corrompido consomem muito, muito mais tempo. Colocar as situações em contexto como este ajudará a equipe a entender e apoiar os novos processos. Como mencionado acima, a realização de simulações de tais situações irá criar ainda mais impacto.
Obtenha o apoio dos empregados ao:
- Demonstrar o tempo que poderia ser gasto na retificação de incidentes, em vez de implementar medidas proativas, ao coloca-la no contexto do papel deles
- Envolver os funcionários no desenvolvimento das novas medidas e acordar uma carga de trabalho manejável; as pessoas são muito mais susceptíveis à mudança se estiverem envolvidas no processo de desenvolvimento
- Explicar os custos e até mesmo os riscos de encerramento da empresa devido a violações da segurança da informação
O artigo 5 ways to avoid overhead with ISO 27001 (and keep the costs down) pode ajudar você a entender como evitar custos indiretos.
Superando desafios na implementação da ISO 27001
Eu compartilhei três principais desafios acima, e gostaria de ouvir de quaisquer outros enfrentados e como estes foram geridos.
Em geral, sejam grandes ou pequenas, todas as organizações que implementam a ISO 27001 enfrentam desafios, mas o que é fundamental é como eles são superados. O tema principal deste artigo e minha contribuição como conselho é garantir que todo o pessoal compreenda a importância da norma e que estejam apoiando as alterações. Isso fará com que o resto da implementação seja executado muito mais suavemente. Boa sorte!
Use este treinamento on-line gratuito ISO 27001 Lead Implementer course para aprender sobre as etapas de implementação.
Nós agradecemos a Rhand Leal pela tradução para o português.
