{"id":4650,"date":"2013-10-23T09:31:27","date_gmt":"2013-10-23T09:31:27","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/013\/10\/23\/como-abordar-as-principais-preocupacoes-envolvendo-a-implementacao-da-iso-27001\/"},"modified":"2022-07-17T15:43:42","modified_gmt":"2022-07-17T15:43:42","slug":"como-abordar-as-principais-preocupacoes-envolvendo-a-implementacao-da-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2013\/10\/23\/como-abordar-as-principais-preocupacoes-envolvendo-a-implementacao-da-iso-27001\/","title":{"rendered":"Como abordar as principais preocupa\u00e7\u00f5es envolvendo a implementa\u00e7\u00e3o da ISO 27001"},"content":{"rendered":"

Semana passada eu apresentei dois webinars sobre ISO 27001<\/a>, e solicitei aos participantes que me enviassem suas principais preocupa\u00e7\u00f5es a respeito da implementa\u00e7\u00e3o da ISO 27001 antes que os webinars fossem realizados.<\/p>\n

Eu resumi as preocupa\u00e7\u00f5es mais comuns nas cinco \u00e1reas apresentadas a seguir \u2013 eu as apresentei nos webinars, e aqui est\u00e1 uma explica\u00e7\u00e3o mais detalhada sobre como eu entendo que elas deveriam ser abordadas:<\/p>\n

1) O esfor\u00e7o requerido para realizar a transi\u00e7\u00e3o da vers\u00e3o 2005 para a 27001 vers\u00e3o 2013<\/h2>\n

\u00c9 verdade que cada organiza\u00e7\u00e3o certificada pela ISO 27001:2005 ter\u00e1 de realizar a transi\u00e7\u00e3o para a vers\u00e3o 2013 dentro de dois anos, e \u00e9 verdade que a vers\u00e3o 2013 possui novos requisitos, enquanto alguns foram eliminados. Tamb\u00e9m \u00e9 verdade que este processo n\u00e3o ser\u00e1 finalizado em algumas horas, mas certamente n\u00e3o ser\u00e1 nada perto do esfor\u00e7o inicial para implementa\u00e7\u00e3o da norma.<\/p>\n

A chave encontra-se em um planejamento cuidadoso \u2013 se voc\u00ea souber exatamente quais passos precisa tomar, voc\u00ea reduzir\u00e1 este esfor\u00e7o de transi\u00e7\u00e3o ao m\u00ednimo. Com isto em mente, leia meu artigo Como fazer a transi\u00e7\u00e3o da ISO 27001 vers\u00e3o 2005 para a vers\u00e3o 2013<\/a>.<\/p>\n

2) Comunicar com sucesso uma raz\u00e3o ben\u00e9fica de por que uma organiza\u00e7\u00e3o deveria implementar a ISO 27001<\/h2>\n

A chave \u00e9 determinar benef\u00edcios para o aspecto de neg\u00f3cio da organiza\u00e7\u00e3o \u2013 benef\u00edcios que s\u00e3o facilmente entendidos e que claramente agregam valor ao neg\u00f3cio, n\u00e3o para a TI. Isto porque, no final das contas, a decis\u00e3o sobre a ISO 27001 n\u00e3o ser\u00e1 feita pelo respons\u00e1vel pelo departamento de TI, e sim pela administra\u00e7\u00e3o s\u00eanior da organiza\u00e7\u00e3o.<\/p>\n

Na minha opini\u00e3o, existem quatro benef\u00edcios potenciais que podem ser aplicados \u00e0s organiza\u00e7\u00f5es: (1) conformidade, (2) vantagem mercadol\u00f3gica, (3) redu\u00e7\u00e3o de custos, e (4) otimiza\u00e7\u00e3o de processos. Clique aqui para ler os detalhes: Quatro benef\u00edcios chave da implementa\u00e7\u00e3o da ISO 27001<\/a>.<\/p>\n

3) Definir um processo de levantamento e tratamento de riscos adequado e pragm\u00e1tico<\/h2>\n

Primeiro de tudo, levantamento e tratamento de risco n\u00e3o pode ser realizado baixando um arquivo que voc\u00ea encontrou em algum lugar na Internet, ou atrav\u00e9s do uso da primeira ferramenta que voc\u00ea encontrou. A gest\u00e3o de risco precisa ser feita baseada em uma metodologia de levantamento e tratamento de risco que esteja adaptada ao tamanho de sua organiza\u00e7\u00e3o, seus v\u00e1rios requisitos e a sensitividade da informa\u00e7\u00e3o que voc\u00ea possui.<\/p>\n

Muitas vezes tenho visto pequenas organiza\u00e7\u00f5es utilizando uma ferramenta de levantamento de risco que \u00e9 feita para grandes organiza\u00e7\u00f5es, apenas para perceber que eles gastaram seis meses para realizar um trabalho que poderiam ter terminado em um m\u00eas, e com resultados question\u00e1veis. Entretanto, antes de iniciar seu processo de gest\u00e3o de riscos, voc\u00ea precisa encontrar uma metodologia apropriada que definir\u00e1 como identificar os principais elementos dos seus riscos (ativos, amea\u00e7as e vulnerabilidades) e quais escalas voc\u00ea usar\u00e1 para avaliar as consequ\u00eancias e a probabilidade. Registre-se para este webinar para mais informa\u00e7\u00f5es: The basics of risk assessment and treatment according to ISO 27001<\/a>.<\/p>\n

4) Os recursos requeridos para manter a certifica\u00e7\u00e3o<\/h2>\n

Eu temo que esta preocupa\u00e7\u00e3o mostre-se como um dos principais mitos sobre a ISO 27001 \u2013 de que os documentos s\u00e3o escritos apenas para fins de certifica\u00e7\u00e3o. Deixe-me dar um exemplo \u2013 se voc\u00ea desenvolve uma pol\u00edtica de Backup porque implementa a ISO 27001, voc\u00ea ir\u00e1 necessitar de recursos adicionais apenas porque agora est\u00e1 em conformidade com esta pol\u00edtica? Ou, quer apenas deixar claro para todos como ele \u00e9 realizado, caso j\u00e1 venha realizando seu backup normalmente, antes de escrever a pol\u00edtica?<\/p>\n

Meu ponto \u00e9 \u2013 voc\u00ea n\u00e3o deveria escrever o documento por causa do auditor \u2013 voc\u00ea tem que escrev\u00ea-los por voc\u00ea. E caso voc\u00ea fa\u00e7a isso, n\u00e3o existem recursos adicionais requeridos porque tais regras s\u00e3o parte da sua rotina di\u00e1ria; em alguns casos voc\u00ea at\u00e9 mesmo ter\u00e1 menos trabalho porque alguns problemas (isto \u00e9, incidentes de seguran\u00e7a) n\u00e3o acontecer\u00e3o novamente..<\/p>\n

5) Quanto tempo o SGSI tomar\u00e1 das minhas atividades principais?<\/h2>\n

A resposta para esta quest\u00e3o \u00e9 muito similar a da quest\u00e3o anterior, mas eu adicionaria que, claro, voc\u00ea precisar\u00e1 de algu\u00e9m para coordenar todos os esfor\u00e7os de seguran\u00e7a da informa\u00e7\u00e3o em sua organiza\u00e7\u00e3o. Mas se voc\u00ea tem, por exemplo, 50 empregados, estes ir\u00e3o requerer talvez um par de horas de trabalho por semana, de forma que isto pode ser a atividade de algu\u00e9m em paralelo com seu trabalho normal. Somente quando voc\u00ea passa o n\u00famero de 1.000 empregados em uma organiza\u00e7\u00e3o \u00e9 que voc\u00ea deveria considerar um respons\u00e1vel pela seguran\u00e7a em tempo integral \u2013 mas este profissional de seguran\u00e7a da informa\u00e7\u00e3o provavelmente economizar\u00e1 a voc\u00ea tanto dinheiro ao prevenir incidentes que esta decis\u00e3o certamente valer\u00e1 a pena.<\/p>\n

Clique aqui para se registrar para um webinar gratuito<\/em> ISO 27001: An overview of ISMS implementation process<\/a>.<\/p>\n

N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Semana passada eu apresentei dois webinars sobre ISO 27001, e solicitei aos participantes que me enviassem suas principais preocupa\u00e7\u00f5es a respeito da implementa\u00e7\u00e3o da ISO 27001 antes que os webinars fossem realizados. Eu resumi as preocupa\u00e7\u00f5es mais comuns nas cinco \u00e1reas apresentadas a seguir \u2013 eu as apresentei nos webinars, e aqui est\u00e1 uma explica\u00e7\u00e3o …<\/p>\n","protected":false},"author":26,"featured_media":4651,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4650","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4650","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4650"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4650\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4651"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4650"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4650"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4650"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}