Caso a sua organização esteja no processo de implementação da ISO 27001 ou ISO 22301, você provavelmente deve estar considerando ir em busca da certificação. E, como você já deva saber, a certificação não é obrigatória – então deve perguntar a si mesmo uma importante questão: nós realmente precisamos da certificação?
Muitas organizações implementaram a(s) norma(s) sem partir para a certificação – exemplos óbvios são os bancos e outras instituições financeiras. Regulamentações em muitos países são tais que as organizações tem de implementar procedimentos e salvaguardas de de segurança da informação e de continuidade de negócio muito rígidas, e a maioria deles fez isso utilizando a ISO 27001 e ISO 22301. Mas, muito poucas se certificaram – elas concluíram que não havia uma justificativa de negócio para isso.
E é exatamente isso que você precisa fazer – considerar cuidadosamente se você precisa do certificado. Aqui estão algumas razões em potencial sobre o porquê a certificação poderia ser útil:
1) Marketing. Você pode utilizar o certificado para conseguir novos clientes (para participar, e.g., de concursos), ou para permanecer no negócio (e.g., todos os seus competidores tem o certificado).
2) Conformidade. Em casos raros algumas regulamentações irão requerer que você implemente a ISO 27001 ou ISO 22301, mas você pode encontrar casos onde assinará contratos com clientes que o obrigarão a implementar segurança da informação ou continuidade de negócio em conformidade com estas normas. E ao invés de se submeter aos auditores de cada um dos seus clientes que queiram verificar se você esta em conformidade com o contrato, você pode ter o auditor da certificação realizando este trabalho, e então mostrar a todos o certificado.
3) Pressão interna. Em algumas organizações, estes tipos de projetos nunca terminarão a menos que haja uma forte pressão – e.g., uma data limite definida. Então, se você acordou com o organismo de certificação uma data para a auditoria de certificação, tanto a equipe de gestão quanto os empregados terão um senso de urgência muito mais forte para a implementação.
4) Entradas objetivas. Se você quer que sua continuidade de negócio esteja realmente em alto nível, é bom contar com pessoas com alta experiência e com quem saiba comparar você com as melhores práticas da indústria. Auditores de certificação estarão mais do que felizes em auditar alguém que esteja tentando com afinco e disponibilizarão entradas sobre onde você pode melhorar.
Caso você não tenha se identificado em nenhuma destas situações, você provavelmente não precisa do certificado – você pode estar entre muitas das organizações que implementaram a ISO 27001 e/ou ISO 22301 porque estas entenderam que o maior valor está na metodologia que estas duas normas disponibilizam.
Este artigo é uma passagem do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation.
Agradecemos a Rhand Leal pela tradução para o português.