Hannah Churchman
abril 24, 2017
Com milhares de organizações certificadas pela ISO 27001, e centenas de outras trabalhando de acordo com seus princípios, organizações reconhecem os benefícios da implementação de um Sistema de Gestão de Segurança da Informação. Desde a ajuda na manutenção da conformidade legal e regulatória, até a demonstração de credibilidade e confiança aos clientes, e redução da probabilidade de uma falha de segurança, as vantagens são claras de se ver.
Para pequenas e medias empresas que são as mais prováveis de gerir seus processos de segurança da informação internamente, conseguir implementar a ISO 27001 logo na primeira tentativa é de máxima importância para os negócios e, claro, para os seus clientes. Alguns assuntos que geralmente enfrento durante o processo de implementação incluem ter ou recrutar a equipe certa para levar a cabo a implementação; produção, controle e gestão de informações; e a correta interpretação de requisitos da norma.
Em adição aos assuntos acima mencionados, neste artigo compartilharei os três desafios principais enfrentados por pequenas e médias empresas e como superá-los com sucesso.
Minha abordagem, como um dos primeiros passos da implementação, é a formação de um Comitê de Segurança da Informação: os membros do pessoal responsáveis pelo sucesso do projeto e do Sistema de Gestão da Segurança da Informação de forma geral. Os funcionários são tipicamente selecionados de várias áreas do negócio, e a responsabilidade é delegada juntamente com suas funções primárias. Ao contrário de uma organização maior, onde haveria uma equipe inteira dedicada à gestão da segurança da informação, nas PME cada membro do comitê geralmente detém outras prioridades e responsabilidades.
A chave para superar esse desafio é garantir que a alta gerência deixe clara a importância e criticidade do sistema e seus processos na organização. E o SGSI (Sistema de Gestão de Segurança da Informação) definitivamente não é apenas um complemento. Isso garante que os membros da equipe começam a ver a segurança da informação de forma tão importante quanto seus papéis do dia-a-dia. Isso pode ser feito de várias maneiras:
Para saber mais, leia o artigo Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301.
Há muitas vezes um equívoco dentro das PMEs de que a segurança da informação não nos afeta na mesma escala que as grandes corporações, como a TalkTalk (em 2016, a empresa foi atingida com uma multa £400.000 por falhas de segurança que permitiram a um cyber-atacante acessar Dados do cliente “com facilidade”, de acordo com o “Information Commissioners Office”) e Microsoft (uma preocupante vulnerabilidade de segurança foi recentemente revelada pelo Google).
No entanto, segundo pesquisa compartilhada pela Raconteur, 59% das PMEs foram vítimas de um cyber-ataque. Isso é mais da metade das PMEs. E, se as estatísticas são para se levar a sério, muitas organizações não relatam um ataque – o que significa que este número poderia ser ainda maior. Estamos igualmente – se não mais – em risco por ter essa mentalidade.
A chave para lidar com esse risco é obtendo a adesão dos funcionários em toda a organização e garantindo que os novos processos para proteger a segurança da informação sejam levados a sério. Você poderia considerar:
Saiba mais sobre os benefícios da implementação da ISO 27001 no artigo Quatro benefícios fundamentais da implementação da ISO 27001.
Responsabilidades adicionais resultam em trabalho adicional, certo? Não necessariamente.
Um exemplo disto seria a equipe de desenvolvimento sendo requerida a testar uma seleção aleatória de backups de banco de dados. Isso pode levar 15 minutos a cada semana, mas as consequências de se tentar recuperar os dados uma vez que são necessários e se descobre que o arquivo de backup está corrompido consomem muito, muito mais tempo. Colocar as situações em contexto como este ajudará a equipe a entender e apoiar os novos processos. Como mencionado acima, a realização de simulações de tais situações irá criar ainda mais impacto.
Obtenha o apoio dos empregados ao:
O artigo 5 ways to avoid overhead with ISO 27001 (and keep the costs down) pode ajudar você a entender como evitar custos indiretos.
Eu compartilhei três principais desafios acima, e gostaria de ouvir de quaisquer outros enfrentados e como estes foram geridos.
Em geral, sejam grandes ou pequenas, todas as organizações que implementam a ISO 27001 enfrentam desafios, mas o que é fundamental é como eles são superados. O tema principal deste artigo e minha contribuição como conselho é garantir que todo o pessoal compreenda a importância da norma e que estejam apoiando as alterações. Isso fará com que o resto da implementação seja executado muito mais suavemente. Boa sorte!
Use este treinamento on-line gratuito ISO 27001 Lead Implementer course para aprender sobre as etapas de implementação.
Nós agradecemos a Rhand Leal pela tradução para o português.