Uploaded by WOG

3 desafios chave para a implementação da ISO 27001 em PMEs

advertisement
3 desafios chave para a implementação da ISO 27001
em PMEs
advisera.com/27001academy/pt-br/blog/2017/04/24/3-desafios-chave-para-a-implementacao-da-iso-27001-empmes
Blog ISO 27001 e ISO 22301
Hannah Churchman
abril 24, 2017
Com milhares de organizações certificadas pela ISO 27001, e centenas de outras
trabalhando de acordo com seus princípios, organizações reconhecem os benefícios da
implementação de um Sistema de Gestão de Segurança da Informação. Desde a ajuda na
manutenção da conformidade legal e regulatória, até a demonstração de credibilidade e
confiança aos clientes, e redução da probabilidade de uma falha de segurança, as
vantagens são claras de se ver.
Para pequenas e medias empresas que são as mais prováveis de gerir seus processos de
segurança da informação internamente, conseguir implementar a ISO 27001 logo na
primeira tentativa é de máxima importância para os negócios e, claro, para os seus
clientes. Alguns assuntos que geralmente enfrento durante o processo de implementação
incluem ter ou recrutar a equipe certa para levar a cabo a implementação; produção,
controle e gestão de informações; e a correta interpretação de requisitos da norma.
Em adição aos assuntos acima mencionados, neste artigo compartilharei os três desafios
principais enfrentados por pequenas e médias empresas e como superá-los com sucesso.
1) ‘Eu tenho coisas mais importantes para fazer.’
Minha abordagem, como um dos primeiros passos da implementação, é a formação de
um Comitê de Segurança da Informação: os membros do pessoal responsáveis pelo
sucesso do projeto e do Sistema de Gestão da Segurança da Informação de forma geral.
Os funcionários são tipicamente selecionados de várias áreas do negócio, e a
responsabilidade é delegada juntamente com suas funções primárias. Ao contrário de
uma organização maior, onde haveria uma equipe inteira dedicada à gestão da segurança
da informação, nas PME cada membro do comitê geralmente detém outras prioridades e
responsabilidades.
A chave para superar esse desafio é garantir que a alta gerência deixe clara a importância
e criticidade do sistema e seus processos na organização. E o SGSI (Sistema de Gestão de
Segurança da Informação) definitivamente não é apenas um complemento. Isso garante
que os membros da equipe começam a ver a segurança da informação de forma tão
importante quanto seus papéis do dia-a-dia. Isso pode ser feito de várias maneiras:
1/3
Incluindo as responsabilidades de segurança da informação claramente dentro das
descrições de trabalho dos empregados
Definindo objetivos de segurança da informação mensuráveis com
responsabilidades e prazos definidos
Designando um embaixador de segurança da informação dentro de cada função do
negócio
Para saber mais, leia o artigo Como realizar treinamento e conscientização para a ISO
27001 e ISO 22301.
2) ‘Por que isto importa para nós?’
Há muitas vezes um equívoco dentro das PMEs de que a segurança da informação não
nos afeta na mesma escala que as grandes corporações, como a TalkTalk (em 2016, a
empresa foi atingida com uma multa £400.000 por falhas de segurança que permitiram
a um cyber-atacante acessar Dados do cliente “com facilidade”, de acordo com o
“Information Commissioners Office”) e Microsoft (uma preocupante vulnerabilidade de
segurança foi recentemente revelada pelo Google).
No entanto, segundo pesquisa compartilhada pela Raconteur, 59% das PMEs foram
vítimas de um cyber-ataque. Isso é mais da metade das PMEs. E, se as estatísticas são
para se levar a sério, muitas organizações não relatam um ataque – o que significa que
este número poderia ser ainda maior. Estamos igualmente – se não mais – em risco por
ter essa mentalidade.
A chave para lidar com esse risco é obtendo a adesão dos funcionários em toda a
organização e garantindo que os novos processos para proteger a segurança da
informação sejam levados a sério. Você poderia considerar:
Ministrar sessões de treinamento e conscientização para a equipe
Simular uma falha de segurança e descrever os impactos que ela teria
Avaliar os riscos e implementar medidas de acordo – pessoas estão menos
propensas a fazer algo se elas pensam que o que elas estão fazendo é contra as
regras
Saiba mais sobre os benefícios da implementação da ISO 27001 no artigo Quatro
benefícios fundamentais da implementação da ISO 27001.
3) ‘Isso levará muito tempo’
Responsabilidades adicionais resultam em trabalho adicional, certo? Não
necessariamente.
Um exemplo disto seria a equipe de desenvolvimento sendo requerida a testar uma
seleção aleatória de backups de banco de dados. Isso pode levar 15 minutos a cada
semana, mas as consequências de se tentar recuperar os dados uma vez que são
necessários e se descobre que o arquivo de backup está corrompido consomem muito,
2/3
muito mais tempo. Colocar as situações em contexto como este ajudará a equipe a
entender e apoiar os novos processos. Como mencionado acima, a realização de
simulações de tais situações irá criar ainda mais impacto.
Obtenha o apoio dos empregados ao:
Demonstrar o tempo que poderia ser gasto na retificação de incidentes, em vez de
implementar medidas proativas, ao coloca-la no contexto do papel deles
Envolver os funcionários no desenvolvimento das novas medidas e acordar uma
carga de trabalho manejável; as pessoas são muito mais susceptíveis à mudança se
estiverem envolvidas no processo de desenvolvimento
Explicar os custos e até mesmo os riscos de encerramento da empresa devido a
violações da segurança da informação
O artigo 5 ways to avoid overhead with ISO 27001 (and keep the costs down) pode ajudar
você a entender como evitar custos indiretos.
Superando desafios na implementação da ISO 27001
Eu compartilhei três principais desafios acima, e gostaria de ouvir de quaisquer outros
enfrentados e como estes foram geridos.
Em geral, sejam grandes ou pequenas, todas as organizações que implementam a ISO
27001 enfrentam desafios, mas o que é fundamental é como eles são superados. O tema
principal deste artigo e minha contribuição como conselho é garantir que todo o pessoal
compreenda a importância da norma e que estejam apoiando as alterações. Isso fará com
que o resto da implementação seja executado muito mais suavemente. Boa sorte!
Use este treinamento on-line gratuito ISO 27001 Lead Implementer course para
aprender sobre as etapas de implementação.
Nós agradecemos a Rhand Leal pela tradução para o português.
Tag: #ISO 27001
Por favor insira seu endereço de e-mail para se inscrever em nossa newsletter, assim
como mais de outras 20.000 pessoas
Você pode cancelar sua inscrção a qualquer momento. Para mais informações por favor
veja nosso aviso de privacidade.
3/3
Download