{"id":11177,"date":"2017-04-24T16:01:47","date_gmt":"2017-04-24T16:01:47","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=11177"},"modified":"2022-07-17T15:43:15","modified_gmt":"2022-07-17T15:43:15","slug":"3-desafios-chave-para-a-implementacao-da-iso-27001-em-pmes","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2017\/04\/24\/3-desafios-chave-para-a-implementacao-da-iso-27001-em-pmes\/","title":{"rendered":"3 desafios chave para a implementa\u00e7\u00e3o da ISO 27001 em PMEs"},"content":{"rendered":"<p>Com milhares de organiza\u00e7\u00f5es certificadas pela\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>, e centenas de outras trabalhando de acordo com seus princ\u00edpios, organiza\u00e7\u00f5es reconhecem os benef\u00edcios da implementa\u00e7\u00e3o de um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o. Desde a ajuda na manuten\u00e7\u00e3o da conformidade legal e regulat\u00f3ria, at\u00e9 a demonstra\u00e7\u00e3o de credibilidade e confian\u00e7a aos clientes, e redu\u00e7\u00e3o da probabilidade de uma falha de seguran\u00e7a, as vantagens s\u00e3o claras de se ver.<\/p>\n<p>Para pequenas e medias empresas que s\u00e3o as mais prov\u00e1veis de gerir seus processos de seguran\u00e7a da informa\u00e7\u00e3o internamente, conseguir implementar a ISO 27001 logo na primeira tentativa \u00e9 de m\u00e1xima import\u00e2ncia para os neg\u00f3cios e, claro, para os seus clientes. Alguns assuntos que geralmente enfrento durante o processo de implementa\u00e7\u00e3o incluem ter ou recrutar a equipe certa para levar a cabo a implementa\u00e7\u00e3o; produ\u00e7\u00e3o, controle e gest\u00e3o de informa\u00e7\u00f5es; e a correta interpreta\u00e7\u00e3o de requisitos da norma.<\/p>\n<p>Em adi\u00e7\u00e3o aos assuntos acima mencionados, neste artigo compartilharei os tr\u00eas desafios principais enfrentados por pequenas e m\u00e9dias empresas e como super\u00e1-los com sucesso.<\/p>\n<h2>1) \u2018Eu tenho coisas mais importantes para fazer.\u2019<\/h2>\n<p>Minha abordagem, como um dos primeiros passos da implementa\u00e7\u00e3o, \u00e9 a forma\u00e7\u00e3o de um Comit\u00ea de Seguran\u00e7a da Informa\u00e7\u00e3o: os membros do pessoal respons\u00e1veis pelo sucesso do projeto e do Sistema de Gest\u00e3o da Seguran\u00e7a da Informa\u00e7\u00e3o de forma geral. Os funcion\u00e1rios s\u00e3o tipicamente selecionados de v\u00e1rias \u00e1reas do neg\u00f3cio, e a responsabilidade \u00e9 delegada juntamente com suas fun\u00e7\u00f5es prim\u00e1rias. Ao contr\u00e1rio de uma organiza\u00e7\u00e3o maior, onde haveria uma equipe inteira dedicada \u00e0 gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o, nas PME cada membro do comit\u00ea geralmente det\u00e9m outras prioridades e responsabilidades.<\/p>\n<p>A chave para superar esse desafio \u00e9 garantir que a alta ger\u00eancia deixe clara a import\u00e2ncia e criticidade do sistema e seus processos na organiza\u00e7\u00e3o. E o SGSI (Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o) definitivamente n\u00e3o \u00e9 apenas um complemento. Isso garante que os membros da equipe come\u00e7am a ver a seguran\u00e7a da informa\u00e7\u00e3o de forma t\u00e3o importante quanto seus pap\u00e9is do dia-a-dia. Isso pode ser feito de v\u00e1rias maneiras:<\/p>\n<ul>\n<li>Incluindo as responsabilidades de seguran\u00e7a da informa\u00e7\u00e3o claramente dentro das descri\u00e7\u00f5es de trabalho dos empregados<\/li>\n<li>Definindo <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-do-sistema-de-gestao-da-seguranca-da-informacao\/\" target=\"_blank\" rel=\"noopener noreferrer\">objetivos de seguran\u00e7a da informa\u00e7\u00e3o<\/a>\u00a0mensur\u00e1veis com responsabilidades e prazos definidos<\/li>\n<li>Designando um embaixador de seguran\u00e7a da informa\u00e7\u00e3o dentro de cada fun\u00e7\u00e3o do neg\u00f3cio<\/li>\n<\/ul>\n<p>Para saber mais, leia o artigo\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/05\/20\/como-realizar-treinamento-e-conscientizacao-para-a-iso-27001-e-iso-22301\/\">Como realizar treinamento e conscientiza\u00e7\u00e3o para a ISO 27001 e ISO 22301<\/a>.<\/p>\n<h2>2) \u2018Por que isto importa para n\u00f3s?\u2019<\/h2>\n<p>H\u00e1 muitas vezes um equ\u00edvoco dentro das PMEs de que a seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o nos afeta na mesma escala que as grandes corpora\u00e7\u00f5es, como a TalkTalk (em 2016, a empresa foi atingida com uma multa \u00a3400.000 por falhas de seguran\u00e7a que permitiram a um cyber-atacante acessar Dados do cliente &#8220;com facilidade&#8221;, de acordo com o \u201cInformation Commissioners Office\u201d) e Microsoft (uma preocupante vulnerabilidade de seguran\u00e7a foi recentemente revelada pelo Google).<\/p>\n<p>No entanto, segundo pesquisa compartilhada pela Raconteur, 59% das PMEs foram v\u00edtimas de um cyber-ataque. Isso \u00e9 mais da metade das PMEs. E, se as estat\u00edsticas s\u00e3o para se levar a s\u00e9rio, muitas organiza\u00e7\u00f5es n\u00e3o relatam um ataque &#8211; o que significa que este n\u00famero poderia ser ainda maior. Estamos igualmente &#8211; se n\u00e3o mais &#8211; em risco por ter essa mentalidade.<\/p>\n<p>A chave para lidar com esse risco \u00e9 obtendo a ades\u00e3o dos funcion\u00e1rios em toda a organiza\u00e7\u00e3o e garantindo que os novos processos para proteger a seguran\u00e7a da informa\u00e7\u00e3o sejam levados a s\u00e9rio. Voc\u00ea poderia considerar:<\/p>\n<ul>\n<li>Ministrar sess\u00f5es de <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/plano-de-treinamento-e-conscientizacao\/\" target=\"_blank\" rel=\"noopener noreferrer\">treinamento e conscientiza\u00e7\u00e3o<\/a>\u00a0para a equipe<\/li>\n<li>Simular uma falha de seguran\u00e7a e descrever os impactos que ela teria<\/li>\n<li><a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/anexo-1-tabela-de-avaliacao-de-riscos\/\" target=\"_blank\" rel=\"noopener noreferrer\">Avaliar os riscos<\/a>\u00a0e implementar medidas de acordo \u2013 pessoas est\u00e3o menos propensas a fazer algo se elas pensam que o que elas est\u00e3o fazendo \u00e9 contra as regras<\/li>\n<\/ul>\n<p>Saiba mais sobre os benef\u00edcios da implementa\u00e7\u00e3o da ISO 27001 no artigo <a href=\"\/27001academy\/pt-br\/knowledgebase\/quatro-beneficios-fundamentais-da-implementacao-da-iso-27001\/\">Quatro benef\u00edcios fundamentais da implementa\u00e7\u00e3o da ISO 27001<\/a>.<\/p>\n<h2>3) \u2018Isso levar\u00e1 muito tempo\u2019<\/h2>\n<p>Responsabilidades adicionais resultam em trabalho adicional, certo? N\u00e3o necessariamente.<\/p>\n<p>Um exemplo disto seria a equipe de desenvolvimento sendo requerida a testar uma sele\u00e7\u00e3o aleat\u00f3ria de backups de banco de dados. Isso pode levar 15 minutos a cada semana, mas as consequ\u00eancias de se tentar recuperar os dados uma vez que s\u00e3o necess\u00e1rios e se descobre que o arquivo de backup est\u00e1 corrompido consomem muito, muito mais tempo. Colocar as situa\u00e7\u00f5es em contexto como este ajudar\u00e1 a equipe a entender e apoiar os novos processos. Como mencionado acima, a realiza\u00e7\u00e3o de simula\u00e7\u00f5es de tais situa\u00e7\u00f5es ir\u00e1 criar ainda mais impacto.<\/p>\n<p>Obtenha o apoio dos empregados ao:<\/p>\n<ul>\n<li>Demonstrar o tempo que poderia ser gasto na retifica\u00e7\u00e3o de incidentes, em vez de implementar medidas proativas, ao coloca-la no contexto do papel deles<\/li>\n<li>Envolver os funcion\u00e1rios no desenvolvimento das novas medidas e acordar uma carga de trabalho manej\u00e1vel; as pessoas s\u00e3o muito mais suscept\u00edveis \u00e0 mudan\u00e7a se estiverem envolvidas no processo de desenvolvimento<\/li>\n<li>Explicar os custos e at\u00e9 mesmo os riscos de encerramento da empresa devido a viola\u00e7\u00f5es da seguran\u00e7a da informa\u00e7\u00e3o<\/li>\n<\/ul>\n<p>O artigo\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/blog\/2012\/06\/19\/5-ways-to-avoid-overhead-with-iso-27001-and-keep-the-costs-down\/\" target=\"_blank\" rel=\"noopener noreferrer\">5 ways to avoid overhead with ISO 27001 (and keep the costs down)<\/a>\u00a0pode ajudar voc\u00ea a entender como evitar custos indiretos.<\/p>\n<h2>Superando desafios na implementa\u00e7\u00e3o da ISO 27001<\/h2>\n<p>Eu compartilhei tr\u00eas principais desafios acima, e gostaria de ouvir de quaisquer outros enfrentados e como estes foram geridos.<\/p>\n<p>Em geral, sejam grandes ou pequenas, todas as organiza\u00e7\u00f5es que implementam a ISO 27001 enfrentam desafios, mas o que \u00e9 fundamental \u00e9 como eles s\u00e3o superados. O tema principal deste artigo e minha contribui\u00e7\u00e3o como conselho \u00e9 garantir que todo o pessoal compreenda a import\u00e2ncia da norma e que estejam apoiando as altera\u00e7\u00f5es. Isso far\u00e1 com que o resto da implementa\u00e7\u00e3o seja executado muito mais suavemente. Boa sorte!<\/p>\n<p><em>Use este treinamento on-line gratuito<\/em> <a href=\"https:\/\/advisera.com\/training\/iso-27001-lead-implementer-course\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001 Lead Implementer course<\/a><em> para aprender sobre as etapas de implementa\u00e7\u00e3o<\/em>.<\/p>\n<p>N\u00f3s agradecemos a\u00a0<a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener noreferrer\">Rhand Leal<\/a>\u00a0pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Com milhares de organiza\u00e7\u00f5es certificadas pela\u00a0ISO 27001, e centenas de outras trabalhando de acordo com seus princ\u00edpios, organiza\u00e7\u00f5es reconhecem os benef\u00edcios da implementa\u00e7\u00e3o de um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o. Desde a ajuda na manuten\u00e7\u00e3o da conformidade legal e regulat\u00f3ria, at\u00e9 a demonstra\u00e7\u00e3o de credibilidade e confian\u00e7a aos clientes, e redu\u00e7\u00e3o da probabilidade &#8230;<\/p>\n","protected":false},"author":51,"featured_media":11179,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[],"class_list":["post-11177","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/11177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/51"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=11177"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/11177\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/11179"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=11177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=11177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=11177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}