Certificações 6min de Leitura

ISO 27001, como implementar em uma organização?

Pessoas reunidas segurando prancheta e celular, discutindo ISO 27001 como implementar.

This post is also available in: Português

Sendo considerado o padrão e referência em segurança da informação, a norma ISO 27001 vem sendo aperfeiçoada de forma contínua, desde sua origem.

A implementação da ISO 27001 tem como pressuposto a adoção dos requisitos, políticas, processos, procedimentos, controles e práticas descritas e requeridas pela norma, ajustadas de acordo com o tamanho, maturidade, realidade e objetivo de cada empresa.

Sua adoção cria um modelo holístico de segurança da informação ao tratar de diversos temas simultaneamente.
E em todas as organizações, para implementar a ISO 27001, é necessário seguir 16 etapas. Confira quais são essas etapas abaixo.

Obter o apoio da gerência

Apesar de parecer óbvio, muitas vezes esse passo não é levado a sério. É necessário obter o apoio da gerência para que ela forneça as pessoas necessárias e o dinheiro para esse projeto.

Porém, apesar de ser uma tarefa óbvia, muitas vezes não é fácil, sendo importante que haja fundamentação, para tratar todas as possíveis objeções técnicas e/ou financeiras apontadas durante a fase de entendimento.

Neste sentido, conhecer os benefícios associados a certificação é fundamental para elevar as chances de sucesso dos projetos. Os principais que devem ser colocados para a alta gestão são:

  • Conformidade
  • Vantagem de mercado
  • Redução de despesas
  • Organização da empresa

Tratar como um projeto

A implementação da ISO 27001 envolve várias atividades, pessoas e tempo. É necessário definir o que deve ser feito, a pessoa designada para cada tarefa e quanto tempo ela terá para realiza-la.

Definir o escopo

Em casos de grandes organizações, é possível implementar a ISO 27001 em setores específicos. O problema quando o escopo da ISO não atinge toda a organização, é que o Sistema de gestão da segurança da informação (SGSI) deve ter interfaces com o mundo exterior, não apenas os clientes, parceiros e fornecedores, mas também os departamentos da organização que não fazem parte desse escopo. Estes departamentos devem ser tratados da mesma maneira que um fornecedor externo.

Se o setor escolhido for somente o departamento de TI, por exemplo, e esse departamento estiver utilizando os serviços do departamento de compras, o departamento de TI deve efetuar a avaliação de riscos do seu departamento de compras para identificar se existem riscos para as informações pelas quais o departamento de TI é responsável. Além disso, os dois departamentos devem assinar termos e condições para os serviços prestados.

Portanto, diminuir o escopo do SGSI às vezes não caracteriza uma opção viável. Tente estender o escopo do projeto a toda organização.

A regra geral é: se sua organização não tem mais do que algumas centenas de funcionários e uma ou apenas algumas sedes, o melhor é que o SGSI abranja toda a organização.

Mas, caso não seja possível abranger toda a organização dentro do escopo do SGSI, tente defini-lo em uma unidade organizacional que seja suficientemente independente.

Escrever o Manual do SGSI

O Manual do SGSI é um documento de alto nível, que não deve ser muito detalhado, mas deve definir algumas questões básicas da segurança da informação em sua organização.

O objetivo desse documento é definir o que se deseja alcançar e como manter o controle sobre isso.

A ISO 27001 exige que a Politica de SGSI, como o documento de mais alto nível, contenha o seguinte:

Uma estrutura para definir os objetivos, levando em consideração diversos requisitos e obrigações, que se alinhe com o contexto de gestão estratégica de riscos da organização e estabeleça os critérios da avaliação de riscos. Essa política deve ser bem curta (no máximo duas páginas), pois sua finalidade principal é permitir que direção seja capaz de controlar seu SGSI.

Definir metodologia da avaliação de riscos

A avaliação de riscos é realizada por meio da identificação e da avaliação de ativos, vulnerabilidades e ameaças.
Um ativo é tudo aquilo que tem valor para a empresa – hardware, software, pessoal, infraestrutura, dados, fornecedores e parceiros.

Uma vulnerabilidade é um ponto fraco em um ativo, processo ou controle que poderia ser explorado por uma ameaça.

A principal tarefa da avaliação de riscos, é avaliar a probabilidade e o impacto, e uma boa metodologia deve conter um método para identificação de ativos, ameaças e vulnerabilidades, tabelas para marcar a probabilidade e os impactos, além de um método para calcular o risco e definir o nível aceitável desse risco.

As definições devem conter pelo menos 30 vulnerabilidades e 30 ameaças. O processo não é complicado e deve seguir alguns passos básicos, como:

  • Definir e documentar a metodologia (incluindo as relações), distribuí-la a todos os proprietários de ativos na organização;
  • Organizar entrevistas com os proprietários de ativos durante a qual eles deverão identificar seus ativos e vulnerabilidades e ameaças relacionadas. Eles devem avaliar também a probabilidade e o impacto, caso ocorram riscos específicos;
  • Unir os dados em uma única planilha, calcular os riscos e indicar quais riscos não são aceitáveis;
  • Para cada risco que não for aceitável, escolher um ou mais controles do Anexo A da norma ISO 27001 e calcular qual seria o novo nível de risco após esses controles serem implementados.

Avaliação e tratamento de riscos realmente são a base da segurança da informação ISO 27001, mas isso não significa que precisam ser complicados.

Realizar avaliação de riscos e tratamento de riscos

Nessa etapa, é necessário implementar o que foi definido na etapa anterior. Para organizações de porte maior, isso pode demorar um pouco. O objetivo é ter uma visão abrangente sobre os perigos para a informação da organização.

O propósito do processo de tratamento de riscos é diminuir os riscos que não são aceitáveis. Isso geralmente é feito pelo uso dos controles do Anexo A.

Nesta etapa, é preciso escrever um relatório de avaliação de riscos, que documente todos os passos dados durante os processos de avaliação de riscos e tratamento de riscos. Além disso, deve-se obter a aprovação dos riscos residuais, seja como um documento separado ou como parte da Declaração de aplicabilidade.

Escrever a Declaração de aplicabilidade

Depois de terminar a etapa anterior, você saberá exatamente quais controles do Anexo A precisará (há um total de 114 controles, mas provavelmente não será necessário todos eles).

Este documento tem como objetivo listar todos os controles para definir quais são aplicáveis e quais não são, e as razões para essa decisão, os objetivos a serem alcançados com os controles e uma descrição de como eles serão implementados.

A Declaração de aplicabilidade também é o documento mais adequado para obter autorização da gerência para implementar o SGSI.

Elaborar o Plano de tratamento de riscos

O objetivo do plano de tratamento de riscos é definir exatamente como os controles da Declaração de Aplicabilidade devem ser implementados. Esse documento é um plano de implementação focado em seus controles.

Definir como medir a eficiência dos controles

É importante lembrar de definir a forma como você irá medir o cumprimento dos objetivos que definiu, tanto para o SGSI inteiro quanto para cada controle aplicável na Declaração de aplicabilidade.

Implementar os controles e procedimentos obrigatórios

Essa é a etapa mais arriscada do projeto. Ela normalmente envolve a aplicação de novas tecnologias, mas acima de tudo, a implementação de novos comportamentos na organização.

Muitas vezes, novas políticas e procedimentos são necessários (o que significa que uma mudança é necessária), e as pessoas geralmente resistem à mudança.

Implementar programas de treinamento e conscientização

É necessário explicar a equipe porque é necessário implementar novas políticas e procedimentos e treiná-los para serem capazes de seguir o planejamento.

A ausência dessas atividades é a segunda razão mais comum para o fracasso do projeto da ISO 27001.

Operar o SGSI

Essa é a etapa em que a ISO 27001 se torna uma rotina diária dentro da organização. Devem se realizar registros, pois sem registros, será muito difícil provar que qualquer atividade foi realmente executada. Os registros devem ajuda-lo, pois com eles é possível monitorar o que está acontecendo.

Monitorar o SGSI

Nessa etapa, os objetivos para seus controles e metodologias de medição se unem, e você tem que verificar se os resultados obtidos estão alcançando o que foi definido em seus objetivos.

Caso não estejam, é necessário executar ações corretivas e/ou preventivas.

Realizar auditoria interna

Desconhecer problemas existentes ou possíveis pode prejudicar sua organização. Portanto, é necessário realizar auditorias internas para descobrir possíveis problemas.

Além de cumprir com as normas da ISO 27001, a auditoria interna pode ser bastante útil para outras questões comerciais. O objetivo é descobrir problemas que poderiam ficar escondidos e prejudicar o negócio.

Existem algumas maneiras de realizar uma auditoria interna:

  • Contratar um auditor interno em tempo integral;
  • Contratar auditores que trabalhem meio período;
  • Contratar um auditor interno de fora da organização.

Executar análise crítica da gestão

A gerencia deve saber o que está acontecendo no SGSI, se todos realizaram suas funções, se o SGSI está obtendo os resultados desejados, etc. Com base nisso, a gerencia deve tomar algumas decisões cruciais.

Ações corretivas e preventivas

O objetivo dessa etapa é assegurar que todas as inconformidades sejam corrigidas e de preferência prevenidas.
Portanto, a ISO 27001 exige que as ações corretivas e preventivas sejam realizadas de forma sistemática, o que significa que a causa básica de uma inconformidade deve ser identificada e, então, resolvida e verificada.

O custo e tempo de implantação varia de acordo com a realidade de cada organização, alguns detalhes podem influenciar diretamente na complexidade do plano de ação da implementação, como exemplos: número de colaboradores, ativos de informação, elaboração dos documentos, porte da empresa, equipe etc.

Seja através da implementação e certificação da ISO 27001 em sua empresa ou a utilização das melhores práticas, softwares e soluções de segurança, o fundamental é compreender que manter suas informações seguras precisa ser uma prioridade.

A OSTEC oferece consultoria ISO 27001, para saber mais, entre em contato com um de nossos especialistas.

This post is also available in: Português