Get 4 FREE months of Conformio to implement ISO 27001

Sua organização deve buscar a certificação ISO 27001 ou ISO 22301?

Caso a sua organização esteja no processo de implementação da ISO 27001 ou ISO 22301, você provavelmente deve estar considerando ir em busca da certificação. E, como você já deva saber, a certificação não é obrigatória – então deve perguntar a si mesmo uma importante questão: nós realmente precisamos da certificação?

Muitas organizações implementaram a(s) norma(s) sem partir para a certificação – exemplos óbvios são os bancos e outras instituições financeiras. Regulamentações em muitos países são tais que as organizações tem de implementar procedimentos e salvaguardas de de segurança da informação e de continuidade de negócio muito rígidas, e a maioria deles fez isso utilizando a ISO 27001 e ISO 22301. Mas, muito poucas se certificaram – elas concluíram que não havia uma justificativa de negócio para isso.

E é exatamente isso que você precisa fazer – considerar cuidadosamente se você precisa do certificado. Aqui estão algumas razões em potencial sobre o porquê a certificação poderia ser útil:

1) Marketing. Você pode utilizar o certificado para conseguir novos clientes (para participar, e.g., de concursos), ou para permanecer no negócio (e.g., todos os seus competidores tem o certificado).

2) Conformidade. Em casos raros algumas regulamentações irão requerer que você implemente a ISO 27001 ou ISO 22301, mas você pode encontrar casos onde assinará contratos com clientes que o obrigarão a implementar segurança da informação ou continuidade de negócio em conformidade com estas normas. E ao invés de se submeter aos auditores de cada um dos seus clientes que queiram verificar se você esta em conformidade com o contrato, você pode ter o auditor da certificação realizando este trabalho, e então mostrar a todos o certificado.

3) Pressão interna. Em algumas organizações, estes tipos de projetos nunca terminarão a menos que haja uma forte pressão – e.g., uma data limite definida. Então, se você acordou com o organismo de certificação uma data para a auditoria de certificação, tanto a equipe de gestão quanto os empregados terão um senso de urgência muito mais forte para a implementação.

4) Entradas objetivas. Se você quer que sua continuidade de negócio esteja realmente em alto nível, é bom contar com pessoas com alta experiência e com quem saiba comparar você com as melhores práticas da indústria. Auditores de certificação estarão mais do que felizes em auditar alguém que esteja tentando com afinco e disponibilizarão entradas sobre onde você pode melhorar.

Caso você não tenha se identificado em nenhuma destas situações, você provavelmente não precisa do certificado – você pode estar entre muitas das organizações que implementaram a ISO 27001 e/ou ISO 22301 porque estas entenderam que o maior valor está na metodologia que estas duas normas disponibilizam.

Este artigo é uma passagem do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation.

Agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.